Поделиться через


Группы действий

Если данные Azure Monitor указывают на то, что в инфраструктуре или приложении может возникнуть проблема, активируется оповещение. Вы можете использовать группу действий для отправки уведомлений, таких как голосовой звонок, SMS или электронная почта, когда оповещение активируется в дополнение к самому оповещению. Группы действий — это коллекция параметров и действий уведомлений. Azure Monitor, Azure Service Health и Azure Advisor используют группы действий для уведомления пользователей об оповещении и принятия действий. В этой статье показано, как создавать группы действий и управлять ими.

Каждое действие состоит из:

  • Тип — отправленное уведомление или выполненное действие. Примеры: исходящий голосовой звонок, SMS или электронное письмо. Вы также можете активировать различные типы автоматических действий.
  • Имя: уникальный идентификатор в группе действий.
  • Details (Сведения). Соответствующие сведения, которые зависят от типа.

Как правило, группа действий — это глобальная служба. Усилия по повышению их доступности в регионе находятся в разработке.

Глобальные запросы от клиентов могут обрабатываться службами группы действий в любом регионе. Если одна область службы группы действий отключена, трафик автоматически направляется и обрабатывается в других регионах. Как глобальная служба, группа действий помогает предоставить решение для аварийного восстановления. Региональные запросы полагаются на избыточность зоны доступности для удовлетворения требований конфиденциальности и предлагают аналогичное решение для аварийного восстановления.

  • В правило генерации оповещений можно добавить до пяти групп действий.
  • Группы действий выполняются одновременно без определенного порядка.
  • Несколько правил генерации оповещений могут использовать одну и ту же группу действий.
  • Группы действий определяются уникальным набором действий, а пользователи должны получать уведомления. Например, если вы хотите уведомить User1, User2 и User3 по электронной почте для двух разных правил генерации оповещений, необходимо создать только одну группу действий, которую можно применить к обоим правилам генерации оповещений.

Создание группы действий в портал Azure

  1. Переход на портал Azure.

  2. Найдите и выберите Monitor. В области Монитор объединены все параметры мониторинга и данные.

  3. Выберите Оповещения, а затем Группы действий.

    Снимок экрана: страница

  4. Нажмите кнопку создания.

    Снимок экрана: страница групп действий в портал Azure. Кнопка

  5. Настройте базовые параметры группы действий. В разделе сведений о проекте:

    • Выберите значения для параметров Подписка и Группа ресурсов.
    • Выберите регион.

    Примечание.

    Оповещения о работоспособности служб поддерживаются только в общедоступных облаках в глобальном регионе. Для правильной работы групп действий в ответ на оповещение работоспособности службы регион группы действий должен быть задан как глобальный.

    Вариант Поведение
    Глобальный Служба групп действий решает, где хранить группу действий. Группа действий сохраняется как минимум в двух регионах для обеспечения региональной устойчивости. Обработка действий может выполняться в любом географическом регионе.

    Действия голосовой связи, SMS и электронной почты, выполняемые в результате оповещений о работоспособности службы, устойчивы к инцидентам live-site Azure.
    Региональный Группа действий сохраняется в выбранном регионе. Группа действий является избыточной между зонами. Используйте этот параметр, если вы хотите убедиться, что обработка группы действий выполняется в пределах определенной географической границы. Вы можете выбрать один из этих регионов для региональной обработки групп действий:
    - Восточная часть США
    - Западная часть США
    - Восточная часть США2
    - Западная часть США2
    - Южная центральная часть США
    - Северная центральная часть США
    - Центральная Швеция
    - Западная Германия центрально-западная часть
    - Центральная Индия
    - Южная Индия
    Мы постоянно добавляем дополнительные регионы для обработки региональных данных групп действий.

    Группа действий сохраняется в выбранной подписке, регионе и группе ресурсов.

  6. В разделе сведений об экземпляре введите значения для имени группы действий и отображаемого имени. Отображаемое имя используется вместо полного имени группы действий, если эта группа используется для отправки уведомлений.

    Снимок экрана: диалоговое окно

  7. Настройка уведомлений. Нажмите кнопку "Далее" или выберите вкладку "Уведомления" в верхней части страницы.

  8. Определите список уведомлений для отправки при срабатывании оповещения.

  9. Для каждого уведомления:

    1. Выберите тип уведомления и заполните соответствующие поля для этого уведомления. Доступные параметры:

      Тип уведомления Description Поля
      Отправка электронных сообщений роли Azure Resource Manager Отправьте сообщение электронной почты членам подписки на основе их роли.
      См . электронную почту.
      Введите основной адрес электронной почты, настроенную для пользователя Microsoft Entra. См . электронную почту.
      Эл. почта Убедитесь, что фильтрация электронной почты и все службы защиты от вредоносных программ и нежелательной почты настроены соответствующим образом. Электронная почта будет отправляться на следующие адреса:
      * azure-noreply@microsoft.com
      * azureemail-noreply@microsoft.com
      * alerts-noreply@mail.windowsazure.com
      Введите сообщение электронной почты, в котором должно быть отправлено уведомление.
      SMS SMS-уведомления поддерживают двунаправленное взаимодействие. В нем содержится следующее:
      * Короткое имя группы действий, в который было отправлено оповещение
      * Заголовок оповещения.
      Пользователь может ответить на SMS:
      * Отмена подписки на все оповещения SMS для всех групп действий или одной группы действий.
      * Повторная подписка на оповещения
      * Запрос справки.
      Дополнительные сведения о поддерживаемых ответах SMS см . в ответах SMS.
      Введите код страны и номер телефона получателя SMS. Если вы не можете выбрать код своей страны или региона на портале Azure, SMS для него не поддерживаются. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. В качестве обходного решения до тех пор, пока ваша страна не будет поддерживаться, настройте группу действий для вызова веб-перехватчика стороннему поставщику SMS, который поддерживает вашу страну или регион.
      Push-уведомления приложения Azure Отправка уведомлений в мобильное приложение Azure. Чтобы включить push-уведомления в мобильное приложение Azure, укажите дополнительные сведения о мобильном приложении Azure, см . в мобильном приложении Azure. В поле электронной почты учетной записи Azure введите адрес электронной почты, который вы используете в качестве идентификатора учетной записи при настройке мобильного приложения Azure.
      Голосовая связь Голосовое уведомление. Введите код страны и номер телефона получателя уведомления. Если вы не можете выбрать код страны или региона в портал Azure, голосовые уведомления не поддерживаются для вашей страны или региона. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. В качестве обходного решения до тех пор, пока ваша страна не будет поддерживаться, настройте группу действий для вызова веб-перехватчика стороннему поставщику голосовых звонков, который поддерживает вашу страну или регион.
    2. Выберите, нужно ли включить схему распространенных оповещений. Общая схема оповещений — это одна расширяемая и унифицированная полезные данные оповещений, которые можно использовать во всех службах оповещений в Azure Monitor. Дополнительные сведения о общей схеме см. в разделе "Общая схема оповещений".

      Снимок экрана: вкладка

    3. Нажмите ОК.

  10. Настройка действий. Нажмите кнопку "Далее": действия. или выберите вкладку "Действия " в верхней части страницы.

  11. Определите список действий, которые будут активированы при срабатывании предупреждения. Выберите тип действия и введите имя для каждого действия.

    Тип действия Сведения
    Runbook автоматизации Используйте Модуль Runbook службы автоматизации для автоматизации задач на основе метрик. Например, при выполнении определенного порогового значения в связанном бюджете ресурсы завершаются. Сведения об ограничениях полезных данных runbook службы автоматизации см. в разделе "Ограничения службы автоматизации".
    Центры событий Действие Центров событий публикует уведомления в Центрах событий. Дополнительные сведения о Центрах событий см. в статье Центры событий Azure — платформа потоковой передачи больших данных и служба приема событий. Вы можете подписаться на потоковую передачу предупреждающих уведомлений из приемника событий.
    Функции Вызывает существующую конечную точку триггера HTTP в функциях. Дополнительные сведения см. в статье Функции Azure.
    При определении действия функции конечная точка триггера HTTP и ключ доступа функции сохраняются в определении действия, например https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. При изменении ключа доступа для функции необходимо удалить и повторно создать действие функции в группе действий.
    Конечная точка должна поддерживать метод HTTP POST.
    Функция должна иметь доступ к учетной записи хранения. Если у него нет доступа, ключи недоступны, а универсальный код ресурса (URI) функции недоступен.
    Узнайте о восстановлении доступа к учетной записи хранения.
    ITSM Действие ITSM требует подключения ITSM. Чтобы узнать, как создать подключение ITSM, ознакомьтесь с интеграцией ITSM.
    Приложения логики Azure Logic Apps можно использовать для создания и настройки рабочих процессов для интеграции и настройки уведомлений оповещений.
    Безопасный веб-перехватчик При использовании безопасного действия веб-перехватчика необходимо использовать идентификатор Microsoft Entra для защиты подключения между группой действий и конечной точкой, которая является защищенным веб-API. См. раздел "Настройка проверки подлинности для безопасного веб-перехватчика". Безопасный веб-перехватчик не поддерживает обычную проверку подлинности. Если вы используете обычную проверку подлинности, используйте действие веб-перехватчика.
    Веб-перехватчик Если вы используете действие веб-перехватчика, целевая конечная точка веб-перехватчика должна иметь возможность обрабатывать различные полезные данные JSON, которые выдают разные источники оповещений.
    Невозможно передать сертификаты безопасности через действие веб-перехватчика. Чтобы использовать базовую проверку подлинности, необходимо передать учетные данные через универсальный код ресурса (URI).
    Если конечная точка веб-перехватчика ожидает определенную схему, например схему Microsoft Teams, используйте тип действия Logic Apps для управления схемой оповещения для удовлетворения ожиданий целевого веб-перехватчика.
    Сведения о правилах, используемых для повторных попыток действий веб-перехватчика, см. в разделе Webhook.

    Снимок экрана: вкладка

  12. (Необязательно.) Если вы хотите назначить пару "ключ-значение" группе действий, чтобы классифицировать ресурсы Azure, нажмите кнопку "Далее: теги" или вкладка "Теги". В противном случае пропустите этот шаг.

    Снимок экрана: вкладка

  13. Нажмите кнопку "Просмотр и создание ", чтобы просмотреть параметры. Этот шаг используется для быстрой проверки входных данных, чтобы убедиться, что вы ввели все необходимые сведения. При наличии проблем здесь отобразятся сведения о них. После проверки параметров нажмите кнопку Создать, чтобы создать группу действий.

    Снимок экрана: вкладка

    Примечание.

    При настройке действия для уведомления пользователя по электронной почте или SMS они получают подтверждение, указывающее, что они были добавлены в группу действий.

Тестирование группы действий в портал Azure

При создании или обновлении группы действий на портале Azure можно протестировать группу действий.

  1. Создайте группу действий в портал Azure.

    Примечание.

    Перед тестированием необходимо создать и сохранить группу действий. Если вы редактируете существующую группу действий, сохраните изменения в группе действий перед тестированием.

  2. На странице группы действий выберите "Тестировать группу действий".

    Снимок экрана: страница тестовой группы действий с параметром

  3. Выберите тип выборки, укажите типы уведомлений и действий, которые необходимо протестировать. Затем выберите Тестировать.

    Снимок экрана: страница

  4. Если закрыть окно или выбрать пункт Назад к настройке теста во время выполнения теста, тестирование будет остановлено и результаты теста не будут получены.

    Снимок экрана: страница

  5. По завершении теста появится состояние теста успешного или неудачного выполнения. Если тест завершился сбоем, и вы хотите получить дополнительные сведения, выберите "Просмотреть сведения".

    Снимок экрана: страница

    Сведения, приведенные в разделе Сведения об ошибке, позволяют понять проблему. Затем вы можете изменить, сохранить изменения и снова протестировать группу действий.

    При выполнении теста и выборе типа уведомления вы получите сообщение со словом "Test" в теме. Тесты предоставляют способ проверить, работает ли группа действий должным образом, прежде чем включить ее в рабочей среде. Все сведения и ссылки в уведомлениях о тестах по электронной почте представляют собой набор выборок для справки.

Требования к роли для тестовых групп действий

В следующей таблице описаны требования к участникам роли для использования функциональных возможностей тестовых действий.

членство в ролях; Существующая группа действий Существующая группа ресурсов и новая группа действий Новая группа ресурсов и новая группа действий
Участник подписки Поддерживается Поддерживаемые Поддерживается
Участник группы ресурсов Поддерживается Поддерживается Нет данных
Участник ресурса группы действий Поддерживается Неприменимо Неприменимо
Участник Azure Monitor Поддерживается Поддерживается Нет данных
Пользовательская роль1 Поддерживается Поддерживается Нет данных

1 Пользовательская роль должна иметь разрешение Microsoft.Insights/createNotifications/* .

Примечание.

Создание группы действий с помощью шаблона Resource Manager

Для настройки групп действий можно использовать шаблон Azure Resource Manager. С помощью шаблонов можно автоматически настроить группы действий, которые можно повторно использовать в определенных типах оповещений. С помощью этих групп действий обеспечивается уведомление соответствующих участников при активации оповещения.

Основными шагами являются:

  1. Создайте шаблон в виде JSON-файла, который описывает создание группы действий.
  2. Разверните шаблон, используя любой метод развертывания.

Шаблоны Resource Manager группы действий

Чтобы создать группу действий с помощью шаблона Resource Manager, создайте ресурс типа Microsoft.Insights/actionGroups. Затем следует заполнить все связанные свойства. Ниже представлено два примера шаблонов для создания группы действий.

Первый шаблон описывает создание шаблона Resource Manager для группы действий, в которой определения действий жестко закодируются в шаблоне. Второй шаблон описывает, как создать шаблон, который принимает сведения о конфигурации веб-перехватчика в качестве входных параметров при развертывании шаблона.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
          {
            "name": "contosoSMS",
            "countryCode": "1",
            "phoneNumber": "5555551212"
          },
          {
            "name": "contosoSMS2",
            "countryCode": "1",
            "phoneNumber": "5555552121"
          }
        ],
        "emailReceivers": [
          {
            "name": "contosoEmail",
            "emailAddress": "devops@contoso.com",
            "useCommonAlertSchema": true

          },
          {
            "name": "contosoEmail2",
            "emailAddress": "devops2@contoso.com",
            "useCommonAlertSchema": true
          }
        ],
        "webhookReceivers": [
          {
            "name": "contosoHook",
            "serviceUri": "http://requestb.in/1bq62iu1",
            "useCommonAlertSchema": true
          },
          {
            "name": "contosoHook2",
            "serviceUri": "http://requestb.in/1bq62iu2",
            "useCommonAlertSchema": true
          }
        ],
         "SecurewebhookReceivers": [
          {
            "name": "contososecureHook",
            "serviceUri": "http://requestb.in/1bq63iu1",
            "useCommonAlertSchema": false
          },
          {
            "name": "contososecureHook2",
            "serviceUri": "http://requestb.in/1bq63iu2",
            "useCommonAlertSchema": false
          }
        ],
        "eventHubReceivers": [
          {
            "name": "contosoeventhub1",
            "subscriptionId": "replace with subscription id GUID",
            "eventHubNameSpace": "contosoeventHubNameSpace",
            "eventHubName": "contosoeventHub",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}
{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    },
    "webhookReceiverName": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service Name."
      }
    },    
    "webhookServiceUri": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service URI."
      }
    }    
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
        ],
        "emailReceivers": [
        ],
        "webhookReceivers": [
          {
            "name": "[parameters('webhookReceiverName')]",
            "serviceUri": "[parameters('webhookServiceUri')]",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupResourceId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Управление группами действий

После создания группы действий ее можно просмотреть на портале:

  1. Переход на портал Azure.

  2. На странице Монитор выберите Оповещения.

  3. Выберите группы действий.

  4. Выберите группу действий, которой необходимо управлять: Вы можете:

    • добавлять, изменять или удалять действия;
    • удалить группу действий.

Ограничения службы для уведомлений

Номер телефона или электронная почта могут быть включены в группы действий во многих подписках. Azure Monitor использует ограничение скорости для приостановки уведомлений, когда слишком много уведомлений отправляются на определенный номер телефона, адрес электронной почты или устройство. Ограничение скорости гарантирует управляемость и действенность оповещений.

Ограничение скорости применяется к SMS, голосовой связи и Уведомления по электронной почте. Все остальные действия уведомления не ограничены. Ограничение частоты применяется ко всем подпискам Ограничение скорости применяется сразу после достижения порогового значения, даже если сообщения отправляются из нескольких подписок. Если адрес электронной почты ограничен, уведомление отправляется для обмена данными о том, что ограничение скорости было применено и когда истекает ограничение скорости.

Сведения об ограничениях скорости см. в разделе об ограничениях службы Azure Monitor.

Электронная почта Azure Resource Manager

При использовании Azure Resource Manager для Уведомления по электронной почте вы можете отправить сообщение электронной почты членам роли подписки. Сообщение электронной почты отправляется пользователю или членам группы microsoft Entra ID роли. Это включает поддержку ролей, назначенных через Azure Lighthouse.

Примечание.

Группы действий поддерживают только электронную почту следующих ролей: владелец, участник, читатель, участник мониторинга, средство чтения мониторинга.

Если основной адрес электронной почты не получает уведомлений, настройте адрес электронной почты для роли Диспетчера ресурсов Электронной почты Azure:

  1. В портал Azure перейдите к идентификатору Microsoft Entra.

  2. Слева выберите Все пользователи. Справа появится список пользователей.

  3. Выберите пользователя, основной адрес электронной почты которого вы хотите просмотреть.

    Снимок экрана: страница портал Azure

  4. В профиле пользователя просмотрите контактные данные для адреса электронной почты. Если поле пусто, выполните приведенные ниже действия.

    1. В верхней части страницы выберите Изменить.
    2. Введите адрес электронной почты.
    3. В верхней части страницы щелкните Сохранить.

    Снимок экрана: страница профиля пользователя в портал Azure. Кнопка

В группе действий может быть ограниченное число действий электронной почты. Чтобы проверить, какие ограничения применяются к вашей ситуации, см . сведения об ограничениях службы Azure Monitor.

При настройке роли Resource Manager:

  1. Назначьте сущность типа "Пользователь " или "Группа " роли.
  2. Добавьте назначение роли на уровне подписки.
  3. Убедитесь, что адрес электронной почты настроен для пользователя в профиле Microsoft Entra.

Примечание.

Чтобы клиент начал получать уведомления после добавления новой роли Azure Resource Manager в подписку, может потребоваться до 24 часов.

SMS

В группе действий может быть ограниченное число действий, связанных с SMS.

Примечание.

Если вы не можете выбрать код своей страны или региона на портале Azure, SMS для него не поддерживаются. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. А пока в качестве обходного пути можно настроить группу действий так, чтобы она вызывала веб-перехватчик для стороннего поставщика услуг SMS, который поддерживает вашу страны или регион.

SMS-ответы

Эти ответы поддерживаются для SMS-уведомлений. Получатель SMS может ответить на SMS со следующими значениями:

Ответ Description
DISABLE <Action Group Short name> Отключает получение SMS от группы действий
ENABLE <Action Group Short name> Повторно включает получение SMS от группы действий
СТОП Отключает получение SMS от всех групп действий
НАЧАЛО Повторно включает получение SMS от всех групп действий
СПРАВКА Пользователю будет отправлен ответ со ссылкой на данную статью.

Примечание.

Если пользователь отменил подписку на SMS-оповещения, но затем был добавлен в новую группу действий, то он будет получать SMS-оповещения для этой группы действий, но не для прежних групп. В группе действий может быть ограниченное число действий приложения Azure.

Поддержка sms-уведомлений в странах и регионах

Код страны Страна/регион
61 Австралия
43 Австрия
32 Бельгия
55 Бразилия
1 Канада
56 Чили
86 Китай
420 Чешская республика
45 Дания
372 Эстония
358 Финляндия
33 Франция
49 Германия
852 Специальный административный район Гонконга
91 Индия
353 Ирландия
972 Израиль
39 Италия
81 Япония
352 Люксембург
60 Малайзия
52 Мексика
31 Нидерланды
64 Новая Зеландия
47 Норвегия
351 Португалия
1 Пуэрто-Рико
40 Румыния
7 Россия
65 Сингапур
27 ЮАР
82 Южная Корея
34 Испания
41 Швейцария
886 Тайвань
971 ОАЭ
44 Соединенное Королевство
1 Соединенные Штаты

Голосовая связь

В группе действий может быть ограниченное число действий голосовой связи. Важные сведения об ограничениях скорости см. в разделе об ограничениях службы Azure Monitor.

Примечание.

Если вы не можете выбрать код своей страны или региона на портале Azure, голосовые звонки для него не поддерживаются. Если код страны или региона недоступен, можно проголосовать за добавление вашей страны или региона на портале Поделитесь своими идеями. А пока в качестве обходного пути можно настроить группу действий так, чтобы она вызывала веб-перехватчик для стороннего поставщика голосовой связи, который поддерживает вашу страны или регион. Если страна помечена как "*", звонки будут поступать из номера телефона на основе США.

Поддержка голосовых уведомлений в странах и регионах

Код страны Страна/регион
61 Австралия
43 Австрия
32 Бельгия
55 Бразилия
1 Канада
56 Чили
86 Китай*
420 Чешская республика
45 Дания
372 Эстония
358 Финляндия
33 Франция
49 Германия
852 Гонконг*
91 Индия*
353 Ирландия
972 Израиль
39 Италия*
81 Япония*
352 Люксембург
60 Малайзия
52 Мексика
31 Нидерланды
64 Новая Зеландия
47 Норвегия
351 Португалия
40 Румыния*
7 Россия*
65 Сингапур
27 ЮАР
82 Южная Корея
34 Испания
46 Свиден
41 Швейцария
886 Тайвань*
971 Объединённые Арабские Эмираты*
44 Соединенное Королевство
1 Соединенные Штаты

Сведения о ценах для поддерживаемых стран и регионов см. в разделе цен на Azure Monitor.

Веб-перехватчик

Примечание.

Если вы используете действие веб-перехватчика, целевая конечная точка веб-перехватчика должна иметь возможность обрабатывать различные полезные данные JSON, которые выдают разные источники оповещений. Конечная точка веб-перехватчика также должна быть общедоступной. Невозможно передать сертификаты безопасности через действие веб-перехватчика. Чтобы использовать базовую проверку подлинности, необходимо передать учетные данные через универсальный код ресурса (URI). Если конечная точка веб-перехватчика ожидает определенную схему оповещений (например, схему Microsoft Teams), используйте действие приложения логики для преобразования схемы оповещений в соответствии с ожиданиями целевого веб-перехватчика. Группы действий веб-перехватчика обычно следуют этим правилам при вызове:

  • При вызове веб-перехватчика при первом вызове выполняется по крайней мере 1 раз и до 5 раз (5 повторных попыток) с различными интервалами задержки (5, 20, 40 секунд).
    • Задержка между 1-й и 2-й попыткой составляет 5 секунд
    • Задержка между 2-й и 3-й попыткой составляет 20 секунд
    • Задержка между 3-й и 4-й попыткой составляет 5 секунд
    • Задержка между 4-й и 5-й попыткой составляет 40 секунд
    • Задержка между 5-й и 6-й попыткой составляет 5 секунд
  • После попытки повторного вызова веб-перехватчика не удалось, группа действий не вызывает конечную точку в течение 15 минут.
  • Логика повторных попыток предполагает, что вызов можно выполнить повторно. Коды состояния: 408, 429, 503, 504 или HttpRequestException, WebException, TaskCancellationException разрешают получение вызова.

Настройка проверки подлинности для безопасного веб-перехватчика

Безопасное действие веб-перехватчика проходит проверку подлинности в защищенном API с помощью экземпляра субъекта-службы в клиенте Microsoft Entra приложения Microsoft Entra Webhook "JSONS Microsoft Entra Webhook". Чтобы группа действий работала, этот субъект-служба Microsoft Entra Webhook должен быть добавлен в качестве члена роли в целевом приложении Microsoft Entra, которое предоставляет доступ к целевой конечной точке.

Общие сведения о приложениях и субъектах-службах Microsoft Entra см. в платформа удостоверений Майкрософт (версия 2.0). Выполните следующие действия, чтобы воспользоваться преимуществами функций безопасного веб-перехватчика.

Примечание.

Обычная проверка подлинности не поддерживается SecureWebhook. Чтобы использовать базовую проверку подлинности, необходимо использовать Webhook. Если вы используете действие веб-перехватчика, целевая конечная точка веб-перехватчика должна иметь возможность обрабатывать различные полезные данные JSON, которые выдают разные источники оповещений. Если конечная точка веб-перехватчика ожидает определенную схему оповещений (например, схему Microsoft Teams), используйте действие приложения логики для преобразования схемы оповещений в соответствии с ожиданиями целевого веб-перехватчика.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

  1. Создайте приложение Microsoft Entra для защищенного веб-API. Дополнительные сведения см. в разделе "Защищенный веб-API: регистрация приложений". Настройте защищенный API для вызова приложения управляющей программы и предоставления разрешений приложения, а не делегированных разрешений. Дополнительные сведения об этих разрешениях см. в статье Если веб-API вызывается службой или управляющим приложением.

    Примечание.

    Настройте защищенный веб-API так, чтобы принимались маркеры доступа версии 2.0. Дополнительные сведения об этом параметре см . в манифесте приложения Microsoft Entra.

  2. Чтобы включить группу действий для использования приложения Microsoft Entra, используйте сценарий PowerShell, следующий за этой процедурой.

    Примечание.

    Для выполнения этого сценария необходимо назначить роль администратора приложений Microsoft Entra.

    1. Измените вызов скрипта Connect-AzureAD PowerShell, чтобы использовать идентификатор клиента Microsoft Entra.
    2. Измените переменную скрипта $myAzureADApplicationObjectId PowerShell, чтобы использовать идентификатор объекта приложения Microsoft Entra.
    3. Запустите измененный сценарий.

    Примечание.

    Субъект-служба должна быть назначена роль владельца приложения Microsoft Entra, чтобы иметь возможность создавать или изменять действие безопасного веб-перехватчика в группе действий.

  3. Настройте действие безопасного веб-перехватчика.

    1. Скопируйте значение $myApp.ObjectId, которое находится в сценарии.
    2. В определении действия веб-перехватчика в поле Идентификатор объекта введите скопированное значение.

    Снимок экрана: диалоговое окно

Сценарий PowerShell безопасного веб-перехватчика

Примечание.

Предварительные требования. Установка пакета SDK Для Microsoft Graph PowerShell

Как запустить?

  1. Скопируйте и вставьте приведенный ниже скрипт на компьютер
  2. Замените идентификатор клиента и ObjectID в регистрации приложений
  3. Сохранить как *.ps1
  4. Откройте команду PowerShell на компьютере и запустите скрипт *.ps1
Write-Host "================================================================================================="
$scopes = "Application.ReadWrite.All"
$myTenantId = "<<Customer's tenant id>>"
$myMicrosoftEntraAppRegistrationObjectId = "<<Customer's object id from the app registration>>"
$actionGroupRoleName = "ActionGroupsSecureWebhook"
$azureMonitorActionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a" # Required. Do not change.

Connect-MgGraph -Scopes $scopes -TenantId $myTenantId

Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = @{
        AllowedMemberTypes = @("Application")
        DisplayName = $Name
        Id = New-Guid
        IsEnabled = $true
        Description = $Description
        Value = $Name
    }
    return $appRole
}

$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
$myActionGroupServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$azureMonitorActionGroupsAppId'"

Write-Host "App Roles before addition of new role.."
foreach ($role in $myAppRoles) { Write-Host $role.Value }

if ($myAppRoles.Value -contains $actionGroupRoleName)
{
    Write-Host "The Action Group role is already defined. No need to redefine.`n"
    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}
else
{
    Write-Host "The Action Group role is not defined. Defining the role and adding it."
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles += $newRole
    Update-MgApplication -ApplicationId $myApp.Id -AppRole $myAppRoles

    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}

$myServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$($myApp.AppId)'"

if ($myActionGroupServicePrincipal.DisplayName -contains "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
    Write-Host "The action group Service Principal is: " + $myActionGroupServicePrincipal.DisplayName + " and the id is: " + $myActionGroupServicePrincipal.Id
}
else
{
    Write-Host "The Service principal has NOT been defined/created in the tenant.`n"
    $myActionGroupServicePrincipal = New-MgServicePrincipal -AppId $azureMonitorActionGroupsAppId
    Write-Host "The Service Principal is been created successfully, and the id is: " + $myActionGroupServicePrincipal.Id
}

# Check if $myActionGroupServicePrincipal is not $null before trying to access its Id property
# Check if the role assignment already exists
$existingRoleAssignment = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id | Where-Object { $_.AppRoleId -eq $myApp.AppRoles[0].Id -and $_.PrincipalId -eq $myActionGroupServicePrincipal.Id -and $_.ResourceId -eq $myServicePrincipal.Id }

# If the role assignment does not exist, create it
if ($null -eq $existingRoleAssignment) {
    Write-Host "Doing app role assignment to the new action group Service Principal`n"
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id -AppRoleId $myApp.AppRoles[0].Id -PrincipalId $myActionGroupServicePrincipal.Id -ResourceId $myServicePrincipal.Id
} else {
    Write-Host "Skip assigning because the role already existed."
}

Write-Host "myServicePrincipalId: " $myServicePrincipal.Id
Write-Host "My Azure AD Application (ObjectId): " $myApp.Id
Write-Host "My Azure AD Application's Roles"
foreach ($role in $myAppRoles) { Write-Host $role.Value }

Write-Host "================================================================================================="

Миграция действия Runbook из "Учетная запись запуска от имени" на "Запуск от имени управляемого удостоверения"

Примечание.

служба автоматизации Azure "Учетная запись запуска от имени" прекращена 30 сентября 2023 года, что влияет на действия, созданные с типом действия "Runbook службы автоматизации". Существующие действия, связывающие с runbook "Учетная запись запуска от имени", не будут поддерживаться после выхода на пенсию. Однако эти модули Runbook будут продолжать выполняться до истечения срока действия сертификата "Запуск от имени" учетной записи службы автоматизации. Чтобы продолжить использование действий runbook, необходимо выполнить следующие действия:

  1. Измените группу действий, добавив новое действие с типом действия "Runbook службы автоматизации" и выберите тот же модуль Runbook из раскрывающегося списка. (Все 5 модулей Runbook в раскрывающемся списке были перенастроены на серверной части для проверки подлинности с помощью управляемого удостоверения вместо учетной записи запуска от имени. Назначаемое системой управляемое удостоверение в учетной записи службы автоматизации будет включено с ролью участника виртуальной машины на уровне подписки автоматически.)

    Снимок экрана: добавление действия Runbook в группу действий.

    Снимок экрана: настройка действия Runbook.

  2. Удалите старое действие Runbook, которое ссылается на модуль Runbook "Учетная запись запуска от имени".

  3. Сохраните группу действий.

Следующие шаги

  • Получите обзор оповещений и узнайте, как получать оповещения.
  • Дополнительные сведения о соединителе ITSM.
  • Сведения о схеме веб-перехватчика оповещения журнала действий.