如何使用 Microsoft Entra 运行状况监视警报(预览版)
Microsoft Entra 运行状况监视提供通过一组运行状况指标和智能警报来监视 Microsoft Entra 租户运行状况的功能。 运行状况指标会馈送到异常情况检测服务中,该服务使用机器学习来了解租户的模式。 当异常情况检测服务识别出租户级模式之一发生重大更改时,就会触发警报。 在运行状况应用场景中检测到潜在问题或故障情况时,你可以收到电子邮件通知。 有关 Microsoft Entra 运行状况的详细信息,请参阅什么是 Microsoft Entra 运行状况。
本文提供有关如何执行以下操作的指导:
- 访问 Microsoft Entra 运行状况。
- 配置警报的电子邮件通知。
- 调查警报。
先决条件
查看运行状况监视信号以及配置和接收警报存在不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导。
- 查看 Microsoft Entra 运行状况应用场景监视信号需要具有 Microsoft Entra P1 或 P2 许可证的租户。
- 查看警报和接收警报通知需要同时具 Microsoft Entra P1 或 P2 许可证以及至少 100 个月度活跃用户的租户。
- 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
- 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
- 需要
HealthMonitoringAlert.Read.All
权限才能使用 Microsoft Graph API 查看警报。 - 需要
HealthMonitoringAlert.ReadWrite.All
权限才能使用 Microsoft Graph API 查看并修改警报。 - 有关角色的完整列表,请参阅按任务列出的最低特权角色。
已知限制
- 新加入的租户可能没有足够的数据来生成大约 30 天的警报。
- 目前,警报仅适用于 Microsoft Graph API。
访问 Microsoft Entra 运行状况
可以从 Microsoft Entra 管理中心查看 Microsoft Entra 运行状况服务级别协议 (SLA) 达成报告和运行状况监视信号。 还可以使用 Microsoft Graph API 查看这些数据流和运行状况监视警报的公共预览版。 启用应用场景监视预览版。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“监视和运行状况”>“运行状况”。
选择“应用场景监视”选项卡。
选择要调查的应用场景对应的“查看详细信息”。
默认视图是过去 7 天,但可以将日期范围调整为 24 小时、7 天或 1 个月。 数据每 15 分钟更新一次。
配置电子邮件通知
使用 Microsoft Graph 运行状况监视警报 API,可以配置电子邮件通知。 可以定期运行 API 调用(例如每日或每小时),也可以配置触发警报时的电子邮件通知。 建议每日监视应用场景监视信号和警报。
电子邮件通知会发送到所选的 Microsoft Entra 组。 建议向具有适当访问权限的用户发送警报,以便调查警报并对其采取措施。 并非每个角色都可以采取相同的措施,因此请考虑包括具有以下角色的组:
要配置警报通知,需要提供接收警报的 Microsoft Entra 组的 ID 和应用场景警报 ID。 可以配置不同的组来接收不同警报应用场景的警报。
查找组的对象 ID
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“组”>“所有组”,然后选择要接收警报的组。
选择“属性”,然后复制组的
Object ID
。
查找应用场景警报类型
至少以支持管理员身份登录 Microsoft Graph 浏览器,并同意适当的权限。
从下拉列表中选择“GET”作为 HTTP 方法,并将 API 权限设置为“beta”。
运行以下查询以检索租户的警报列表。
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
查找并保存要接收其相关通知的警报的
alertType
,例如alertType: "mfaSignInFailure
。
配置电子邮件通知
在 Microsoft Graph 浏览器中,运行以下 PATCH 查询以配置警报的电子邮件通知。
- 将
{alertType}
替换为要配置的特定alertType
。 - 将
Object ID of the group
替换为要接收警报的组的Object ID
。 - 有关详细信息,请参阅配置警报的电子邮件通知。
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json
{
"emailNotificationConfigurations": [
{
"groupId":"Object ID of the group",
"isEnabled": true
}
]
}
调查警报和信号
配置电子邮件通知后,你和你的团队可以更有效地监视这些应用场景的运行状况。 收到警报时,通常需要调查以下数据集:
- 警报影响:响应中
impacts
之后的部分量化了范围并汇总了受影响的资源。 这些详细信息包括impactCount
,因此你可以确定问题的广泛程度。 - 警报信号:引发警报的数据流或运行状况信号。 响应中提供了查询以供进一步调查。
- 登录日志:响应中提供了查询,用于进一步调查生成了运行状况信号的登录日志。 登录日志提供可用于识别问题根本原因的详细事件元数据。
- 特定于应用场景的资源:根据应用场景,可能需要调查 Intune 合规性策略或条件访问策略。 在许多情况下,响应中提供了指向相关文档的链接。
查看影响和信号
在 Microsoft Graph 中,添加以下查询以检索租户的所有警报。
GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
查找并保存要调查的警报的
id
。添加以下查询,使用
id
作为alertId
。GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
有关示例请求和响应,请参阅运行状况监视列表警报对象。
- 响应中
impacts
之后的部分构成了警报的影响摘要。 supportingData
部分包括用于生成警报的完整查询。- 查询的结果包括异常情况检测服务标识的所有内容,但可能存在与警报不直接相关的结果。
查看登录日志
- 至少以报告读取者身份登录到 Microsoft Entra 管理中心。
- 如果需要修改条件访问策略,则需要条件访问管理员角色。
- 浏览到“监视和运行状况”>“登录日志”。
- 调整时间范围以匹配警报时间范围。
- 为条件访问添加筛选器。
- 选择日志条目以查看登录日志详细信息,然后选择“条件访问”选项卡以查看已应用的策略。
查看特定于应用场景的资源
每个警报可能都有不同的数据集需要调查。 有关每个警报类型的详细信息,请参阅以下文章:
分析可能的根本原因
收集与应用场景相关的所有数据后,需要考虑可能的根本原因并研究潜在解决方案。 思考一下警报的严重性。 是否只有少数用户受到影响,还是这是一个普遍存在的问题? 最近的策略更改是否产生了意外的后果?
建议定期查看警报和运行状况监视数据,以确定趋势和潜在问题,避免其成为普遍问题。