Как расследовать оповещения по мониторингу работоспособности Microsoft Entra (предварительная версия)

Мониторинг работоспособности Microsoft Entra позволяет отслеживать работоспособность клиента Microsoft Entra с помощью набора метрик работоспособности и интеллектуальных оповещений. Метрики работоспособности передаются в нашу службу обнаружения аномалий, которая использует машинное обучение для понимания шаблонов вашего клиента. Когда служба обнаружения аномалий идентифицирует значительное изменение в одном из шаблонов уровня арендатора, она активирует оповещение.

Сигналы и оповещения, предоставляемые Microsoft Entra Health, предоставляют вам отправную точку для изучения потенциальных проблем в клиенте. Так как существует широкий спектр сценариев и еще больше точек данных для рассмотрения, важно понять, как эффективно исследовать эти оповещения. В этой статье даются рекомендации по расследованию оповещений, но они не относятся к какому-либо конкретному оповещению.

Важный

Мониторинг и оповещения сценариев здоровья Microsoft Entra в настоящее время находятся в версии PREVIEW. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.

Необходимые условия

Существуют различные роли, разрешения и требования лицензии для просмотра сигналов мониторинга состояния и настройки и получение оповещений. Мы рекомендуем использовать роль с минимальными привилегиями для соответствия руководству по нулевому доверию.

• Клиент с лицензией Microsoft Entra P1 или P2 требуется для просмотра сигналов мониторинга сценариев работоспособности Microsoft Entra.
• Клиент слицензией Microsoft Entra P1 или P2 и по крайней мере 100 ежемесячных активных пользователей требуется для просмотра оповещений и получать уведомления об оповещениях.
• Роль "Чтение отчетов" является самым непривилегированным уровнем, необходимым для просмотра сигналов мониторинга сценариев, оповещений и конфигураций оповещений.
• администратора службы поддержки является наименее привилегированной ролью, необходимой для обновлений оповещений и обновления конфигураций уведомлений оповещений.
• Разрешение HealthMonitoringAlert.Read.All требуется для просмотра оповещений с помощьюAPI Microsoft Graph.
• Разрешение HealthMonitoringAlert.ReadWrite.All требуется для просмотра и изменения оповещений с помощьюAPI Microsoft Graph.
• Полный список ролей см. в разделе Наименее привилегированная роль по задачам.

Известные ограничения

• Недавно подключенные клиенты могут не иметь достаточно данных для создания оповещений около 30 дней.
• В настоящее время оповещения доступны только с помощью API Microsoft Graph.

Доступ к метрикам и сигналам Microsoft Entra о работоспособности

Вы можете просмотреть сигналы мониторинга работоспособности Microsoft Entra из Центра администрирования Microsoft Entra. Вы также можете просмотреть свойства сигналов и общедоступную предварительную версию оповещений мониторинга работоспособности, используя API Microsoft Graph.

Центр администрирования

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве читателя отчетов.

2. Перейдите к удостоверению>мониторингу и работоспособности>. Откроется страница достижения соглашения об уровне обслуживания (SLA).

3. Выберите вкладку Мониторинг сценариев.

   

4. Выберите Просмотреть сведения для сценария, который вы хотите исследовать.

   • Представление по умолчанию — это последние семь дней, но можно настроить диапазон дат до 24 часов, семи дней или одного месяца.
   • Данные обновляются каждые 15 минут.
   • Мы рекомендуем просматривать эти сигналы на регулярной основе, чтобы вы могли распознавать тенденции и шаблоны арендатора.

   

API Microsoft Graph

С помощью API Microsoft Graph можно просмотреть метрики, составляющие сигналы работоспособности и оповещения, и просмотреть сводку о влиянии для оповещения о работоспособности. Ресурс serviceActivity собирает метрики, которые интегрируются в сигналы мониторинга работоспособности Microsoft Entra Health и визуализируются в Центре администрирования Microsoft Entra. Дополнительные сведения см. в разделе тип ресурса ServiceActivity.

Выполнение этих запросов показывает количество раз, когда происходила активность службы в течение определённого периода времени. Например, чтобы просмотреть количество успешных многофакторных входов (MFA), выполните следующий запрос:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

В ответе показано, сколько успешных входов произошло в течение определенного интервала времени, агрегированного в десятиминутных интервалах.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Изучение оповещений и сигналов

Вы и ваша команда могут более эффективно отслеживать работоспособность этих сценариев при настройке уведомлений по электронной почте. При получении оповещения или при появлении изменения шаблона, который может потребоваться для расследования, обычно необходимо изучить следующие наборы данных:

• влияние оповещения: часть ответа после impacts квалифицирует область и резюмирует затронутые ресурсы. Эти сведения включают impactCount, чтобы определить, насколько широко распространена проблема.
• Сигналы оповещения: поток данных или сигнал состояния, который вызвал оповещение. В запросе содержится информация, необходимая для дальнейшего расследования.
• журналы регистрации: в ответе предоставляется запрос для дальнейшего исследования журналов регистрации, в которых был создан сигнал работоспособности. Журналы входа предоставляют подробные метаданные события, которые могут использоваться для выявления первопричин проблемы.
• ресурсы для конкретных сценариев. В зависимости от сценария может потребоваться исследовать политики соответствия Intune или политики условного доступа. Во многих случаях ссылка на связанную документацию предоставляется в ответе.

Просмотр последствий и сигналов

1. В Microsoft Graph добавьте следующий запрос, чтобы получить все оповещения для клиента.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Найдите и сохраните id оповещения, которое вы хотите исследовать.

3. Добавьте следующий запрос, используя id в качестве alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Примеры запросов и ответов см. в разделе список объектов оповещений мониторинга работоспособности.

• Часть ответа после impacts составляет сводку воздействия на оповещение.
• Часть supportingData включает полный запрос, используемый для создания оповещения.
• Результаты запроса включают все, что определено службой обнаружения аномалий, но могут быть результаты, которые не связаны напрямую с оповещением.

Просмотр журналов входа

1. Войдите в Центр администрирования Microsoft Entra как минимум средствочтения отчетов.
   • Если необходимо изменить политики условного доступа, вам потребуется роль администратора условного доступа .
2. Перейдите к журналам мониторинга & работоспособности>входа.
   • Настройте диапазон времени для сопоставления интервала времени генерации оповещений.
   • Добавьте фильтр условного доступа.
   • Выберите запись журнала для просмотра сведений о журналах входа и перейдите на вкладку условного доступа, чтобы просмотреть примененные политики.

Просмотр ресурсов, относящихся к сценарию

Каждое оповещение может иметь другой набор данных для изучения. Дополнительные сведения о каждом типе оповещений см. в следующих статьях:

• Входы, требующие соответствующего устройства или управления устройством
• вход, требующий многофакторной проверки подлинности (MFA)

Анализ возможных первопричин

После сбора всех данных, связанных с сценарием, необходимо рассмотреть возможные первопричины и потенциальные решения для исследования. Подумайте о серьезности оповещения. Затрагиваются ли лишь горстки пользователей или это распространенная проблема? Произвело ли недавнее изменение политики нежелательные последствия?

Мы рекомендуем регулярно смотреть на оповещения и данные мониторинга работоспособности, чтобы определить тенденции и потенциальные проблемы, прежде чем они становятся распространенными проблемами.

Связанное содержимое

• Входы, требующие соответствующего устройства или управления устройством
• Входы, для которых требуется многофакторная аутентификация
• документация по API оповещений мониторинга работоспособности Microsoft Graph