Untersuchen von Microsoft Entra Health-Überwachungswarnungen (Vorschau)

Microsoft Entra Health Monitoring hilft Ihnen, die Gesundheit Ihres Microsoft Entra-Mandanten über eine Reihe von Gesundheitsmetriken und intelligenten Warnungen zu überwachen. Gesundheitsmetriken werden in unseren Anomalieerkennungsdienst eingespeist, der maschinelles Lernen verwendet, um die Muster für Ihren Mandanten zu erkennen. Wenn der Anomalieerkennungsdienst eine wesentliche Änderung in einem der Muster auf Mandantenebene feststellt, löst er eine Warnung aus.

Die von Microsoft Entra Health bereitgestellten Signale und Warnungen stellen den Ausgangspunkt für die Untersuchung potenzieller Probleme in Ihrem Mandanten dar. Da es eine Vielzahl von Szenarios und einige weitere zu berücksichtigende Datenpunkte gibt, ist das Verständnis über die effektive Untersuchung dieser Warnungen wichtig. Dieser Artikel enthält Anleitungen zum Untersuchen von Warnungen im Allgemeinen. Eine szenariospezifische Anleitung finden Sie in den verwandten Inhalten am Ende dieses Artikels.

Wichtig

Die Überwachung von Szenarios und Warnungen für Microsoft Entra Health befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts. Wesentliche Änderungen vor dem Release sind vorbehalten. Microsoft übernimmt hinsichtlich der hier bereitgestellten Informationen keine Gewährleistungen, weder ausdrücklich noch konkludent. Die Microsoft Entra Admin Center-Benutzeroberfläche wird schrittweise für Kunden freigeschaltet, sodass möglicherweise noch nicht alle in diesem Artikel beschriebenen Features angezeigt werden.

Voraussetzungen

Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.

• Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
• Ein Mandant mit einer Nicht-Testversion von Microsoft Entra P1- oder P2-Lizenz und mindestens 100 aktiven Benutzenden pro Monat ist erforderlich, um Warnungen anzuzeigen und Warnungsbenachrichtigungen zu empfangen.
• Die Rolle für Berichtsleseberechtigte ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
• Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
• Die HealthMonitoringAlert.Read.All-Berechtigung ist zum Anzeigen der Warnungen mithilfe der Microsoft Graph-API erforderlich.
• Die Berechtigung HealthMonitoringAlert.ReadWrite.All ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern.
• Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Hinweis

Neu eingebundene Mandanten verfügen möglicherweise nicht über genügend Daten, um Warnungen für etwa 30 Tage zu generieren.

Untersuchen der Signale und Warnungen

Sie können die Microsoft Entra Health-Überwachungssignale im Microsoft Entra Admin Center anzeigen. Sie können die Eigenschaften der Signale und die öffentliche Vorschau der Systemüberwachungswarnungen auch mithilfe von Microsoft Graph-APIs anzeigen.

Wenn Sie eine Benachrichtigung erhalten, müssen Sie in der Regel die folgenden Datensätze untersuchen:

• Metriken: Der Datenstrom oder das Gesundheitssignal, das die Warnung verursacht hat.
• Betroffene Entitäten: Gesamtanzahl der betroffenen Entitäten. Kann Benutzer und Anwendungen enthalten.
• Aktivitätsprotokolle: Anmeldeprotokolle enthalten Details zu betroffenen Benutzern. Überwachungsprotokolle bieten Einblicke in Anwendungskonfigurationsänderungen.
• Szenariospezifische Ressourcen: Je nach Szenario müssen Sie möglicherweise andere Informationsquellen aus verschiedenen Diensten untersuchen. Für gerätebezogene Szenarien müssen Sie z. B. die Intune-Gerätecompliancerichtlinien überprüfen.

Admin-Zentrum

Die Signale und Warnungen sind im Microsoft Entra Health-Bereich des Microsoft Entra Admin Centers verfügbar. Ganz gleich, ob Sie eine Warnung untersuchen oder nur den Status Ihres Mandanten überwachen, Sie können die Signale und Warnungen im Microsoft Entra Admin-Center anzeigen.

Anzeigen der Signale

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle für Berichtleseberechtigte an.

2. Navigieren Sie zu Identität>Überwachung und Integrität>Integrität. Die Seite mit den SLA-Ergebnissen (Service Level Agreement, Vereinbarung zum Servicelevel) wird geöffnet.

3. Wählen Sie die Registerkarte Gesundheitsüberwachung aus.

   

4. Wählen Sie ein Szenario aus der Liste aus. Die Seite wird für die Szenarien mit aktiven Warnungen geöffnet, aber wenn Sie die Signale für ein anderes Szenario anzeigen möchten, wählen Sie die Schaltfläche Alle Szenarien Filterschaltfläche aus.

5. Zeigen Sie das Signal im Abschnitt Datendiagramm anzeigen an. Möglicherweise müssen Sie diesen Abschnitt erweitern, wenn Sie ein Szenario mit einer aktiven Warnung anzeigen.

   • Der Datumsbereich kann geändert werden, um die letzten 24 Stunden, sieben Tage oder den vorherigen Monat anzuzeigen.
   • Zeigen Sie mit der Maus auf das Diagramm, um die Datenpunkte für einen bestimmten Zeitpunkt anzuzeigen.
   • Der Wert unten im Diagramm ist die Gesamtanzahl für dieses Szenario für den ausgewählten Zeitrahmen.

Untersuchen Sie die Warnungen

So zeigen Sie diese Details auf der Landing Page der Systemüberwachung an

1. Wählen Sie die aktive Warnung aus, die Sie untersuchen möchten.

   

2. Wählen Sie im Abschnitt Betroffene Entitäten des ausgewählten Szenarios Ansicht für den Typ der betroffenen Entität aus, die Sie untersuchen möchten.

   • Mögliche Entitäten sind Benutzer und Anwendungen.
   • Ein Link zu einem szenariospezifischen Artikel wird bereitgestellt, um weitere Informationen zu erhalten, wie das Problem untersucht werden kann.

   

3. Wählen Sie aus den Details, die im daraufhin geöffneten Bereich angezeigt werden, eine Entität aus, um weitere Informationen zu erhalten.

   • Die 10 am häufigsten betroffenen Entitäten werden angezeigt.
   • Wenn Sie ein Element aus der Liste auswählen, werden Sie zur Profilseite des Benutzers oder der Anwendung weitergeleitet, um nähere Informationen zu erhalten.

4. Das Signal für die Warnung wird unter dem Abschnitt Signale angezeigt. Überprüfen Sie das Signal, um das Muster zu verstehen und Anomalien zu identifizieren.

   • Der Zeitrahmen zeigt die Zeit an, in der die Anomalie aufgetreten ist.

   

5. Nachdem Sie die Ursache des Problems untersucht und potenziell behoben haben, können Sie die Warnung schließen. Aktivieren Sie auf der aktiven Benachrichtigungsseite das Kontrollkästchen für diese Warnung, und wählen Sie anschließend das Menü Warnung markieren als und dann Abgelehnt aus.

   • Die entsprechende Aktion mit der Microsoft Graph-API besteht darin, den Warnungsstatus auf resolvedzu aktualisieren.

   

Microsoft Graph-API

Mit den Microsoft Graph-APIs können Sie die Metriken anzeigen, aus denen die Gesundheitssignale und Warnungen bestehen, und die Auswirkungszusammenfassung für eine Gesundheitswarnung überprüfen.

Beispielanforderungen und -antworten finden Sie unter Benachrichtigungsobjekte für die Integritätsüberwachungsliste.

• Der Teil der Antwort nach impacts bildet die Zusammenfassung der Auswirkungen für die Warnung.
• Der supportingData Abschnitt enthält die vollständige Abfrage, die zum Generieren der Warnung verwendet wird.
• Die Ergebnisse der Abfrage umfassen alles, was vom Anomalieerkennungsdienst identifiziert wurde. Darunter können sich jedoch ebenfalls Ergebnisse befinden, die nicht direkt mit der Warnung zusammenhängen.

Anzeigen der Signale

Die Ressource serviceActivity ruft die Metriken ab, die in die Microsoft Entra Health-Überwachungssignale einfließen und im Microsoft Entra Admin Center visualisiert werden. Weitere Informationen finden Sie unter serviceActivity-Ressourcentyp.

1. Melden Sie sich beim Microsoft Graph-Tester mindestens als Helpdeskadministrator an, und willigen Sie in die entsprechenden Berechtigungen ein.
2. Wählen Sie aus der Dropdownliste als HTTP-Methode GET aus, und legen Sie die API-Version auf Beta fest.
3. Führen Sie die folgende Abfrage aus, um die MFA-Erfolgsmetriken (Multifactor Authentication) während eines bestimmten Intervalls abzurufen.

Anforderung:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Antwort:

Die Antwort zeigt, wie viele erfolgreiche Anmeldungen während des spezifischen Zeitrahmens aufgetreten sind, aggregiert in zehnminütigen Intervallen.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Warnungen untersuchen

Der Ressourcentyp alert enthält Details zu den Warnungen der Systemüberwachung, einschließlich der Auswirkungszusammenfassung für die Warnung. Weitere Informationen finden Sie unter Warnungsressourcentyp.

Führen Sie die folgende Abfrage aus, um alle aktiven Warnungen für Ihren Mandanten abzurufen.

Anforderung:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

Antwort:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

Suchen und speichern Sie die id der Warnung, die Sie untersuchen möchten, und führen Sie die folgende Abfrage aus, indem Sie id als alertIdverwenden. Die folgende Abfrage ruft die Warnungsdetails ab und erweitert die resourceSampling-Eigenschaft, um die Benutzer-IDs der betroffenen Entitäten abzurufen.

Anforderung:

In diesem Beispiel wird der mfaSignInFailure Warnungstyp verwendet, der id Wert ist jedoch ein Platzhalterwert. Ersetzen Sie sie durch den id der Warnung, die Sie untersuchen möchten.

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

Antwort:

Die Antwort wird zur Lesbarkeit gekürzt. Die Antwort enthält die Benutzer-IDs der betroffenen Entitäten, die in weiteren Anfragen zur Anmeldeaktivität des Benutzers verwendet werden können. Die Antwort enthält auch Abfragen für die zugehörigen Berichte.

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

Sobald Sie über die Details für die betroffenen Entitäten verfügen, können Sie mit der Problembehandlung beginnen, z. B. Anmeldeaktivitäten, Überwachungsprotokolle und bedingter Zugriff.

Aktualisieren des Status

Nachdem Sie die Ursache des Problems untersucht und potenziell behoben haben, können Sie die Warnung als behoben markieren. Führen Sie die folgende PATCH-Anforderung aus. Die entsprechende Aktion im Microsoft Entra Admin Center besteht darin, den Warnungsstatus auf Verworfenzu aktualisieren.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

Verwandte Inhalte

• Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
• Anmeldungen, die MFA erfordern
• API-Dokumentation zu Health-Überwachungswarnungen in Microsoft Graph