如何使用 Microsoft Entra 运行状况监视警报(预览版)

Microsoft Entra 运行状况监视提供通过一组运行状况指标和智能警报来监视 Microsoft Entra 租户运行状况的功能。 运行状况指标会馈送到异常情况检测服务中,该服务使用机器学习来了解租户的模式。 当异常情况检测服务识别出租户级模式之一发生重大更改时,就会触发警报。 在运行状况应用场景中检测到潜在问题或故障情况时,你可以收到电子邮件通知。 有关 Microsoft Entra 运行状况的详细信息,请参阅什么是 Microsoft Entra 运行状况

本文提供有关如何执行以下操作的指导:

  • 访问 Microsoft Entra 运行状况。
  • 配置警报的电子邮件通知。
  • 调查警报。

先决条件

查看运行状况监视信号以及配置和接收警报存在不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导

  • 查看 Microsoft Entra 运行状况应用场景监视信号需要具有 Microsoft Entra P1 或 P2 许可证的租户。
  • 查看警报接收警报通知需要同时具 Microsoft Entra P1 或 P2 许可证以及至少 100 个月度活跃用户的租户。
  • 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
  • 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
  • 需要 HealthMonitoringAlert.Read.All 权限才能使用 Microsoft Graph API 查看警报。
  • 需要 HealthMonitoringAlert.ReadWrite.All 权限才能使用 Microsoft Graph API 查看并修改警报。
  • 有关角色的完整列表,请参阅按任务列出的最低特权角色

已知限制

  • 新加入的租户可能没有足够的数据来生成大约 30 天的警报。
  • 目前,警报仅适用于 Microsoft Graph API。

访问 Microsoft Entra 运行状况

可以从 Microsoft Entra 管理中心查看 Microsoft Entra 运行状况服务级别协议 (SLA) 达成报告和运行状况监视信号。 还可以使用 Microsoft Graph API 查看这些数据流和运行状况监视警报的公共预览版。 启用应用场景监视预览版

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“监视和运行状况”>“运行状况”

  3. 选择“应用场景监视”选项卡。

    Microsoft Entra 运行状况登陆页面的屏幕截图。

  4. 选择要调查的应用场景对应的“查看详细信息”

    Microsoft Entra 运行状况应用场景监视页面的屏幕截图。

默认视图是过去 7 天,但可以将日期范围调整为 24 小时、7 天或 1 个月。 数据每 15 分钟更新一次。

配置电子邮件通知

使用 Microsoft Graph 运行状况监视警报 API,可以配置电子邮件通知。 可以定期运行 API 调用(例如每日或每小时),也可以配置触发警报时的电子邮件通知。 建议每日监视应用场景监视信号和警报。

电子邮件通知会发送到所选的 Microsoft Entra 组。 建议向具有适当访问权限的用户发送警报,以便调查警报并对其采取措施。 并非每个角色都可以采取相同的措施,因此请考虑包括具有以下角色的组:

要配置警报通知,需要提供接收警报的 Microsoft Entra 组的 ID 和应用场景警报 ID。 可以配置不同的组来接收不同警报应用场景的警报。

查找组的对象 ID

  1. 至少以用户管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“组”>“所有组”,然后选择要接收警报的组。

  3. 选择“属性”,然后复制组的 Object ID

    Microsoft Entra 管理中心内组属性的屏幕截图。

查找应用场景警报类型

  1. 至少以支持管理员身份登录 Microsoft Graph 浏览器,并同意适当的权限。

  2. 从下拉列表中选择“GET”作为 HTTP 方法,并将 API 权限设置为“beta”

  3. 运行以下查询以检索租户的警报列表。

    GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
    
  4. 查找并保存要接收其相关通知的警报的 alertType,例如 alertType: "mfaSignInFailure

配置电子邮件通知

在 Microsoft Graph 浏览器中,运行以下 PATCH 查询以配置警报的电子邮件通知。

  • {alertType} 替换为要配置的特定 alertType
  • Object ID of the group 替换为要接收警报的组的 Object ID
  • 有关详细信息,请参阅配置警报的电子邮件通知
PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json

{
  "emailNotificationConfigurations": [
    {
      "groupId":"Object ID of the group",
      "isEnabled": true
    }
  ]
}

调查警报和信号

配置电子邮件通知后,你和你的团队可以更有效地监视这些应用场景的运行状况。 收到警报时,通常需要调查以下数据集:

  • 警报影响:响应中 impacts 之后的部分量化了范围并汇总了受影响的资源。 这些详细信息包括 impactCount,因此你可以确定问题的广泛程度。
  • 警报信号:引发警报的数据流或运行状况信号。 响应中提供了查询以供进一步调查。
  • 登录日志:响应中提供了查询,用于进一步调查生成了运行状况信号的登录日志。 登录日志提供可用于识别问题根本原因的详细事件元数据。
  • 特定于应用场景的资源:根据应用场景,可能需要调查 Intune 合规性策略或条件访问策略。 在许多情况下,响应中提供了指向相关文档的链接。

查看影响和信号

  1. 在 Microsoft Graph 中,添加以下查询以检索租户的所有警报。

    GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts
    
  2. 查找并保存要调查的警报的 id

  3. 添加以下查询,使用 id 作为 alertId

    GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
    

有关示例请求和响应,请参阅运行状况监视列表警报对象

  • 响应中 impacts 之后的部分构成了警报的影响摘要。
  • supportingData 部分包括用于生成警报的完整查询。
  • 查询的结果包括异常情况检测服务标识的所有内容,但可能存在与警报不直接相关的结果。

查看登录日志

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心
  2. 浏览到“监视和运行状况”>“登录日志”。
    • 调整时间范围以匹配警报时间范围。
    • 为条件访问添加筛选器。
    • 选择日志条目以查看登录日志详细信息,然后选择“条件访问”选项卡以查看已应用的策略。

查看特定于应用场景的资源

每个警报可能都有不同的数据集需要调查。 有关每个警报类型的详细信息,请参阅以下文章:

分析可能的根本原因

收集与应用场景相关的所有数据后,需要考虑可能的根本原因并研究潜在解决方案。 思考一下警报的严重性。 是否只有少数用户受到影响,还是这是一个普遍存在的问题? 最近的策略更改是否产生了意外的后果?

建议定期查看警报和运行状况监视数据,以确定趋势和潜在问题,避免其成为普遍问题。

后续步骤