Teilen über

Konfigurieren von E-Mail-Benachrichtigungen für Microsoft Entra Health-Überwachungswarnungen (Vorschau)

  • Artikel

Microsoft Entra Health bietet Metriken auf Mandantenebene und Gesundheitssignale für mehrere wichtige Identitätsszenarien. Diese Signale werden in einem Anomalieerkennungsdienst erfasst, der Warnungen auslöst, wenn wesentlichen Änderungen erkannt werden. Sie können E-Mail-Benachrichtigungen konfigurieren, die ausgelöst werden, wenn eine Warnung erfolgt.

In diesem Artikel wird beschrieben, wie Sie E-Mail-Benachrichtigungen für Microsoft Entra Health-Überwachungswarnungen konfigurieren.

Wichtig

Die Überwachung von Szenarios und Warnungen für Microsoft Entra Health befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung sowie zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

  • Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
  • Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenzund mindestens 100 monatlich aktiven Benutzenden ist erforderlich, um Warnungen anzuzeigen und Warnungsbenachrichtigungen zu empfangen.
  • Die Rolle Berichtsleseberechtigter ist die Rolle mit den geringsten Rechten, die zum Anzeigen von Signalen, Warnungen und Warnungskonfigurationen der Szenarioüberwachung erforderlich ist.
  • Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
  • Die Berechtigung „HealthMonitoringAlert.Read.All“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen.
  • Die HealthMonitoringAlert.ReadWrite.All-Berechtigung ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
  • Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Bekannte Einschränkungen

  • Neu integrierte Mandanten verfügen möglicherweise nicht über genügend Daten, um etwa 30 Tage lang Warnmeldungen zu generieren.
  • Derzeit sind Warnungen ausschließlich über die Microsoft Graph-API verfügbar.

Ermitteln der Empfangenden von E-Mail-Benachrichtigungen

Mit der Microsoft Graph-API zur Gesundheitsüberwachung können Sie die API-Aufrufe regelmäßig (z. B. täglich oder stündlich) ausführen und E-Mail-Benachrichtigungen so konfigurieren, dass Sie benachrichtigt werden, wenn eine Warnung ausgelöst wird. Es wird empfohlen, die Überwachungssignale und -warnungen des Szenarios täglich zu überwachen.

E-Mail-Benachrichtigungen werden an die Microsoft Entra-Gruppe Ihrer Wahl gesendet. Sie sollten Warnmeldungen an Benutzer mit den entsprechenden Zugriffsrechten senden, damit diese die Warnmeldungen untersuchen und Maßnahmen ergreifen können. Nicht jede Rolle kann dieselben Maßnahmen ergreifen. Ziehen Sie daher in Betracht, eine Gruppe mit den folgenden Rollen einzubeziehen:

Konfigurieren der E-Mail-Benachrichtigungen

Zum Konfigurieren von Benachrichtigungen benötigen Sie die ID der Microsoft Entra-Gruppe, von der Sie die Benachrichtigungen erhalten möchten, UND die Szenariobenachrichtigungs-ID. Sie können verschiedene Gruppen konfigurieren, um Warnungen für unterschiedliche Warnszenarios zu erhalten.

Finde die Objekt-ID der Gruppe

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Navigieren Sie zu Gruppen>Alle Gruppen>, und wählen Sie die Gruppe aus, die die Warnungen erhalten soll.

  3. Wählen Sie Eigenschaften aus, und kopieren Sie den Wert des Object ID-Elements der Gruppe.

    Screenshot der Gruppeneigenschaften im Microsoft Entra Admin Center.

Suchen des Szenariobenachrichtigungstyps

  1. Melden Sie sich beim Microsoft Graph-Tester mindestens als Helpdeskadministrator an, und willigen Sie in die entsprechenden Berechtigungen ein.

  2. Wählen Sie aus der Dropdownliste als HTTP-Methode GET aus, und legen Sie die API-Version auf Beta fest.

  3. Führen Sie die folgende Abfrage aus, um die Liste der Warnungen für Ihren Mandanten abzurufen.

    GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts

  4. Suchen und speichern Sie den alertType der Warnung, über die Sie benachrichtigt werden möchten, z. B. alertType: "mfaSignInFailure.

Konfigurieren der E-Mail-Benachrichtigungen

Führen Sie im Microsoft Graph Explorer die folgende PATCH-Abfrage aus, um E-Mail-Benachrichtigungen für Warnmeldungen zu konfigurieren.

  • Ersetzen Sie {alertType} durch das spezifische alertType-Element, das Sie konfigurieren möchten.
  • Ersetzen Sie Object ID of the group durch die Object ID der Gruppe, von der Sie die Benachrichtigungen erhalten möchten.
  • Weitere Informationen finden Sie unter Konfigurieren von E-Mail-Benachrichtigungen für Warnungen.
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json

{
  "emailNotificationConfigurations": [
    {
      "groupId":"Object ID of the group",
      "isEnabled": true
    }
  ]
}

Nächste Schritte