Comment utiliser les alertes de monitoring de Microsoft Entra Health (préversion)
Le monitoring de Microsoft Entra Health offre la possibilité de monitorer l’intégrité de votre tenant Microsoft Entra via un ensemble d’alertes intelligentes et de métriques d’intégrité. Les métriques d’intégrité sont alimentées dans notre service de détection d’anomalie qui utilise Machine Learning pour comprendre les modèles pour votre tenant. Lorsque le service de détection d’anomalie identifie un changement significatif dans l’un des modèles au niveau du tenant, il déclenche une alerte. Vous recevez des notifications par e-mail en cas de détection d’un problème potentiel ou d’une condition de défaillance au sein des scénarios d’intégrité. Pour découvrir plus d'informations sur Microsoft Entra Health, reportez-vous à Qu’est-ce que Microsoft Entra Health ?.
Cet article fournit des conseils sur la manière de :
- Accédez à Microsoft Entra Health.
- Configurez les notifications par e-mail pour les alertes.
- Examinez une alerte.
Prérequis
Il existe différents rôles, autorisations et licences nécessaires pour voir les signaux de monitoring de l’intégrité ainsi que pour configurer et recevoir des alertes. Nous vous recommandons d’utiliser un rôle disposant d’un accès avec des privilèges minimums pour vous aligner sur les conseils de Confiance Zéro.
- Un tenant (locataire) disposant d’une licence Microsoft Entra P1 ou P2 est nécessaire pour voir les signaux de monitoring de scénarios d’intégrité Microsoft Entra.
- Un tenant (locataire) disposant à la fois d’une licence Microsoft Entra P1 ou P2 et d’au moins 100 utilisateurs actifs mensuels est nécessaire pour voir les alertes et recevoir des notifications d’alerte.
- Le rôle Lecteur de rapports est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour voir les signaux de monitoring de scénarios, les alertes et les configurations d’alerte.
- L’Administrateur du support technique est le rôle privilégié avec droits d’accès minimaux dont vous devez disposer pour mettre à jour les alertes et mettre à jour les configurations de notification d’alerte.
- L’autorisation
HealthMonitoringAlert.Read.Allest nécessaire pour voir les alertes à l’aide de l’API Microsoft Graph. - L’autorisation
HealthMonitoringAlert.ReadWrite.Allest nécessaire pour voir et modifier les alertes à l’aide de l’API Microsoft Graph. - Pour une liste complète des rôles, voir Rôle le moins privilégié par tâche.
Limitations connues
- Il est possible que les tenants nouvellement intégrés n’aient pas suffisamment de données pour générer des alertes pendant 30 jours environ.
- Actuellement, les alertes sont uniquement disponibles avec l’API Microsoft Graph.
Accès à Microsoft Entra Health
Vous pouvez afficher le rapport de réalisation du Contrat de niveau de service (SLA) de Microsoft Entra Health et les signaux de monitoring de l’intégrité à partir du centre d’administration Microsoft Entra. Vous pouvez également afficher ces flux de données et la préversion publique des alertes de monitoring de l’intégrité en utilisant les API Microsoft Graph. Activez la préversion de monitoring du scénario.
Connectez-vous au Centre d’administration Microsoft Entra en tant que Lecteur de rapports.
Accédez à Identité>Monitoring et intégrité>Intégrité.
Sélectionnez l’onglet Monitoring du scénario.
Sélectionnez Afficher les détails pour le scénario que vous souhaitez examiner.
L’affichage par défaut correspond aux 7 derniers jours, mais vous pouvez ajuster la plage de dates sur 24 heures, 7 jours ou 1 mois. Les données sont mises à jour toutes les 15 minutes.
Configurer les notifications par e-mail
Grâce à l’API des alertes de monitoring de l’intégrité de Microsoft Graph, vous pouvez configurer les notifications par e-mail. Vous pouvez exécuter les appels d’API à une cadence régulière (par exemple, quotidiennement ou toutes les heures), ou vous pouvez configurer des notifications par e-mail sur le moment approprié pour déclencher une alerte. Nous vous recommandons un monitoring quotidien des alertes et des signaux de monitoring du scénario.
Les notifications par e-mail sont envoyées au groupe Microsoft Entra de votre choix. Nous vous recommandons d’envoyer des alertes aux utilisateurs ayant l’accès approprié pour examiner et prendre des mesures sur les alertes. Les rôles ne peuvent pas tous prendre la même mesure. Envisagez donc d’inclure un groupe avec les rôles suivants :
- Lecteur Sécurité
- Administrateur de la sécurité
- Administrateur Intune
- Administrateur de l’accès conditionnel
Pour configurer les notifications d’alerte, vous devez avoir l’ID du groupe Microsoft Entra pour lequel vous souhaitez recevoir les alertes ET l’ID d’alerte du scénario. Vous pouvez configurer divers groupes afin de recevoir des alertes pour les différents scénarios d’alerte.
Localiser l’ID d’objet du groupe
Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
Accédez à Groupes>Tous les groupes> et sélectionnez le groupe pour lequel vous souhaitez recevoir les alertes.
Sélectionnez Propriétés, puis copiez l’
Object IDdu groupe.
Rechercher le type d’alerte du scénario
Connectez-vous à l’Explorateur Microsoft Graph en tant qu’Administrateur du support technique au moins et donnez votre consentement aux autorisations appropriées.
Sélectionnez GET comme méthode HTTP à partir de la liste déroulante et définissez la version d’API sur bêta.
Exécutez la requête suivante pour récupérer la liste des alertes pour votre tenant.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alertsRecherchez et enregistrez le
alertTypede l’alerte pour laquelle vous souhaitez être averti, par exemplealertType: "mfaSignInFailure.
Configurer les notifications par e-mail
Dans l’Explorateur Microsoft Graph, exécutez la requête PATCH suivante pour configurer les notifications par e-mail pour les alertes.
- Remplacez
{alertType}par lealertTypespécifique que vous souhaitez configurer. - Remplacez
Object ID of the grouppar l’Object IDdu groupe pour lequel vous souhaitez recevoir les alertes. - Pour découvrir plus d’informations, voir configurer des notifications par e-mail pour les alertes.
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json
{
"emailNotificationConfigurations": [
{
"groupId":"Object ID of the group",
"isEnabled": true
}
]
}
Examiner l’alerte et les signaux
Une fois les notifications par e-mail configurées, votre équipe et vous-même pouvez monitorer plus efficacement l’intégrité de ces scénarios. Quand vous recevez une alerte, vous devez généralement examiner les jeux de données suivants :
- Impact d’alerte : la part de la réponse après la quantification de l’étendue et le résumé des ressources affectées par
impacts. Ces détails incluent leimpactCountafin que vous puissiez déterminer le degré de généralisation du problème. - Signaux d’alerte : le flux de données ou signal d’intégrité ayant provoqué l’alerte. Une requête est fournie dans la réponse pour un examen approfondi.
- Journaux d’activité de connexion : une requête est fournie dans la réponse pour examen approfondi dans les journaux d’activité de connexion où le signal d’intégrité a été généré. Les journaux d’activité de connexion fournissent des métadonnées d’événement détaillés qui sont susceptibles d’être utilisés pour identifier la cause racine d’un problème.
- Ressources spécifiques au scénario : selon votre scénario, il est possible que vous deviez examiner les stratégies de conformité Intune ou les stratégies d’accès conditionnel. Dans de nombreux cas, un lieu vers la documentation associée est fourni dans la réponse.
Afficher les impacts et les signaux
Dans Microsoft Graph, ajoutez la requête suivante pour récupérer toutes les alertes pour votre tenant.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alertsRecherchez et enregistrez l’
idde l’alerte que vous souhaitez examiner.Ajoutez la requête suivante en utilisant
iden tant quealertId.GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Pour obtenir des exemples de requête et de réponse, consultez Objets d’alerte de liste du monitoring de l’intégrité.
- La partie de la réponse après
impactscompose le résumé d’impact de l’alerte. - La portion
supportingDatainclut la requête complète utilisée pour générer l’alerte. - Les résultats de la requête incluent tout ce qui est identifié par le service de détection d’anomalie, mais il est possible qu’il existe des résultats non directement associés à l’alerte.
Afficher les journaux d’activité de connexion
- Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
- Si vous devez modifier les stratégies d’accès conditionnel, vous avez besoin du rôle Administrateur d’accès conditionnel.
- Accédez à Monitoring et intégrité>Journaux d’activité de connexion.
- Ajustez l’intervalle de temps à faire correspondre au délai d’exécution de l’alerte.
- Ajoutez un filtre pour l’accès conditionnel.
- Sélectionnez une entrée du journal pour afficher les détails des journaux d’activité de connexion et sélectionnez l’onglet Accès conditionnel pour voir les stratégies qui ont été appliquées.
Afficher les ressources spécifiques au scénario
Il est possible que chaque alerte ait un différent jeu de données à examiner. Pour obtenir des détails sur chaque type d’alerte, consultez les articles suivants :
- Connexions nécessitant un appareil conforme ou géré
- Connexions nécessitant l’authentification multifacteur (MFA)
Analyser les causes racines possibles
Après collecte de toutes les données associées au scénario, vous devez considérer les causes racines possibles et les solutions éventuelles de recherche. Pensez au sérieux de l’alerte. Seuls quelques utilisateurs sont affectés ou est-ce un problème généralisé ? Une récente modification de stratégie a-t-elle des conséquences inattendues ?
Nous vous recommandons de consulter régulièrement les alertes et données de monitoring de l’intégrité pour identifier les tendances et problèmes potentiels avant qu’ils ne deviennent des problèmes généralisés.