Jak używać alertów monitorowania usługi Microsoft Entra Health (wersja zapoznawcza)
Monitorowanie usługi Microsoft Entra Health umożliwia monitorowanie kondycji dzierżawy firmy Microsoft Entra za pomocą zestawu metryk kondycji i inteligentnych alertów. Metryki kondycji są wprowadzane do naszej usługi wykrywania anomalii, która używa uczenia maszynowego do zrozumienia wzorców dla dzierżawy. Gdy usługa wykrywania anomalii identyfikuje znaczącą zmianę w jednym z wzorców na poziomie dzierżawy, wyzwala alert. Możesz otrzymywać powiadomienia e-mail, gdy w scenariuszach dotyczących kondycji zostanie wykryty potencjalny problem lub błąd. Aby uzyskać więcej informacji na temat usługi Microsoft Entra Health, zobacz Co to jest microsoft Entra Health.
Ten artykuł zawiera wskazówki dotyczące wykonywania następujących instrukcji:
- Uzyskaj dostęp do usługi Microsoft Entra Health.
- Konfigurowanie powiadomień e-mail dotyczących alertów.
- Zbadaj alert.
Wymagania wstępne
Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy używanie roli z dostępem do najniższych uprawnień, aby dopasować je do wskazówek dotyczących relacji Zero Trust.
- Dzierżawa z licencją Microsoft Entra P1 lub P2 jest wymagana do wyświetlania sygnałów monitorowania scenariusza kondycji firmy Microsoft Entra.
- Dzierżawa z licencją microsoft Entra P1 lub P2 i co najmniej 100 miesięcznych aktywnych użytkowników jest wymagana do wyświetlania alertów i odbierania powiadomień o alertach.
- Rola Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
- Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizowania alertów i aktualizowania konfiguracji powiadomień o alertach.
- Uprawnienie
HealthMonitoringAlert.Read.All
jest wymagane do wyświetlania alertów przy użyciu interfejsu API programu Microsoft Graph. - Uprawnienie
HealthMonitoringAlert.ReadWrite.All
jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API programu Microsoft Graph. - Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.
Znane ograniczenia
- Nowo dołączone dzierżawy mogą nie mieć wystarczającej ilości danych, aby wygenerować alerty przez około 30 dni.
- Obecnie alerty są dostępne tylko za pomocą interfejsu API programu Microsoft Graph.
Uzyskiwanie dostępu do usługi Microsoft Entra Health
Możesz wyświetlić raport dotyczący poziomu usług firmy Microsoft Entra Health (SLA) i sygnały monitorowania kondycji z centrum administracyjnego firmy Microsoft Entra. Możesz również wyświetlić te strumienie danych oraz publiczną wersję zapoznawcza alertów monitorowania kondycji przy użyciu interfejsów API programu Microsoft Graph. Włącz podgląd monitorowania scenariusza.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
Przejdź do strony Monitorowanie tożsamości>i kondycja kondycji.>
Wybierz kartę Monitorowanie scenariusza.
Wybierz pozycję Wyświetl szczegóły dla scenariusza, który chcesz zbadać.
Widok domyślny to ostatnie siedem dni, ale można dostosować zakres dat do 24 godzin, siedmiu dni lub jednego miesiąca. Dane są aktualizowane co 15 minut.
Konfigurowanie powiadomień e-mail
Za pomocą interfejsu API alertów monitorowania kondycji programu Microsoft Graph można skonfigurować powiadomienia e-mail. Wywołania interfejsu API można uruchamiać w regularnym okresie (na przykład codziennie lub co godzinę) lub skonfigurować powiadomienia e-mail, gdy alert zostanie wyzwolony. Zalecamy codzienne monitorowanie sygnałów i alertów monitorowania scenariusza.
Powiadomienia e-mail są wysyłane do wybranej grupy firmy Microsoft Entra. Zalecamy wysyłanie alertów do użytkowników z odpowiednim dostępem w celu zbadania alertów i podjęcia akcji. Nie każda rola może wykonać tę samą akcję, dlatego rozważ dołączenie grupy z następującymi rolami:
- Czytelnik zabezpieczeń
- Administrator zabezpieczeń
- Intune Administrator
- Administrator dostępu warunkowego
Aby skonfigurować powiadomienia o alertach, potrzebujesz identyfikatora grupy Microsoft Entra, którą chcesz otrzymywać alerty i identyfikator alertu scenariusza. Można skonfigurować różne grupy do odbierania alertów dla różnych scenariuszy alertów.
Lokalizowanie identyfikatora obiektu grupy
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
Przejdź do pozycji Grupy>Wszystkie grupy> i wybierz grupę, którą chcesz otrzymywać alerty.
Wybierz pozycję Właściwości i skopiuj grupę
Object ID
.
Lokalizowanie typu alertu scenariusza
Zaloguj się do Eksploratora programu Microsoft Graph jako co najmniej administrator pomocy technicznej i wyrażasz zgodę na odpowiednie uprawnienia.
Wybierz pozycję GET jako metodę HTTP z listy rozwijanej i ustaw wersję interfejsu API na wersję beta.
Uruchom następujące zapytanie, aby pobrać listę alertów dla dzierżawy.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Znajdź i zapisz
alertType
alert, który chcesz otrzymywać powiadomienia, na przykładalertType: "mfaSignInFailure
.
Konfigurowanie powiadomień e-mail
W Eksploratorze programu Microsoft Graph uruchom następujące zapytanie PATCH, aby skonfigurować powiadomienia e-mail dotyczące alertów.
- Zastąp
{alertType}
element określonymi,alertType
które chcesz skonfigurować. - Zastąp
Object ID of the group
element grupąObject ID
, którą chcesz otrzymywać alerty. - Aby uzyskać więcej informacji, zobacz konfigurowanie powiadomień e-mail dotyczących alertów.
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json
{
"emailNotificationConfigurations": [
{
"groupId":"Object ID of the group",
"isEnabled": true
}
]
}
Badanie alertu i sygnałów
Po skonfigurowaniu powiadomień e-mail Ty i Twój zespół mogą efektywniej monitorować kondycję tych scenariuszy. Po otrzymaniu alertu zazwyczaj należy zbadać następujące zestawy danych:
- Wpływ alertu: część odpowiedzi po
impacts
kwantyfikuje zakres i podsumowuje zasoby, których dotyczy ten wpływ. Te szczegóły obejmują te informacjeimpactCount
, dzięki czemu można określić, jak powszechny jest problem. - Sygnały alertu: strumień danych lub sygnał kondycji, który spowodował alert. Zapytanie jest udostępniane w odpowiedzi na dalsze badanie.
- Dzienniki logowania: zapytanie jest udostępniane w odpowiedzi na dalsze badanie dzienników logowania, w których wygenerowano sygnał kondycji. Dzienniki logowania zawierają szczegółowe metadane zdarzeń, które mogą służyć do identyfikowania głównej przyczyny problemu.
- Zasoby specyficzne dla scenariusza: w zależności od scenariusza może być konieczne zbadanie zasad zgodności usługi Intune lub zasad dostępu warunkowego. W wielu przypadkach w odpowiedzi znajduje się link do powiązanej dokumentacji.
Wyświetlanie wpływu i sygnałów
W programie Microsoft Graph dodaj następujące zapytanie, aby pobrać wszystkie alerty dla dzierżawy.
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
Znajdź i zapisz
id
alert, który chcesz zbadać.Dodaj następujące zapytanie, używając polecenia
id
jakoalertId
.GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Aby uzyskać przykładowe żądania i odpowiedzi, zobacz Obiekty alertów listy monitorowania kondycji.
- Część odpowiedzi po
impacts
utworzeniu podsumowania wpływu alertu. - Część
supportingData
zawiera pełne zapytanie użyte do wygenerowania alertu. - Wyniki zapytania obejmują wszystkie elementy zidentyfikowane przez usługę wykrywania anomalii, ale mogą wystąpić wyniki, które nie są bezpośrednio związane z alertem.
Wyświetlanie dzienników logowania
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
- Jeśli musisz zmodyfikować zasady dostępu warunkowego, potrzebujesz roli Administrator dostępu warunkowego.
- Przejdź do obszaru Monitorowanie i kondycja>dzienników logowania.
- Dostosuj zakres czasu, aby był zgodny z przedziałem czasu alertu.
- Dodaj filtr dostępu warunkowego.
- Wybierz wpis dziennika, aby wyświetlić szczegóły dzienników logowania, a następnie wybierz kartę Dostęp warunkowy, aby wyświetlić zastosowane zasady.
Wyświetlanie zasobów specyficznych dla scenariusza
Każdy alert może mieć inny zestaw danych do zbadania. Aby uzyskać szczegółowe informacje na temat każdego typu alertu, zobacz następujące artykuły:
- Logowania wymagające zgodnego lub zarządzanego urządzenia
- Logowania wymagające uwierzytelniania wieloskładnikowego (MFA)
Analizowanie możliwych głównych przyczyn
Po zebraniu wszystkich danych związanych ze scenariuszem należy rozważyć możliwe główne przyczyny i zbadać potencjalne rozwiązania. Pomyśl o powagi alertu. Czy dotyczy to tylko kilku użytkowników, czy jest to powszechny problem? Czy niedawna zmiana zasad miała niezamierzone konsekwencje?
Zalecamy regularne analizowanie alertów i danych monitorowania kondycji w celu identyfikowania trendów i potencjalnych problemów, zanim staną się one powszechnymi problemami.