Jak zbadać alerty monitorowania usługi Microsoft Entra Health (wersja zapoznawcza)

Monitorowanie funkcjonalności Microsoft Entra Health pomaga monitorować stan zdrowia dzierżawy Microsoft Entra poprzez zestaw wskaźników zdrowia i inteligentne alerty. Metryki zdrowotne są przesyłane do naszej usługi wykrywania anomalii zdrowotnych, która używa uczenia maszynowego do analizy wzorców dla lokatora. Gdy usługa wykrywania anomalii identyfikuje znaczącą zmianę w jednym z wzorców na poziomie dzierżawy, wyzwala alert.

Sygnały i alerty udostępniane przez firmę Microsoft Entra Health zapewniają punkt wyjścia do badania potencjalnych problemów w dzierżawie. Ponieważ istnieje wiele scenariuszy i jeszcze więcej punktów danych do rozważenia, ważne jest, aby zrozumieć, jak skutecznie badać te alerty. Ten artykuł zawiera wskazówki dotyczące sposobu badania alertu, ale nie jest specyficzny dla żadnego alertu.

Ważny

Monitorowanie i alerty dotyczące scenariusza usługi Microsoft Entra Health są obecnie dostępne w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.

Warunki wstępne

Istnieją różne role, uprawnienia i wymagania licencyjne dotyczące wyświetlania sygnałów monitorowania kondycji oraz konfigurowanie i odbieranie alertów. Zalecamy użycie roli z dostępem do minimalnych uprawnień, aby dostosować się do wskazówek dotyczących Zero Trust.

• Dzierżawa z licencją Microsoft Entra P1 lub P 2 jest wymagana do wyświetlania sygnałów monitorowania scenariusza kondycji firmy Microsoft Entra.
• Dzierżawa z licencją Microsoft Entra P1 lub P2i co najmniej 100 aktywnych użytkowników jest wymagana, aby wyświetlić alerty i otrzymywać powiadomienia o alertach.
• Rola czytelnika raportów jest najmniej uprzywilejowaną rolą wymaganą do wyświetlania sygnałów monitorowania scenariusza, alertów i konfiguracji alertów.
• Administrator pomocy technicznej jest najmniej uprzywilejowaną rolą wymaganą do aktualizacji alertów i aktualizacji konfiguracji powiadomień o alertach.
• Uprawnienie HealthMonitoringAlert.Read.All jest wymagane do wyświetlania alertów za pomocą interfejsu API Microsoft Graph.
• Uprawnienie HealthMonitoringAlert.ReadWrite.All jest wymagane do wyświetlania i modyfikowania alertów przy użyciu interfejsu API Microsoft Graph.
• Aby uzyskać pełną listę ról, zobacz Rola najmniej uprzywilejowana według zadania.

Znane ograniczenia

• Nowo przyjęci najemcy mogą nie mieć wystarczającej ilości danych, aby wygenerować alerty przez około 30 dni.
• Obecnie alerty są dostępne tylko za pomocą interfejsu API programu Microsoft Graph.

Uzyskiwanie dostępu do metryk i sygnałów usługi Microsoft Entra Health

Możesz wyświetlić sygnały monitorowania usługi Microsoft Entra Health z centrum administracyjnego firmy Microsoft Entra. Możesz również wyświetlić właściwości sygnałów i publicznej wersji zapoznawczej alertów monitorowania kondycji, korzystając z interfejsów API programu Microsoft Graph.

centrum administracyjne

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Odbiorca raportów.

2. Przejdź do Identity>Monitorowanie i zdrowie>Zdrowie. Strona zostanie otwarta na stronie Osiągnięcia umowy dotyczącej poziomu usług (SLA).

3. Wybierz kartę monitorowanie scenariuszy.

   

4. Wybierz opcję Wyświetl szczegóły dla scenariusza, który chcesz zbadać.

   • Widok domyślny to ostatnie siedem dni, ale można dostosować zakres dat do 24 godzin, siedmiu dni lub jednego miesiąca.
   • Dane są aktualizowane co 15 minut.
   • Zalecamy regularne przeglądanie tych sygnałów, aby rozpoznać trendy i wzorce twojego najemcy.

   

Microsoft Graph API

Za pomocą interfejsów API programu Microsoft Graph można wyświetlić metryki, które składają się na sygnały kondycji i alerty, i przejrzeć podsumowanie wpływu alertu dotyczącego kondycji. Zasób serviceActivity pobiera metryki, które są wprowadzane do sygnałów monitorowania usługi Microsoft Entra Health, które są wizualizowane w centrum administracyjnym firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz zasób typu aktywnośćSerwisowa.

Uruchomienie tych zapytań zapewnia liczbę przypadków wystąpienia działania usługi w określonym przedziale czasu. Aby na przykład wyświetlić liczbę pomyślnych logów uwierzytelniania wieloskładnikowego (MFA), należy uruchomić następujące zapytanie:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Odpowiedź pokazuje, ile pomyślnych logowań wystąpiło w określonym przedziale czasu, zagregowanych w dziesięciominutowych odstępach.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Badanie alertów i sygnałów

Ty i Twój zespół mogą efektywniej monitorować kondycję tych scenariuszy podczas konfigurowania powiadomień e-mail. Gdy otrzymasz alert lub zauważysz zmianę wzorca, którą podejrzewasz o konieczność zbadania, zwykle należy przyjrzeć się następującym zestawom danych:

• wpływ alertu: część odpowiedzi po impacts kwantyfikuje zakres i podsumowuje zasoby, których dotyczy ten wpływ. Te szczegóły obejmują impactCount, dzięki czemu można określić, jak powszechny jest problem.
• Sygnały alertu: strumień danych lub sygnał zdrowotny, który spowodował alert. Zapytanie jest podane w odpowiedzi do dalszego zbadania.
• dzienniki logowania: Do dalszej analizy dzienników logowania, w których wygenerowano sygnał związany ze stanem systemu, podano zapytanie w odpowiedzi. Dzienniki logowania zawierają szczegółowe metadane zdarzeń, które mogą służyć do identyfikowania głównej przyczyny problemu.
• zasoby specyficzne dla scenariusza: w zależności od scenariusza może być konieczne zbadanie zasad zgodności usługi Intune lub zasad dostępu warunkowego. W wielu przypadkach w odpowiedzi znajduje się link do powiązanej dokumentacji.

Wyświetl wpływy i sygnały

1. W programie Microsoft Graph dodaj następujące zapytanie, aby pobrać wszystkie alerty dla twojego dzierżawcy.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Znajdź id alertu, który chcesz zbadać, i zapisz go.

3. Dodaj następujące zapytanie, używając id jako alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Aby uzyskać przykładowe żądania i odpowiedzi, zobacz listę obiektów alertów monitorowania kondycji pod pozycją .

• Część odpowiedzi po impacts stanowi podsumowanie wpływu alertu.
• Część supportingData zawiera pełne zapytanie używane do generowania alertu.
• Wyniki zapytania obejmują wszystkie elementy zidentyfikowane przez usługę wykrywania anomalii, ale mogą wystąpić wyniki, które nie są bezpośrednio związane z alertem.

Wyświetlanie dzienników logowania

1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Odbiorca Raportów.
   • Jeśli musisz zmodyfikować zasady dostępu warunkowego, musisz mieć rolę administratora dostępu warunkowego.
2. Przejdź do Monitorowanie kondycji &>dzienników logowania.
   • Dostosuj zakres czasu, aby był zgodny z przedziałem czasu alertu.
   • Dodaj filtr dostępu warunkowego.
   • Wybierz wpis dziennika, aby wyświetlić szczegóły dzienników logowania, a następnie wybierz kartę Dostęp warunkowy, aby wyświetlić zastosowane zasady.

Wyświetlanie zasobów specyficznych dla scenariusza

Każdy alert może mieć inny zestaw danych do zbadania. Aby uzyskać szczegółowe informacje na temat każdego typu alertu, zobacz następujące artykuły:

• Logowanie wymagające zgodnego lub zarządzanego urządzenia
• logowania wymagające uwierzytelniania wieloskładnikowego (MFA)

Analizowanie możliwych głównych przyczyn

Po zebraniu wszystkich danych związanych ze scenariuszem należy rozważyć możliwe główne przyczyny i zbadać potencjalne rozwiązania. Pomyśl o powagi alertu. Czy dotyczy to tylko kilku użytkowników, czy jest to powszechny problem? Czy niedawna zmiana zasad miała niezamierzone konsekwencje?

Zalecamy regularne analizowanie alertów i danych monitorowania kondycji w celu identyfikowania trendów i potencjalnych problemów, zanim staną się one powszechnymi problemami.

Powiązana zawartość

• Logowania wymagające urządzenia zgodnego lub zarządzanego
• logowania wymagające uwierzytelniania wieloskładnikowego
• dokumentacja interfejsu API monitorowania alertów programu Microsoft Graph Health