Microsoft Entra Health 모니터링 경고를 조사하는 방법(미리 보기)

Microsoft Entra Health 모니터링을 사용하면 상태 메트릭 및 지능형 경고 집합을 통해 Microsoft Entra 테넌트 상태를 모니터링할 수 있습니다. 건강 지표는 당신의 테넌트에 대한 패턴을 이해하기 위해 기계 학습을 사용하는 이상 탐지 서비스에 제공됩니다. 변칙 검색 서비스가 테넌트 수준 패턴 중 하나에서 중요한 변경 사항을 식별하면 경고가 트리거됩니다.

Microsoft Entra Health에서 제공하는 신호 및 경고는 테넌트에서 잠재적인 문제를 조사하기 위한 시작점을 제공합니다. 다양한 시나리오와 고려해야 할 더 많은 데이터 요소가 있으므로 이러한 경고를 효과적으로 조사하는 방법을 이해하는 것이 중요합니다. 이 문서에서는 경고를 조사하는 방법에 대한 지침을 제공하지만 경고와는 관련이 없습니다.

중요하다

Microsoft Entra Health 시나리오 모니터링 및 경고는 현재 미리 보기로 제공됩니다. 이 정보는 릴리스 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시적이거나 묵시적인 보증을 하지 않습니다.

필수 구성 요소

상태 모니터링 신호를 보고 경고를 구성하고 수신하기 위한 다양한 역할, 권한 및 라이선스 요구 사항이 있습니다. 최소 권한 액세스 권한이 있는 역할을 사용하여 제로 트러스트 지침과 일치하도록 하는 것이 좋습니다.

• Microsoft Entra P1 또는 P2 라이선스 있는 테넌트는 Microsoft Entra 상태 시나리오 모니터링 신호를 확인해야 합니다.
• Microsoft Entra P1 또는 P2 라이선스를 보유하고 100명 이상의 월간 활성 사용자가 있는 테넌트는 경고를 보고 경고 알림을 받을 수 있어야 합니다.
• 보고서 읽기 권한자 역할은 시나리오 모니터링 신호, 경고 및 경고 구성 설정보기 위해 필요한 최소 권한입니다.
• 헬프데스크 관리자 역할은 경고를 업데이트하고 경고 알림 구성 을 업데이트하는 데 필요한 최소 권한 역할입니다.
• Microsoft Graph API사용하여 경고를 볼 권한이 필요합니다.
• Microsoft Graph API를 사용하여 경고를 보고 수정하려면 권한이 필요합니다.
• 역할의 전체 목록은 태스크최소 권한 역할을 참조하세요.

알려진 제한 사항

• 새로 온보딩된 테넌트에는 약 30일 동안 경고를 생성하기에 충분한 데이터가 없을 수 있습니다.
• 현재 경고는 Microsoft Graph API에서만 사용할 수 있습니다.

Microsoft Entra Health 메트릭 및 신호에 액세스

Microsoft Entra 관리 센터에서 Microsoft Entra Health 모니터링 신호를 볼 수 있습니다. Microsoft Graph API사용하여 신호의 속성과 상태 모니터링 경고의 공개 미리 보기를 볼 수도 있습니다.

관리 센터

1. Microsoft Entra 관리 센터에 최소한 보고서 읽기 권한자로 로그인하세요.

2. 정체성>모니터링 및 건강>건강찾습니다. 페이지가 SLA(서비스 수준 계약) 달성 페이지로 열립니다.

3. 시나리오 모니터링 탭을 선택합니다.

   

4. 조사하려는 시나리오에 대한 세부 정보를 보기 위해 선택합니다.

   • 기본 보기는 지난 7일이지만 날짜 범위를 24시간, 7일 또는 1개월로 조정할 수 있습니다.
   • 데이터는 15분마다 업데이트됩니다.
   • 테넌트의 추세와 패턴을 인식할 수 있도록 이러한 신호를 정기적으로 검토하는 것이 좋습니다.

   

Microsoft Graph API

Microsoft Graph API를 사용하면 상태 신호 및 경고를 구성하는 메트릭을 보고 상태 경고에 대한 영향 요약을 검토할 수 있습니다. serviceActivity 리소스는 Microsoft Entra 관리 센터에서 시각화되는 Microsoft Entra Health 모니터링 신호에 공급되는 메트릭을 가져옵니다. 자세한 내용은 serviceActivity 리소스 종류참조하세요.

이러한 쿼리를 실행하면 특정 시간 프레임 동안 서비스 활동이 발생한 횟수가 제공됩니다. 예를 들어 성공적인 MFA(다단계 인증) 로그인 수를 보려면 다음 쿼리를 실행합니다.

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

응답은 10분 간격으로 집계된 특정 시간 프레임 동안 성공한 로그인 수를 보여 줍니다.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

경고 및 신호를 조사합니다

사용자와 팀은 이메일 알림을 구성할 때 이러한 시나리오의 상태를 보다 효과적으로 모니터링할 수 있습니다. 경고를 받거나 패턴이 변경되면 조사가 필요할 수 있습니다. 일반적으로 다음 데이터 집합을 조사해야 합니다.

• 경고 영향: impacts 후의 응답 부분은 범위를 정량화하고 영향을 받은 리소스를 요약합니다. 이러한 세부 정보에는 impactCount 포함되므로 문제가 얼마나 광범위한지 확인할 수 있습니다.
• 경고 신호는: 경고를 발생시킨 데이터 스트림 또는 상태 신호입니다. 추가 조사를 위해 응답에 쿼리가 제공됩니다.
• 로그인 로그: 상태 신호가 생성된 로그인 로그에 대한 추가 조사를 위해 응답에 쿼리가 제공됩니다. 로그인 로그는 문제의 근본 원인을 식별하는 데 사용할 수 있는 자세한 이벤트 메타데이터를 제공합니다.
• 시나리오별 리소스: 시나리오에 따라 Intune 준수 정책 또는 조건부 액세스 정책을 조사해야 할 수 있습니다. 대부분의 경우 관련 설명서에 대한 링크가 응답에 제공됩니다.

영향 및 신호 보기

1. Microsoft Graph에서 다음 쿼리를 추가하여 테넌트에 대한 모든 경고를 검색합니다.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. 조사하려는 경고의 id을 찾아서 저장하십시오.

3. alertId으로서 id를 사용하여 다음 쿼리를 추가합니다.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

샘플 요청 및 응답은 상태 모니터링 목록 경고 개체참조하세요.

• impacts 후의 응답 부분은 경고에 대한 영향 요약을 구성합니다.
• supportingData 부분에는 경고를 생성하는 데 사용되는 전체 쿼리가 포함됩니다.
• 쿼리 결과에는 변칙 검색 서비스에서 식별된 모든 항목이 포함되지만 경고와 직접 관련이 없는 결과가 있을 수 있습니다.

로그인 로그 보기

1. Microsoft Entra 관리 센터 보고서 읽기 권한자로그인합니다.
   • 조건부 액세스 정책을 수정해야 하는 경우 조건부 액세스 관리자 역할이 필요합니다.
2. 모니터링 & 상태>로그인 로그이동합니다.
   • 경고 시간 프레임과 일치하도록 시간 범위를 조정합니다.
   • 조건부 액세스에 대한 필터를 추가합니다.
   • 로그 항목을 선택하여 로그인 로그 세부 정보를 보고 조건부 액세스 탭을 선택하여 적용된 정책을 확인합니다.

시나리오별 리소스 보기

각 경고에는 조사할 다른 데이터 집합이 있을 수 있습니다. 각 경고 유형에 대한 자세한 내용은 다음 문서를 참조하세요.

• 규격 또는 관리되는 디바이스가 필요한 로그인
• 다단계 인증(MFA)이 필요한 로그인

가능한 근본 원인 분석

시나리오와 관련된 모든 데이터를 수집한 후에는 가능한 근본 원인을 고려하고 잠재적인 솔루션을 연구해야 합니다. 경고의 심각성을 생각해 보세요. 소수의 사용자만 영향을 받습니까, 아니면 광범위한 문제입니까? 최근의 정책 변경으로 의도하지 않은 결과가 있었나요?

경고 및 상태 모니터링 데이터를 정기적으로 확인하여 광범위한 문제가 되기 전에 추세 및 잠재적인 문제를 식별하는 것이 좋습니다.

관련 콘텐츠

• 준수하거나 관리되는 기기를 필요로 하는 로그인 요구
• MFA가 필요한 로그인
• Microsoft Graph Health 모니터링 경고 API 문서