Microsoft Entra Health-bewakingswaarschuwingen onderzoeken (preview)
Artikel
Met Microsoft Entra Health-bewaking kunt u de status van uw Microsoft Entra-tenant bewaken via een set metrische statusgegevens en intelligente waarschuwingen. Gezondheidsstatistieken worden ingevoerd in onze anomaliedetectieservice, die gebruikmaakt van machine learning om inzicht te krijgen in de patronen voor uw gebruikersomgeving. Wanneer de anomaliedetectieservice een belangrijke wijziging in een van de patronen op tenantniveau identificeert, wordt er een waarschuwing geactiveerd.
De signalen en waarschuwingen van Microsoft Entra Health bieden u het startpunt voor het onderzoeken van potentiële problemen in uw tenant. Omdat er een groot aantal scenario's en nog meer gegevenspunten zijn die u moet overwegen, is het belangrijk om te begrijpen hoe u deze waarschuwingen effectief kunt onderzoeken. Dit artikel bevat richtlijnen voor het onderzoeken van een waarschuwing, maar is niet specifiek voor een waarschuwing.
Belangrijk
Microsoft Entra Health-scenariobewaking en -waarschuwingen zijn momenteel beschikbaar in PREVIEW.
Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd vóór de release. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Voorwaarden
Er zijn verschillende rollen, machtigingen en licentievereisten voor het weergeven van statuscontrolesignalen en het configureren en ontvangen van waarschuwingen. We raden u aan een rol met minimale bevoegdheidstoegang te gebruiken om te voldoen aan de Zero Trust-richtlijnen.
Een tenant met een Microsoft Entra P1- of P2-licentie is vereist om de bewakingssignalen van het Microsoft Entra-statusscenario weer te geven.
Een tenant met een Microsoft Entra P1- of P2-licentieen ten minste 100 maandelijkse actieve gebruikers is vereist om waarschuwingen weer te geven en waarschuwingsmeldingente ontvangen.
De rol van rapportlezer is de minst bevoorrechte rol die nodig is om scenariobewakingssignalen, waarschuwingen en configuraties van waarschuwingen te bekijken.
De Helpdeskbeheerder is de minst bevoorrechte rol die vereist is om updatewaarschuwingen en configuraties voor waarschuwingsmeldingen bij te werken.
De HealthMonitoringAlert.Read.All machtiging is vereist om de waarschuwingen te weergeven met behulp van de Microsoft Graph API.
De HealthMonitoringAlert.ReadWrite.All machtiging is vereist om de waarschuwingen te weergeven en wijzigen met behulp van de Microsoft Graph API-.
Nieuwe huurders in het aanmeldproces hebben mogelijk niet genoeg gegevens om gedurende ongeveer 30 dagen waarschuwingen te genereren.
Momenteel zijn waarschuwingen alleen beschikbaar met de Microsoft Graph API.
Toegang tot metrische gegevens en signalen van Microsoft Entra Health
U kunt de Microsoft Entra Health-bewakingssignalen bekijken vanuit het Microsoft Entra-beheercentrum. U kunt ook de eigenschappen van de signalen en de openbare preview van meldingen voor gezondheidscontrole bekijken met behulp van Microsoft Graph API's.
Blader naar Identity>Monitoring en Gezondheid>Gezondheid. De pagina opent op de Service Level Agreement (SLA) Bereik-pagina.
Selecteer het tabblad Scenariobewaking.
Selecteer Details weergeven voor het scenario dat u wilt onderzoeken.
De standaardweergave is de afgelopen zeven dagen, maar u kunt het datumbereik aanpassen aan 24 uur, zeven dagen of één maand.
De gegevens worden elke 15 minuten bijgewerkt.
We raden u aan deze signalen regelmatig te bekijken, zodat u de trends en patronen van uw tenant kunt herkennen.
Met de Microsoft Graph-API's kunt u de metrische gegevens bekijken waaruit de statussignalen en waarschuwingen zijn opgebouwd en de impactsamenvatting voor een statuswaarschuwing bekijken. De serviceActivity-resource haalt de metrische gegevens op die worden ingevoerd in de Microsoft Entra Health-bewakingssignalen, die worden gevisualiseerd in het Microsoft Entra-beheercentrum. Zie resourcetype serviceActivityvoor meer informatie.
Het uitvoeren van deze query's geeft het aantal keren aan dat de serviceactiviteit zich gedurende een bepaald tijdsbestek heeft voorgedaan. Als u bijvoorbeeld het aantal geslaagde MFA-aanmeldingen (MultiFactor Authentication) wilt zien, voert u de volgende query uit:
GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)
Het antwoord laat zien hoeveel geslaagde aanmeldingen zijn opgetreden binnen het specifieke tijdsbestek, geaggregeerd per intervallen van tien minuten.
U en uw team kunnen de status van deze scenario's effectiever bewaken wanneer u e-mailmeldingen configureert. Wanneer u een waarschuwing ontvangt of als u een wijziging ziet in een patroon dat u vermoedt, moet u doorgaans de volgende gegevenssets onderzoeken:
Impact van waarschuwingen: het gedeelte van het antwoord nadat impacts het bereik kwantificeert en de betrokken resources samenvat. Deze details omvatten de impactCount, zodat u kunt bepalen hoe wijdverspreid het probleem is.
waarschuwingssignalen: de gegevensstroom of het statussignaal dat de waarschuwing heeft veroorzaakt. Er wordt een query gegeven in het antwoord voor verder onderzoek.
Aanmeldingslogboeken: Er wordt een query gegeven in het antwoord voor verder onderzoek naar de aanmeldingslogboeken waarin het statussignaal is geproduceerd. De aanmeldingslogboeken bevatten gedetailleerde metagegevens van gebeurtenissen die kunnen worden gebruikt om de hoofdoorzaak van een probleem te identificeren.
scenariospecifieke resources: afhankelijk van het scenario moet u mogelijk intune-nalevingsbeleid of beleid voor voorwaardelijke toegang onderzoeken. In veel gevallen wordt er een koppeling naar gerelateerde documentatie weergegeven in het antwoord.
De effecten en signalen weergeven
Voeg in Microsoft Graph de volgende query toe om alle waarschuwingen voor uw tenant op te halen.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Zoek en sla de id op van de waarschuwing die u wilt onderzoeken.
Voeg de volgende query toe met behulp van id als de alertId.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Het gedeelte van het antwoord na impacts vormt de impactsamenvatting voor de waarschuwing.
Het supportingData gedeelte bevat de volledige query die wordt gebruikt om de waarschuwing te genereren.
De resultaten van de query bevatten alles wat is geïdentificeerd door de anomaliedetectieservice, maar er kunnen resultaten zijn die niet rechtstreeks zijn gerelateerd aan de waarschuwing.
Blader naar Bewaking & gezondheid>Aanmeldingslogboeken.
Pas het tijdsbereik aan zodat het overeenkomt met het tijdsbestek van de waarschuwing.
Voeg een filter toe voor voorwaardelijke toegang.
Selecteer een logboekvermelding om de details van de aanmeldingslogboeken weer te geven en selecteer het tabblad Voorwaardelijke toegang om de toegepaste beleidsregels weer te geven.
De scenariospecifieke resources weergeven
Elke waarschuwing kan een andere gegevensset hebben om te onderzoeken. Zie de volgende artikelen voor meer informatie over elk type waarschuwing:
Nadat u alle gegevens met betrekking tot het scenario hebt verzameld, moet u rekening houden met mogelijke hoofdoorzaken en mogelijke oplossingen onderzoeken. Denk na over de ernst van de waarschuwing. Zijn er slechts een handvol gebruikers betrokken of is het een wijdverspreid probleem? Heeft een recente beleidswijziging onbedoelde gevolgen gehad?
We raden u aan om regelmatig de waarschuwingen en statuscontrolegegevens te bekijken om trends en potentiële problemen te identificeren voordat ze wijdverspreide problemen worden.
