Verwenden von Microsoft Entra Health-Überwachungswarnungen (Vorschau)
Die Microsoft Entra Health-Überwachung bietet die Möglichkeit, den Zustand Ihres Microsoft Entra-Mandanten mithilfe einer Reihe von Zustandsmetriken und intelligenten Warnmeldungen zu überwachen. Integritätsdaten werden in unseren Anomalieerkennungsdienst eingespeist, der maschinelles Lernen einsetzt, um die Muster für Ihren Mandanten zu verstehen. Wenn der Anomalieerkennungsdienst eine signifikante Änderung in einem der Muster auf Mandantenebene feststellt, löst er einen Alarm aus. Sie können E-Mail-Benachrichtigungen erhalten, wenn in den Integritätsszenarien ein potenzielles Problem oder ein Fehlerzustand erkannt wird. Weitere Informationen zu Microsoft Entra Health finden Sie unter Was ist Microsoft Entra Health?.
Dieser Artikel enthält einen Leitfaden zu Folgendem:
- Greifen Sie auf Microsoft Entra Health zu.
- Konfigurieren Sie E-Mail-Benachrichtigungen für Warnungen.
- Untersuchen Sie eine Warnung.
Voraussetzungen
Es gibt unterschiedliche Rollen, Berechtigungen und Lizenzanforderungen zum Anzeigen von Signalen zur Systemüberwachung und zum Konfigurieren und Empfangen von Warnungen. Es wird jedoch empfohlen, gemäß dem Zero Trust-Leitfaden eine Rolle mit den geringsten Berechtigungen zu verwenden.
- Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz ist erforderlich, um die Überwachungssignale des Microsoft Entra-Integritätsszenarios anzuzeigen.
- Ein Mandant mit einer Microsoft Entra P1- oder P2-Lizenz und mindestens 100 monatlich aktive Benutzer müssen Warnungen anzeigen und Benachrichtigungen empfangen.
- Die Rolle Berichtsleseberechtigter ist die am wenigsten privilegierte Rolle, die zum Anzeigen von Szenarioüberwachungssignalen, Warnungen und Warnungskonfigurationen erforderlich ist.
- Der Helpdeskadministrator ist die am wenigsten privilegierte Rolle, die zum Aktualisieren von Warnungen und zum Aktualisieren von Updatebenachrichtigungskonfigurationen erforderlich ist.
- Die Berechtigung „
HealthMonitoringAlert.Read.All
“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen. - Die Berechtigung „
HealthMonitoringAlert.ReadWrite.All
“ ist erforderlich, um die Warnungen mithilfe der Microsoft Graph-API anzuzeigen und zu ändern. - Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.
Bekannte Einschränkungen
- Neu eingebundene Mandanten verfügen möglicherweise nicht über genügend Daten, um etwa 30 Tage lang Warnmeldungen zu generieren.
- Derzeit sind Warnmeldungen nur über die Microsoft Graph API verfügbar.
Zugriff auf Microsoft Entra Health
Sie können den Abschlussbericht der Vereinbarung zum Servicelevel (SLA) von Microsoft Entra Health und die Gesundheitsüberwachungssignale vom Microsoft Entra Admin Center aus einsehen. Sie können diese Datenströme und die öffentliche Vorschau von Gesundheitsüberwachungswarnungen auch über die Microsoft Graph-APIs anzeigen. Aktivieren Sie die Vorschau der Szenarioüberwachung.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
Gehen Sie zu Identität>Überwachung und Integrität>Integrität.
Wählen Sie die Registerkarte Szenarioüberwachung aus.
Wählen Sie Details anzeigen für das Szenario aus, das Sie untersuchen möchten.
Die Standardansicht umfasst die letzten sieben Tage, aber Sie können den Datumsbereich auf 24 Stunden, sieben Tage oder einen Monat einstellen. Die Daten werden alle 15 Minuten aktualisiert.
Konfigurieren der E-Mail-Benachrichtigungen
Mit der Microsoft Graph-API für Warnmeldungen zur Integritätsüberwachung können Sie E-Mail-Benachrichtigungen konfigurieren. Sie können die API-Aufrufe in regelmäßigen Abständen (z. B. täglich oder stündlich) ausführen oder E-Mail-Benachrichtigungen für den Fall konfigurieren, dass ein Alarm ausgelöst wird. Wir empfehlen, die Szenarioüberwachungssignale und -warnungen täglich zu überwachen.
E-Mail-Benachrichtigungen werden an die Microsoft Entra-Gruppe Ihrer Wahl gesendet. Sie sollten Warnmeldungen an Benutzer mit den entsprechenden Zugriffsrechten senden, damit diese die Warnmeldungen untersuchen und Maßnahmen ergreifen können. Nicht jede Rolle kann dieselben Maßnahmen ergreifen. Ziehen Sie daher in Betracht, eine Gruppe mit den folgenden Rollen einzubeziehen:
- Sicherheitsleseberechtigter
- Sicherheitsadministrator
- Intune-Administrator
- Administrator für bedingten Zugriff
Um Warnmeldungen zu konfigurieren, benötigen Sie die ID der Microsoft Entra-Gruppe, für die Sie die Warnmeldungen erhalten möchten, UND die Szenario-Warnmeldungs-ID. Sie können verschiedene Gruppen konfigurieren, um Warnmeldungen für unterschiedliche Warnszenarien zu erhalten.
Suchen der Objekt-ID der Gruppe
Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
Navigieren Sie zu Gruppen>Alle Gruppen>, und wählen Sie die Gruppe aus, die die Benachrichtigungen erhalten sollen.
Wählen Sie Eigenschaften aus, und kopieren Sie den Wert der
Object ID
der Gruppe.
Suchen des Szenariobenachrichtigungstyps
Melden Sie sich bei Microsoft Graph Explorer als Helpdesk-Administrator an und stimmen Sie den entsprechenden Berechtigungen zu.
Wählen Sie GET als HTTP-Methode aus der Dropdownliste aus, und legen Sie die API-Version auf Beta fest.
Führen Sie die folgende Abfrage aus, um die Liste der Warnmeldungen für Ihren Mandanten abzurufen.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Suchen und speichern Sie die
alertType
der Warnung, über die Sie benachrichtigt werden möchten, z. B.alertType: "mfaSignInFailure
.
Konfigurieren der E-Mail-Benachrichtigungen
Führen Sie im Microsoft Graph Explorer die folgende PATCH-Abfrage aus, um E-Mail-Benachrichtigungen für Warnmeldungen zu konfigurieren.
- Ersetzen Sie
{alertType}
durch die spezifischealertType
, die Sie konfigurieren möchten. - Ersetzen Sie
Object ID of the group
durch dieObject ID
der Gruppe, die Benachrichtigungen erhalten soll. - Weitere Informationen finden Sie unter Konfigurieren von E-Mail-Benachrichtigungen für Warnungen.
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json
{
"emailNotificationConfigurations": [
{
"groupId":"Object ID of the group",
"isEnabled": true
}
]
}
Untersuchen der Warnung und Signale
Mit konfigurierten E-Mail-Benachrichtigungen können Sie und Ihr Team die Integrität dieser Szenarien effektiver überwachen. Wenn Sie eine Benachrichtigen erhalten, müssen Sie in der Regel die folgenden Datensätze untersuchen:
- Warnungswirkung: Der Teil der Antwort nach
impacts
beschreibt den Umfang und fasst die betroffenen Ressourcen zusammen. Zu diesen Details gehören dieimpactCount
, damit Sie bestimmen können, wie weit verbreitet das Problem ist. - Warnungssignale: Der Datenstrom oder das Integritätssignal, das die Benachrichtigung ausgelöst hat. In der Antwort wird eine Abfrage für weitere Untersuchungen bereitgestellt.
- Anmeldeprotokolle: In der Antwort wird eine Abfrage zur weiteren Untersuchung der Anmeldeprotokolle bereitgestellt, in denen das Integritätssignal generiert wurde. Die Anmeldeprotokolle enthalten detaillierte Metadaten zu Ereignissen, die zur Identifizierung der Ursache eines Problems verwendet werden können.
- Szenariospezifische Ressourcen: Je nach Szenario müssen Sie möglicherweise die Intune-Compliance-Richtlinien oder die Richtlinien für den bedingten Zugriff untersuchen. In vielen Fällen wird in der Antwort ein Link zur zugehörigen Dokumentation bereitgestellt.
Anzeigen der Auswirkungen und Signale
Fügen Sie in Microsoft Graph die folgende Abfrage hinzu, um alle Warnmeldungen für Ihren Mandanten abzurufen.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Suchen und speichern Sie das
id
der Benachrichtigung, die Sie untersuchen möchten.Fügen Sie die folgende Abfrage mit
id
alsalertId
hinzu.GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Beispielanforderungen und -antworten finden Sie unter Benachrichtigungsobjekte für die Integritätsüberwachungsliste.
- Der Teil der Antwort nach
impacts
bildet die Zusammenfassung der Auswirkungen für die Benachrichtigung. - Der Teil
supportingData
enthält die vollständige Abfrage, die zum Generieren der Benachrichtigung verwendet wird. - Die Ergebnisse der Abfrage umfassen alles, was vom Anomalieerkennungsdienst identifiziert wurde, aber es kann auch Ergebnisse geben, die nicht direkt mit der Warnung zusammenhängen.
Anzeigen der Anmeldeprotokolle
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
- Wenn Sie die Richtlinien für den bedingten Zugriff ändern müssen, benötigen Sie die Rolle des Administrators für den bedingten Zugriff.
- Navigieren Sie zu Überwachung und Integrität>Anmeldeprotokolle.
- Passen Sie den Zeitraum an den Warnzeitrahmen an.
- Fügen Sie einen Filter für bedingten Zugriff hinzu.
- Wählen Sie einen Protokolleintrag aus, um die Details der Anmeldeprotokolle anzuzeigen, und wählen Sie die Registerkarte „Bedingter Zugriff“, um die angewendeten Richtlinien anzuzeigen.
Anzeigen der szenariospezifischen Ressourcen
Jede Benachrichtigung kann einen anderen Datensatz zur Untersuchung enthalten. Weitere Informationen zu den einzelnen Benachrichtigungstypen finden Sie in den folgenden Artikeln:
- Anmeldungen, die ein kompatibles oder verwaltetes Gerät erfordern
- Anmeldungen, die eine Multi-Faktor-Authentifizierung (MFA) erfordern
Analysieren der mögliche Grundursachen
Nachdem Sie alle Daten zum Szenario gesammelt haben, müssen Sie mögliche Ursachen ermitteln und nach potenziellen Lösungen suchen. Überlegen Sie, wie ernst die Benachrichtigungen sind. Sind nur eine Handvoll Benutzer betroffen oder handelt es sich um ein weit verbreitetes Problem? Hatte eine kürzlich erfolgte Änderung der Richtlinien unbeabsichtigte Folgen?
Wir empfehlen, die Benachrichtigungen und Integritätsüberwachungsdaten regelmäßig zu überprüfen, um Trends und potenzielle Probleme zu erkennen, bevor sie sich zu weit verbreiteten Problemen entwickeln.