Så här undersöker du övervakningsaviseringar för Microsoft Entra Health (förhandsversion)

Microsoft Entra Health-övervakning hjälper dig att övervaka hälsotillståndet för din Microsoft Entra-klient via en uppsättning hälsomått och intelligenta aviseringar. Hälsomått matas in i vår tjänst för avvikelseidentifiering, som använder maskininlärning för att förstå mönstren för din klientorganisation. När tjänsten för avvikelseidentifiering identifierar en betydande ändring i något av mönster på klientorganisationsnivå utlöser den en avisering.

De signaler och aviseringar som tillhandahålls av Microsoft Entra Health ger dig startpunkten för att undersöka potentiella problem i din klientorganisation. Eftersom det finns en mängd olika scenarier och ännu fler datapunkter att tänka på är det viktigt att förstå hur du effektivt undersöker dessa aviseringar. Den här artikeln innehåller vägledning om hur du undersöker en avisering, men är inte specifik för någon avisering.

Viktig

Övervakning och aviseringar för Microsoft Entra Health-scenarion finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Förutsättningar

Det finns olika roller, behörigheter och licenskrav för att visa hälsoövervakningssignaler och konfigurera och ta emot aviseringar. Vi rekommenderar att du använder en roll med minsta möjliga behörighet för att anpassa den Noll förtroende-vägledningen.

• En klientorganisation med en Microsoft Entra P1- eller P2-licens behövs för att kunna visa Microsoft Entra-hälsoscenariots övervakningssignaler.
• En klientorganisation med både en Microsoft Entra P1- eller P2-licensoch minst 100 månatliga aktiva användare krävs för att visa aviseringar och ta emot aviseringsaviseringar.
• Rollen Reports Reader är den minst privilegierade roll som krävs för att visa signaler för scenarioövervakning, aviseringar och aviseringsinställningar.
• Supportadministratör är den minst privilegierade roll som krävs för att uppdatera aviseringar och uppdatera aviseringskonfigurationer.
• Behörigheten HealthMonitoringAlert.Read.All krävs för att visa aviseringarna med hjälp av Microsoft Graph API-.
• Behörigheten HealthMonitoringAlert.ReadWrite.All krävs för att visa och ändra aviseringarna med hjälp av Microsoft Graph API-.
• En fullständig lista över roller finns i Minst privilegierad roll efter uppgift.

Kända begränsningar

• Nyligen registrerade klienter kanske inte har tillräckligt med data för att generera aviseringar i cirka 30 dagar.
• För närvarande är aviseringar endast tillgängliga med Microsoft Graph API.

Få åtkomst till Microsoft Entra Health-mått och -signaler

Du kan visa övervakningssignalerna för Microsoft Entra Health från administrationscentret för Microsoft Entra. Du kan också visa egenskaperna för signalerna och den offentliga förhandsversionen av hälsoövervakningsaviseringar med hjälp av Microsoft Graph-API:er.

Admincenter

1. Logga in på administrationscentret för Microsoft Entra åtminstone som en Reports Reader.

2. Bläddra till Identity>Övervakning och hälsa>Hälsa. Sidan öppnas för sidan Service Level Agreement (SLA) Attainment.

3. Välj fliken Scenario Monitoring.

   

4. Välj Visa information för det scenario som du vill undersöka.

   • Standardvyn är de senaste sju dagarna, men du kan justera datumintervallet till 24 timmar, sju dagar eller en månad.
   • Data uppdateras var 15:e minut.
   • Vi rekommenderar att du regelbundet granskar dessa signaler så att du kan identifiera din hyresgästs trender och mönster.

   

Microsoft Graph API

Med Microsoft Graph-API:erna kan du visa de mått som utgör hälsosignaler och aviseringar och granska konsekvenssammanfattningen för en hälsoavisering. Resursen serviceActivity hämtar de mätvärden som matas in i Microsoft Entra Health-övervakningssignalerna, som visualiseras i Microsoft Entra-administrationscentret. Mer information finns i resurstypen serviceActivity.

När du kör de här frågorna får du det antal gånger som tjänstaktiviteten inträffade under en viss tidsperiod. Om du till exempel vill se antalet lyckade MFA-inloggningar (multifaktorautentisering) kör du följande fråga:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInSuccess(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

Svaret visar hur många lyckade inloggningar som inträffade under den specifika tidsramen, aggregerade i tiominutersintervall.

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

Undersöka aviseringen och signalerna

Du och ditt team kan mer effektivt övervaka hälsotillståndet för dessa scenarier när du konfigurerar e-postmeddelanden. När du får en avisering, eller om du ser en ändring av ett mönster som du misstänker kan behöva undersökas, måste du vanligtvis undersöka följande datauppsättningar:

• Aviseringspåverkan: Den del av svaret som visas efter impacts kvantifierar omfånget och sammanfattar resurser som påverkas. Den här informationen innehåller impactCount så att du kan avgöra hur omfattande problemet är.
• Larmsignaler: Dataströmmen eller hälsosignalen som utlöste larmet. En fråga tillhandahålls i svaret för ytterligare undersökning.
• Inloggningsloggar: En fråga tillhandahålls i svaret för ytterligare undersökning av inloggningsloggarna där hälsosignalen genererades. Inloggningsloggarna innehåller detaljerade händelsemetadata som kan användas för att identifiera en problems grundorsak.
• scenariospecifika resurser: Beroende på scenariot kan du behöva undersöka Intune-efterlevnadsprinciper eller principer för villkorsstyrd åtkomst. I många fall finns en länk till relaterad dokumentation i svaret.

Visa påverkan och signaler

1. I Microsoft Graph lägger du till följande fråga för att hämta alla aviseringar för din klient.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
   

2. Leta upp och spara id för varningen som du vill undersöka.

3. Lägg till följande fråga med id som alertId.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
   

Exempelbegäranden och svar finns i Hälsoövervakning, lista över aviseringsobjekt.

• Delen av svaret efter impacts utgör konsekvenssammanfattningen för aviseringen.
• Den supportingData delen innehåller den fullständiga fråga som används för att generera aviseringen.
• Resultatet av frågan innehåller allt som identifieras av tjänsten för avvikelseidentifiering, men det kan finnas resultat som inte är direkt relaterade till aviseringen.

Visa inloggningsloggarna

1. Logga in på administrationscentret för Microsoft Entra som minst -rapportläsare.
   • Om du behöver ändra principer för villkorsstyrd åtkomst behöver du rollen administratör för villkorlig åtkomst.
2. Bläddra till Övervakning & hälsotillstånd>inloggningsloggar.
   • Justera tidsintervallet så att det matchar tidsramen för aviseringen.
   • Lägg till ett filter för villkorsstyrd åtkomst.
   • Välj en loggpost för att visa inloggningsinformationen och välj fliken Villkorsstyrd åtkomst för att se de principer som tillämpades.

Visa de scenariospecifika resurserna

Varje avisering kan ha en annan datauppsättning att undersöka. Mer information om varje aviseringstyp finns i följande artiklar:

• inloggningar som kräver en kompatibel eller hanterad enhet
• inloggningar som kräver multifaktorautentisering (MFA)

Analysera möjliga grundorsaker

När du har samlat in alla data som är relaterade till scenariot måste du överväga möjliga grundorsaker och undersöka potentiella lösningar. Tänk på allvaret i aviseringen. Påverkas bara en handfull användare, eller är det ett utbrett problem? Fick en ny principändring oavsiktliga konsekvenser?

Vi rekommenderar att du tittar regelbundet på aviseringar och hälsoövervakningsdata för att identifiera trender och potentiella problem innan de blir omfattande problem.

Relaterat innehåll

• Inloggningar som kräver en godkänd eller hanterad enhet
• inloggningar som kräver MFA
• Dokumentation för Microsoft Graph Healths API för övervakningsaviseringar