Uso de alertas de supervisión de Microsoft Entra Health (versión preliminar)

La supervisión de Microsoft Entra Health proporciona la capacidad de supervisar el estado de su inquilino de Microsoft Entra a través de un conjunto de métricas de mantenimiento y alertas inteligentes. Las métricas de mantenimiento se introducen en nuestro servicio de detección de anomalías, que usa el aprendizaje automático para comprender los patrones de su inquilino. Cuando el servicio de detección de anomalías identifica un cambio significativo en uno de los patrones de nivel de inquilino, desencadena una alerta. Puede recibir notificaciones por correo electrónico cuando se detecta un posible problema o una condición de error en los escenarios de mantenimiento. Para obtener más información sobre Microsoft Entra Health, consulte ¿Qué es Microsoft Entra Health?

En este artículo se proporcionan instrucciones sobre cómo:

• Acceso a Microsoft Entra Health.
• Configurar las notificación de alertas por correo electrónico.
• Investigar una alerta.

Requisitos previos

Hay diferentes roles, permisos y requisitos de licencia para ver las señales de supervisión de estado y configurar y recibir alertas. Se recomienda usar un rol con acceso de privilegios mínimos para alinearse con las instrucciones de Confianza cero.

• Se requiere un inquilino con una licencia Microsoft Entra P1 o P2 para ver las señales de supervisión del escenario de mantenimiento de Microsoft Entra.
• Se requiere un inquilino con licencia de Microsoft Entra P1 o P2 y al menos 100 usuarios activos mensuales para ver las alertas y recibir notificaciones de alerta.
• El rol Lector de informes es el rol con menos privilegios necesario para ver señales de supervisión de escenarios, alertas y configuraciones de alertas.
• El Administrador del departamento de soporte técnico es el rol con privilegios mínimos necesario para actualizar las alertas y actualizar las configuraciones de notificaciones de alertas.
• El permiso HealthMonitoringAlert.Read.All es necesario para ver las alertas mediante Microsoft Graph API.
• El permiso HealthMonitoringAlert.ReadWrite.All es necesario para ver y modificar las alertas mediante Microsoft Graph API.
• Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.

Restricciones conocidas

• Es posible que los inquilinos recién incorporados no tengan suficientes datos para generar alertas durante unos 30 días.
• Actualmente, las alertas solo están disponibles con Microsoft Graph API.

Acceso a Microsoft Entra Health

Puede ver el informe de logro del Acuerdo de Nivel de Servicio (SLA) de Microsoft Entra Health y las señales de supervisión de estado del Centro de administración de Microsoft Entra. También puede ver estos flujos de datos y la versión preliminar pública de las alertas de supervisión de estado mediante las API de Microsoft Graph. Habilite la versión preliminar de supervisión de escenarios.

1. Inicie sesión en el Centro de administración Microsoft Entra al menos como Lector de informes.

2. Vaya a Identidad>Supervisión y estado>Estado.

3. Seleccione la pestaña Supervisión de escenarios.

   

4. Seleccione Ver detalles para el escenario que desea investigar.

   

La vista predeterminada es los últimos siete días, pero puede ajustar el intervalo de fechas a 24 horas, siete días o un mes. Los datos se actualizan cada 15 minutos.

Configuración de las notificaciones por correo electrónico

Con la API de alertas de supervisión de estado de Microsoft Graph, puede configurar notificaciones por correo electrónico. Puede ejecutar las llamadas API en una cadencia regular (por ejemplo, diaria o horaria) o puede configurar notificaciones por correo electrónico para cuando se desencadene una alerta. Se recomienda la supervisión diaria de las señales y alertas de supervisión del escenario.

Las notificaciones por correo electrónico se envían al grupo Microsoft Entra de su elección. Se recomienda enviar alertas a los usuarios con el acceso adecuado para investigar y tomar medidas en las alertas. No todos los roles pueden realizar la misma acción, por lo que considere la posibilidad de incluir un grupo con los roles siguientes:

• Lector de seguridad
• Administrador de seguridad
• Administrador de Intune
• Administrador de acceso condicional

Para configurar las notificaciones de alerta, necesita el identificador del grupo de Microsoft Entra que desea recibir las alertas Y el identificador de alerta del escenario. Puede configurar diferentes grupos para recibir alertas para distintos escenarios de alertas.

Buscar el identificador de objeto del grupo

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de usuario.

2. Vaya a Grupos>Todos los grupos> y seleccione el grupo que desea recibir las alertas.

3. Seleccione Propiedades y copie el Object ID del grupo.

   

Buscar el tipo de alerta del escenario

1. Inicie sesión en el Explorador de Microsoft Graph como al menos un Administrador del departamento de soporte técnico y dé su consentimiento a los permisos adecuados.

2. Seleccione GET como método HTTP en la lista desplegable y establezca la versión de API en beta.

3. Ejecute la consulta siguiente para recuperar la lista de alertas del inquilino.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

4. Busque y guarde el alertType de la alerta sobre la que desea recibir una notificación, por ejemplo, alertType: "mfaSignInFailure.

Configuración de las notificaciones por correo electrónico

En el Explorador de Microsoft Graph, ejecute la siguiente consulta PATCH para configurar notificaciones por correo electrónico para alertas.

• Reemplace {alertType} por el alertType específico que desea configurar.
• Reemplace Object ID of the group por el Object ID del grupo que desea recibir las alertas.
• Para obtener más información, consulte configurar notificaciones por correo electrónico para alertas.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json

{
  "emailNotificationConfigurations": [
    {
      "groupId":"Object ID of the group",
      "isEnabled": true
    }
  ]
}

Investigación de la alerta y las señales

Con las notificaciones por correo electrónico configuradas, usted y su equipo pueden supervisar de forma más eficaz el estado de estos escenarios. Cuando reciba una alerta, normalmente debe investigar los siguientes conjuntos de datos:

• Impacto de alerta: la parte de la respuesta después de impacts cuantifica el ámbito y resume los recursos afectados. Estos detalles incluyen el impactCount para que pueda determinar el alcance del problema.
• Señales de alerta: el flujo de datos o la señal de estado que provocó la alerta. Se proporciona una consulta en la respuesta para una investigación más detallada.
• Registros de inicio de sesión: se proporciona una consulta en la respuesta para investigar mejor los registros de inicio de sesión en los que se generó la señal de mantenimiento. Los registros de inicio de sesión proporcionan metadatos de eventos detallados que se pueden usar para identificar la causa principal de un problema.
• Recursos específicos del escenario: en función del escenario, es posible que tenga que investigar las directivas de cumplimiento de Intune o las directivas de acceso condicional. En muchos casos, se proporciona un vínculo a la documentación relacionada en la respuesta.

Visualización de los impactos y señales

1. En Microsoft Graph, agregue la siguiente consulta para recuperar todas las alertas del inquilino.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Busque y guarde la id de la alerta que desea investigar.

3. Agregue la consulta siguiente mediante id como alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Para obtener solicitudes y respuestas de ejemplo, consulte Objetos de alerta de lista de supervisión de estado.

• La parte de la respuesta después de impacts compone el resumen del impacto de la alerta.
• La parte supportingData incluye la consulta completa que se usa para generar la alerta.
• Los resultados de la consulta incluyen todo lo identificado por el servicio de detección de anomalías, pero puede haber resultados que no estén directamente relacionados con la alerta.

Visualización de los registros de inicio de sesión

1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
   • Si necesita modificar las directivas de acceso condicional, necesita el rol Administrador de acceso condicional.
2. Vaya a Supervisión y mantenimiento>Registros de inicio de sesión.
   • Ajuste el intervalo de tiempo para que coincida con el período de tiempo de alerta.
   • Agregue un filtro para el acceso condicional.
   • Seleccione una entrada de registro para ver los detalles de los registros de inicio de sesión y seleccione la pestaña Acceso condicional para ver las directivas que se aplicaron.

Visualización de los recursos específicos del escenario

Cada alerta puede tener un conjunto de datos diferente para investigar. Para obtener más información sobre cada tipo de alerta, consulte los artículos siguientes:

• Inicios de sesión que requieren un dispositivo compatible o administrado
• Inicios de sesión que requieren autenticación multifactor (MFA)

Analizar las posibles causas principales

Después de recopilar todos los datos relacionados con el escenario, debe tener en cuenta posibles causas principales e investigar posibles soluciones. Piense en la gravedad de la alerta. ¿Solo se ven afectados algunos usuarios o es un problema generalizado? ¿El cambio reciente de una directiva tiene consecuencias no deseadas?

Se recomienda examinar periódicamente las alertas y los datos de supervisión de estado para identificar tendencias y posibles problemas antes de que se conviertan en problemas generalizados.

Pasos siguientes

• Solucionar problemas de inicio de sesión con el acceso condicional
• Uso de registros de auditoría para solucionar problemas de cambios en la directiva de acceso condicional