Freigeben über

Aktionsgruppen

Wenn Azure Monitor-Daten ein potenzielles Problem in Ihrer Infrastruktur oder Anwendung angeben, löst sie eine Warnung aus. Um eine zeitnahe Reaktion sicherzustellen, können Sie Aktionsgruppen an diese Warnungen anfügen, bei denen es sich um Sammlungen von Benachrichtigungseinstellungen und automatisierten Aktionen handelt.

Aktionsgruppen definieren, wer benachrichtigt wird und welche Aktionen ausgeführt werden, wenn eine Warnung ausgelöst wird. Sie unterstützen mehrere Benachrichtigungstypen, einschließlich Sprachanruf, SMS, Pushbenachrichtigungen, E-Mail und automatisierte Aktionen (z. B. Auslösen eines Webhooks oder einer Azure-Funktion). Diese Gruppen werden in allen Diensten wie Azure Monitor, Azure Service Health und Azure Advisor verwendet.

Jede Aktion besteht aus diesen Komponenten:

  • Typ: Die Art der Benachrichtigung oder Automatisierung.
  • Name: Ein eindeutiger Bezeichner innerhalb der Aktionsgruppe.
  • Details: Spezifische Konfiguration basierend auf dem Aktionstyp.

In diesem Artikel erfahren Sie, wie Sie Aktionsgruppen erstellen und verwalten.

Globale Verfügbarkeit und Resilienz

Globale Anfragen von Clients können von Dienstleistungen von Aktionsgruppen in jeder Region verarbeitet werden. Wenn eine Region des Aktionsgruppendiensts ausfällt, wird der Datenverkehr automatisch weitergeleitet und in anderen Regionen verarbeitet. Als globaler Dienst ermöglicht eine Aktionsgruppe die Bereitstellung einer Lösung zur Notfallwiederherstellung.

Note

Regionale Anforderungen stützen sich auf die Verfügbarkeitszonenredundanz, um die Datenschutzanforderungen zu erfüllen, und bieten eine ähnliche Lösung für die Notfallwiederherstellung.

Wiederverwendbarkeit und Ausführen

  • Sie können einer einzelnen Warnungsregel bis zu fünf Aktionsgruppen hinzufügen.
  • Aktionsgruppen werden gleichzeitig ohne eine bestimmte Reihenfolge ausgeführt.
  • Mehrere Benachrichtigungsregeln können dieselbe Aktionsgruppe verwenden.
  • Aktionsgruppen werden durch den eindeutigen Satz von Aktionen und den zu benachrichtigenden Benutzerinnen und Benutzern definiert.
    Beispiel: Um Benutzer1, Benutzer2 und Benutzer3 per E-Mail für zwei verschiedene Warnungsregeln zu benachrichtigen, müssen Sie nur eine Aktionsgruppe erstellen und auf beide Warnungsregeln anwenden.

Erstellen einer Aktionsgruppe im Azure-Portal

  1. Öffnen Sie das Azure-Portal.

  2. Suchen Sie nach Monitor und wählen Sie es aus. Im Bereich Überwachen sind alle Ihre Überwachungseinstellungen und -daten an einem zentralen Ort zusammengefasst.

  3. Wählen Sie Warnungen und dann Aktionsgruppen aus.

    Screenshot der Seite „Warnungen“ im Azure-Portal mit hervorgehobener Schaltfläche „Aktionsgruppen“

  4. Wählen Sie in der oberen Aktionsleiste "Erstellen" aus.

  5. Konfigurieren Sie grundlegende Aktionsgruppeneinstellungen. Im Abschnitt Projektdetails gehen Sie folgendermaßen vor:

    • Wählen Sie Werte für Abonnement und Ressourcengruppe aus.
    • Wählen Sie die Region aus.

    Note

    Warnungen zur Service Health werden nur in öffentlichen Clouds innerhalb des globalen Bereichs unterstützt. Damit Aktionsgruppen als Reaktion auf eine Dienstintegritätswarnung ordnungsgemäß funktionieren, muss der Bereich der Aktionsgruppe auf "Global" festgelegt werden.

    Option Behavior
    Global Der Aktionsgruppendienst entscheidet, wo die Aktionsgruppe gespeichert werden soll. Die Aktionsgruppe wird in mindestens zwei Regionen fortgeführt, um die regionale Resilienz zu gewährleisten. Die Verarbeitung von Aktionen kann in jeder geografischen Region erfolgen.

    Sprach-, SMS- und E-Mail-Aktionen, die als Ergebnis von Dienstintegritätswarnungen ausgeführt werden, sind widerstandsfähig für Azure Live-Site-Vorfälle.
    Regional Die Aktionsgruppe wird innerhalb der ausgewählten Region gespeichert. Die Aktionsgruppe ist zonenredundant. Verwenden Sie diese Option, wenn Sie sicherstellen möchten, dass die Verarbeitung Ihrer Aktionsgruppe innerhalb einer bestimmten geografischen Begrenzung ausgeführt wird.

    Sie können eine der folgenden Regionen für die regionale Verarbeitung von Aktionsgruppen auswählen:
    • USA, Osten
    Westen der USA
    USA, Osten 2
    USA, Westen 2
    • USA, Süden-Mitte
    • USA, Norden-Mitte
    • Schweden, Mitte
    • Deutschland, Westen-Mitte
    • Indien Zentral
    • Indien Süd

    Wir fügen laufend weitere Regionen für die regionale Datenverarbeitung von Aktionsgruppen hinzu.

    Die Aktionsgruppe wird in dem Abonnement, der Region und der Ressourcengruppe gespeichert, die Sie auswählen.

  6. Geben Sie im Abschnitt Details zur Instanz Werte für Name der Aktionsgruppe und Anzeigename ein. Der Anzeigename wird anstelle eines vollständigen Aktionsgruppennamens verwendet, wenn die Gruppe zum Senden von Benachrichtigungen verwendet wird.

    Screenshot: Dialogfeld „Aktionsgruppe erstellen“. Werte sind in den Feldern „Abonnement“, „Ressourcengruppe“, „Aktionsgruppenname“ und „Anzeigename“ sichtbar.

  7. Konfigurieren sie Benachrichtigungen. Wählen Sie Weiter: Benachrichtigungen oder die Registerkarte Benachrichtigungen am unteren Seitenrand aus.

  8. Definieren Sie eine Liste von Benachrichtigungen, die bei Auslösung einer Warnung gesendet werden.

  9. Für jede Benachrichtigung führen Sie folgende Schritte aus:

    1. Wählen Sie den Benachrichtigungstyp aus, und füllen Sie dann die entsprechenden Felder für diese Benachrichtigung aus. Verfügbare Optionen:

      Benachrichtigungstyp Description Fields
      Azure Resource Manager-Rolle per E-Mail benachrichtigen Senden Sie eine E-Mail an die Mitglieder des Abonnements, je nach deren Rolle.
      Siehe E-Mail.      		 Geben Sie die primäre E-Mail-Adresse ein, die für den Microsoft Entra-Benutzer konfiguriert ist. Siehe E-Mail.
      Email Stellen Sie sicher, dass Ihre E-Mail-Filterung und alle Dienste zur Verhinderung von Schadsoftware/Spam entsprechend konfiguriert sind.

      E-Mails werden von den folgenden E-Mail-Adressen gesendet:
      • azure-noreply@microsoft.com
      • azureemail-noreply@microsoft.com
      • alerts-noreply@mail.windowsazure.com      		 Geben Sie die E-Mail-Adresse ein, an die die Benachrichtigung gesendet werden soll.
      SMS SMS-Benachrichtigungen unterstützen die bidirektionale Kommunikation. Die SMS enthält die folgenden Informationen:
      • Kurzname der Aktionsgruppe, an die diese Warnung gesendet wurde
      • Der Titel der Warnung.

      Ein Benutzer kann auf eine der folgenden Weisen auf eine SMS reagieren:
      • Abmelden aller SMS-Benachrichtigungen für alle Aktionsgruppen oder eine einzelne Aktionsgruppe.
      • Erneutes Abonnieren von Benachrichtigungen
      • Hilfe anfordern.

      Weitere Informationen zu unterstützten SMS-Antworten finden Sie unter SMS-Antworten.      		 Geben Sie den Ländercode und die Telefonnummer des SMS-Empfängers ein. Wenn Sie Ihren Länder-/Regionscode im Azure-Portal nicht auswählen können, wird SMS für Ihr Land bzw. Ihre Region nicht unterstützt. Wenn Ihr Länder-/Regionscode nicht verfügbar ist, können Sie über Teilen Sie Ihre Ideen! dafür stimmen, dass Ihr Land bzw. Ihre Region hinzugefügt wird. Bis Ihr Land unterstützt wird, können Sie als Problemumgehung die Aktionsgruppe so konfigurieren, dass sie einen Webhook zu einem SMS-Anbieter eines Drittanbieters aufruft, der Ihr Land/Ihre Region unterstützt.
      Azure-App-Pushbenachrichtigungen Senden von Benachrichtigungen an die mobile Azure-App. Geben Sie beim Konfigurieren der mobilen Azure-App im Feld Azure-Konto-E-Mail die E-Mail-Adresse an, die Sie als Konto-ID verwenden.
      Voice Sprachbenachrichtigung. Geben Sie den Ländercode und die Telefonnummer des Empfängers der Benachrichtigung ein. Wenn Sie Ihren Länder-/Regionscode im Microsoft Azure-Portal nicht auswählen können, werden Sprachanrufe für Ihr Land bzw. Ihre Region nicht unterstützt. Wenn Ihr Länder-/Regionscode nicht verfügbar ist, können Sie über Teilen Sie Ihre Ideen! dafür stimmen, dass Ihr Land bzw. Ihre Region hinzugefügt wird. Bis Ihr Land unterstützt wird, können Sie als Problemumgehung die Aktionsgruppe so konfigurieren, dass sie einen Webhook zu einem Sprachanrufanbieter eines Drittanbieters aufruft, der Ihr Land/Ihre Region unterstützt.

    2. Wählen Sie aus, ob das Allgemeine Warnungsschema aktiviert werden soll. Das allgemeine Warnungsschema ist eine einzelne, erweiterbare und einheitliche Warnungsnutzlast, die für alle Benachrichtigungsdienste in Azure Monitor verwendet werden kann. Weitere Informationen zu diesem Schema finden Sie unter Allgemeines Warnungsschema.

      Screenshot: Registerkarte „Benachrichtigungen“ des Dialogfelds „Aktionsgruppe erstellen“. Konfigurationsinformationen für eine E-Mail-Benachrichtigung sind sichtbar.

    3. Wählen Sie OK aus.

  10. Konfigurieren sie Aktionen. Wählen Sie Weiter: Aktionen aus. Alternativ können Sie am oberen Seitenrand die Registerkarte Aktionen auswählen.

  11. Definieren Sie eine Liste von Aktionen, die bei Auslösung einer Warnung gestartet werden. Wählen Sie einen Aktionstyp aus, und geben Sie einen Namen für jede Aktion ein.

    Aktionstyp Details
    Automatisierungs-Runbook Verwenden Sie das Automation-Runbook, um Aufgaben basierend auf Metriken zu automatisieren. Beenden Sie beispielsweise Ressourcen, wenn ein bestimmter Schwellenwert im zugeordneten Budget erreicht wird. Informationen zu den Grenzwerten für Automation-Runbook-Nutzlasten finden Sie unter Automatisierungsgrenzwerte.
    Ereignis-Hubs Eine Event Hubs-Aktion veröffentlicht Benachrichtigungen in Event Hubs. Es ist der einzige Aktionstyp, der Azure Private Link und Netzwerksicherheitsperimeter (NSP) unterstützt. Weitere Informationen zu Event Hubs finden Sie unter Azure Event Hubs: Big Data-Streamingplattform und Ereigniserfassungsdienst. Sie können den Benachrichtigungsstream über Ihren Ereignisempfänger abonnieren. *Event Hub unterstützt mandantenübergreifende Unterstützung bis zur API-Version 2023-09-01-Preview
    Functions Diese Aktion ruft einen vorhandenen HTTP-Triggerendpunkt in Funktionen auf. Weitere Informationen finden Sie unter Azure Functions.

    Wenn Sie die Functions-Aktion definieren, werden der HTTP-Triggerendpunkt und der Zugriffsschlüssel der Funktion in der Aktionsdefinition gespeichert, z. B. https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Falls Sie den Zugriffsschlüssel für die Funktion ändern, müssen Sie die Funktionsaktion in der Aktionsgruppe entfernen und neu erstellen.

    Ihr Endpunkt muss die HTTP POST-Methode unterstützen.

    Die Funktion muss Zugriff auf das Speicherkonto haben. Wenn er keinen Zugriff hat, sind keine Schlüssel verfügbar, und der Funktions-URI ist nicht zugänglich.

    Erfahren Sie mehr über das Wiederherstellen des Zugriffs auf das Speicherkonto.
    ITSM Eine ITSM-Aktion erfordert eine ITSM-Verbindung. Informationen zum Erstellen einer ITSM-Verbindung finden Sie unter ITSM-Integration.
    Logik-Anwendungen Sie können Azure Logic Apps verwenden, um Workflows für die Integration zu erstellen und anzupassen und um Ihre Warnungsbenachrichtigungen anzupassen.
    Sicherer Webhook Wenn Sie eine Aktion vom Typ „Sicherer Webhook“ verwenden, müssen Sie Microsoft Entra ID zum Sichern der Verbindung zwischen der Aktionsgruppe und Ihrem Endpunkt, der eine geschützten Web-API ist, verwenden. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für den sicheren Webhook. Der sichere Webhook unterstützt keine Standardauthentifizierung. Wenn Sie die einfache Authentifizierung nutzen, verwenden Sie die Webhook-Aktion.
    Webhook Wenn Sie die Webhookaktion verwenden, muss Ihr Ziel-Webhookendpunkt in der Lage sein, die verschiedenen JSON-Nutzlasten von unterschiedlichen Warnungsquellen zu verarbeiten.

    Sie können keine Sicherheitszertifikate über eine Webhookaktion übergeben. Um die Standardauthentifizierung zu verwenden, müssen Sie Ihre Anmeldeinformationen über den URI übergeben.
    Wenn der Webhookendpunkt ein bestimmtes Schema erwartet (z. B. das Microsoft Teams-Schema), verwenden Sie den Aktionstyp Logic Apps, um das Warnungsschema so zu ändern, dass es den Erwartungen des Zielwebhooks entspricht.

    Informationen zu den Regeln, die zum Wiederholen von Webhookaktionen verwendet werden, finden Sie unter Webhook.

    Screenshot: Registerkarte „Aktionen“ des Dialogfelds „Aktionsgruppe erstellen“. In der Liste „Aktionstyp“ sind mehrere Optionen sichtbar.

  12. (Optional) Wenn Sie der Aktionsgruppe ein Schlüssel-Wert-Paar zuweisen möchten, um Ihre Azure-Ressourcen zu kategorisieren, wählen Sie "Weiter: Kategorien" oder die Registerkarte " Kategorien " aus. Überspringen Sie andernfalls diesen Schritt.

  13. Wählen Sie Überprüfen und erstellen aus, um Ihre Einstellungen zu überprüfen. In diesem Schritt werden Ihre Eingaben schnell überprüft, um sicherzustellen, dass Sie alle erforderlichen Informationen eingegeben haben. Wenn Probleme vorliegen, werden diese hier angezeigt. Nachdem Sie die Einstellungen überprüft haben, wählen Sie "Erstellen" aus, um die Aktionsgruppe zu erstellen.

    Note

    Wenn Sie eine Aktion konfigurieren, um eine Person per E-Mail oder SMS zu benachrichtigen, erhält diese Person eine Bestätigung mit dem Hinweis, dass sie der Aktionsgruppe hinzugefügt wurde.

Testen einer Aktionsgruppe im Azure-Portal

Wenn Sie eine Aktionsgruppe im Azure-Portal erstellen oder aktualisieren, können Sie die Aktionsgruppe testen.

  1. Erstellen Sie eine Aktionsgruppe im Azure-Portal.

    Note

    Die Aktionsgruppe muss vor dem Testen erstellt und gespeichert werden. Wenn Sie eine vorhandene Aktionsgruppe bearbeiten, speichern Sie vor dem Testen die Änderungen an der Aktionsgruppe.

  2. Wählen Sie auf der Seite "Aktionsgruppen " eine Aktionsgruppe und dann in der oberen Aktionsleiste " Testen" aus.

  3. Wählen Sie einen Beispieltyp sowie die Benachrichtigungs- und Aktionstypen aus, die Sie testen möchten. Wählen Sie anschließend Testen aus.

    Screenshot: Seite der Aktionsgruppe „Testbeispiel“ mit einem E-Mail-Benachrichtigungstyp und einem Webhook-Aktionstyp.

  4. Wenn Sie das Fenster schließen oder Zurück zur Testeinrichtung auswählen, während der Test ausgeführt wird, wird der Test beendet, und Sie erhalten keine Testergebnisse.

    Screenshot: Aktionsgruppenseite „Testbeispiel“ mit einem Dialogfeld, das eine Stopp-Schaltfläche enthält und den Benutzer fragt, ob der Test beendet werden soll

  5. Wenn der Test abgeschlossen ist, wird der Teststatus Erfolgreich oder Fehler angezeigt. Falls der Test fehlgeschlagen ist und Sie weitere Informationen einsehen möchten, wählen Sie Details anzeigen aus.

    Screenshot, das die Seite der Aktionsgruppe „Testbeispiel“ zeigt, auf der ein Test fehlgeschlagen ist.

    Sie können die Informationen im Abschnitt Fehlerdetails, verwenden, um das Problem zu verstehen. Anschließend können Sie die Aktionsgruppe bearbeiten, die Änderungen speichern, und sie erneut testen.

    Wenn Sie einen Test ausführen und einen Benachrichtigungstyp auswählen, erhalten Sie eine Nachricht mit dem Betreff „Test“. Mithilfe der Tests können Sie überprüfen, ob Ihre Aktionsgruppe wie erwartet funktioniert, bevor Sie sie in einer Produktionsumgebung aktivieren. Alle Details und Links in Test-E-Mail-Benachrichtigungen stammen aus einem Beispielreferenzsatz.

Verwenden von verwalteter Identität mit Azure-Aktionsgruppen (Vorschau)

Azure-Aktionsgruppen unterstützen jetzt verwaltete Identitäten für die sichere, anmeldeinformationsfreie Authentifizierung beim Aufrufen nachgeschalteter Dienste. Dieses Feature ist jetzt in der Vorschau verfügbar.

Führen Sie die folgenden Schritte aus, um vorhandene verwaltete Identitäten in einer Aktionsgruppe zu verwenden:

  1. Konfigurieren Sie die Aktionsgruppe so, dass sie die bevorzugte Identität für jede Aktion innerhalb der Aktionsgruppe verwendet.
  2. Stellen Sie sicher, dass der ausgewählten Identität erforderliche Rollen zugewiesen sind.
  3. Gewähren Sie einer verwalteten Identität Zugriff auf eine Ressource (Aktionstyp) für den Aufruf zur Authentifizierung Siehe Azure-Portal verwenden, um einer verwalteten Identität Zugriff auf eine Ressource zu gewähren.

Screenshot der Identitätseinstellung für eine Aktion in einer Aktionsgruppe.

Unterstützte Aktionstypen

In der folgenden Tabelle sind die Aktionstypen aufgeführt, die mit verwalteter Identität unterstützt werden:

Aktionstyp Unterstützung verwalteter Identitäten Rollenzuweisungsname Rollen-ID
Automatisierungs-Runbook Yes Mitwirkender für Automatisierung f353d9bd-d4a6-484e-a77a-8050b599b867
Azure-Funktion Nein
Ereignis-Hub Yes Azure Event Hubs-Datensender 2b629674-e913-4c01-ae53-ef4638d8f975
ITSM Nein
Logik-App Yes Mitwirkender für Logik-Apps 87a39d53-fc1b-424a-814c-f7e04687dc9e
Sicherer Webhook Nein
Webhook Nein

Note

Wenn Sie verwaltete Identität mithilfe des Azure-Portals konfigurieren, werden Ihrer Identität automatisch Rollenzuweisungen hinzugefügt. Für PowerShell-, CLI- oder SDK-Konfigurationen müssen Sie die Rollen manuell zuweisen.

Rollenanforderungen für Testaktionsgruppen

In der folgenden Tabelle sind die erforderlichen Rollenmitgliedschaften für die Testaktionen aufgeführt:

Rollenmitgliedschaft Vorhandene Aktionsgruppe Vorhandene Ressourcengruppe und neue Aktionsgruppe Neue Ressourcengruppe und neue Aktionsgruppe
Abonnementbeitragender Supported Supported Supported
Ressourcengruppenmitwirkender Supported Supported Nicht anwendbar
Ressourcenmitwirkender für Aktionsgruppe Supported Nicht anwendbar Nicht anwendbar
Azure Monitor-Mitwirkender Supported Supported Nicht anwendbar
Benutzerdefinierte Rolle 1 Supported Supported Nicht anwendbar

1 Die benutzerdefinierte Rolle muss die Berechtigung "Microsoft.Insights/ActionGroups/*" hinzugefügt haben, wodurch der Benutzer auch die Aktionsgruppe aktualisieren und löschen kann. Wenn Sie Einschränkungen hinzufügen möchten, damit der Benutzer die Aktionsgruppe nur testen kann, fügen Sie folgendes auf der Registerkarte JSON für die benutzerdefinierte Rolle hinzu:

{
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [
            "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Insights/ActionGroups/*"
                ],
                "notActions": [
                    "Microsoft.Insights/ActionGroups/write",
                    "Microsoft.Insights/ActionGroups/delete"
                ],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Note

Erstellen einer Aktionsgruppe mithilfe einer Resource Manager-Vorlage

Sie können mit einer Azure Resource Manager-Vorlage Aktionsgruppen konfigurieren. Mithilfe von Vorlagen können Sie automatisch Aktionsgruppen festlegen, die in bestimmten Warnungstypen wiederverwendet werden können. Diese Aktionsgruppen stellen sicher, dass alle relevanten Parteien benachrichtigt werden, wenn eine Warnung ausgelöst wird.

Die grundlegenden Schritte lauten wie folgt:

  1. Erstellen Sie eine Vorlage als JSON-Datei, die die Erstellung der Aktionsgruppe beschreibt.
  2. Stellen Sie die Vorlage mithilfe einer beliebigen Bereitstellungsmethode bereit.

Aktionsgruppe – Resource Manager-Vorlagen

Um eine Aktionsgruppe mithilfe einer Resource Manager-Vorlage zu erstellen, müssen Sie eine Ressource des Typs Microsoft.Insights/actionGroups erstellen. Anschließend tragen Sie alle zugehörigen Eigenschaften ein. Im Folgenden finden Sie zwei Beispielvorlagen, die eine Aktionsgruppe erstellen.

Vorlage 1

Diese Vorlage beschreibt, wie Sie eine Ressourcen-Manager-Vorlage für eine Aktionsgruppe erstellen, in der die Aktionsdefinitionen in der Vorlage hartcodiert sind.

Erweitern, um die Vorlage anzuzeigen 
{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
          {
            "name": "contosoSMS",
            "countryCode": "1",
            "phoneNumber": "5555551212"
          },
          {
            "name": "contosoSMS2",
            "countryCode": "1",
            "phoneNumber": "5555552121"
          }
        ],
        "emailReceivers": [
          {
            "name": "contosoEmail",
            "emailAddress": "devops@contoso.com",
            "useCommonAlertSchema": true

          },
          {
            "name": "contosoEmail2",
            "emailAddress": "devops2@contoso.com",
            "useCommonAlertSchema": true
          }
        ],
        "webhookReceivers": [
          {
            "name": "contosoHook",
            "serviceUri": "http://requestb.in/1bq62iu1",
            "useCommonAlertSchema": true
          },
          {
            "name": "contosoHook2",
            "serviceUri": "http://requestb.in/1bq62iu2",
            "useCommonAlertSchema": true
          }
        ],
         "SecurewebhookReceivers": [
          {
            "name": "contososecureHook",
            "serviceUri": "http://requestb.in/1bq63iu1",
            "useCommonAlertSchema": false
          },
          {
            "name": "contososecureHook2",
            "serviceUri": "http://requestb.in/1bq63iu2",
            "useCommonAlertSchema": false
          }
        ],
        "eventHubReceivers": [
          {
            "name": "contosoeventhub1",
            "subscriptionId": "replace with subscription id GUID",
            "eventHubNameSpace": "contosoeventHubNameSpace",
            "eventHubName": "contosoeventHub",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Vorlage 2

Diese Vorlage beschreibt, wie Sie eine Vorlage erstellen, die die Webhook-Konfigurationsinformationen als Eingabeparameter verwendet, wenn die Vorlage bereitgestellt wird.

Erweitern, um die Vorlage anzuzeigen 
{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    },
    "webhookReceiverName": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service Name."
      }
    },    
    "webhookServiceUri": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service URI."
      }
    }    
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
        ],
        "emailReceivers": [
        ],
        "webhookReceivers": [
          {
            "name": "[parameters('webhookReceiverName')]",
            "serviceUri": "[parameters('webhookServiceUri')]",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupResourceId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Aktionsgruppen verwalten

Nachdem Sie eine Aktionsgruppe erstellt haben, können Sie sie im Portal anzeigen:

  1. Öffnen Sie das Azure-Portal.

  2. Wählen Sie auf der Seite Überwachen die Option Warnungen aus.

  3. Wählen Sie Aktionsgruppen aus.

  4. Wählen Sie die Aktionsgruppe aus, die Sie verwalten möchten. Sie haben folgende Möglichkeiten:

    • Fügen Sie Aktionen hinzu, bearbeiten oder entfernen Sie diese.
    • Löschen der Aktionsgruppe.

Dienstgrenzwerte für Benachrichtigungen

Bei vielen Abonnements kann eine Telefonnummer oder eine E-Mail in Aktionsgruppen aufgenommen werden. Azure Monitor verwendet Die Häufigkeitsbeschränkung zum Anhalten von Benachrichtigungen, wenn zu viele Benachrichtigungen an eine bestimmte Telefonnummer, E-Mail-Adresse oder ein bestimmtes Gerät gesendet werden. Das Ratenlimit stellt sicher, dass Warnungen verwaltbar und verfolgbar sind.

Die Zinsbeschränkung gilt für SMS-, Sprach-, Push- und E-Mail-Benachrichtigungen. Alle anderen Benachrichtigungsaktionen sind nicht von einer Frequenzbegrenzung betroffen. Das Ratenlimit gilt für alle Abonnements. Das Ratenlimit wird wirksam, sobald der Schwellenwert erreicht wird, auch wenn Nachrichten aus mehreren Abonnements gesendet werden. Wenn eine E-Mail-Adresse einem Ratenlimit unterliegt, wird eine Benachrichtigung gesendet, um mitzuteilen, dass das Ratenlimit angewendet wurde und wann das Ratenlimit abläuft.

Informationen zu Ratenlimits finden Sie unter Azure Monitor-Dienstgrenzwerte.

E-Mail an Azure Resource Manager

Wenn Sie Azure Resource Manager für E-Mail-Benachrichtigungen verwenden, können Sie E-Mails an die Mitglieder einer Rolle im Abonnement senden. E-Mails werden an die Microsoft Entra ID-Rollenmitglieder des Typs Benutzer oder Gruppe gesendet. Dies umfasst die Unterstützung für Rollen, die über Azure Lighthouse zugewiesen wurden.

Note

Aktionsgruppen unterstützen nur das Senden der folgenden Rollen per E-Mail: Besitzer, Mitwirkender, Leser, Mitwirkender an der Überwachung, Überwachungsleser.

Wenn Ihre primäre E-Mail-Adresse keine Benachrichtigungen empfängt, konfigurieren Sie die E-Mail-Adresse für „E-Mail an Azure Resource Manager“-Rolle:

  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID.

  2. Wählen Sie " Benutzer " im linken Menü aus, um eine Liste aller Benutzer anzuzeigen.

  3. Wählen Sie den Benutzer aus, dessen primäre E-Mail-Adresse Sie überprüfen möchten.

    Screenshot: Die Seite „Alle Benutzer“ im Azure-Portal. Informationen über einen Benutzer sind sichtbar, aber nicht lesbar.

  4. Sehen Sie sich im Benutzerprofil unter Eigenschaften die Kontaktinformationen für einen E-Mail-Wert an. Wenn das Feld leer ist:

    1. Wählen Sie oben auf der Seite "Eigenschaften bearbeiten" aus.
    2. Geben Sie eine E-Mail-Adresse ein.
    3. Klicken Sie am oberen Rand der Seite auf Speichern.

    Screenshot: Benutzerprofilseite im Azure-Portal. Die Schaltfläche „Bearbeiten“ und das Feld „E-Mail“ werden angezeigt.

Die Anzahl von E-Mail-Aktionen pro Aktionsgruppe ist möglicherweise begrenzt. Informationen dazu, welche Grenzwerte für Ihre Situation jeweils gelten, finden Sie unter Azure Monitor-Dienstgrenzwerte.

Gehen Sie beim Einrichten der Resource Manager-Rolle wie folgt vor:

  • Weisen Sie der Rolle eine Entität vom Typ Benutzer oder Gruppe zu.
  • Nehmen Sie die Rollenzuweisung auf der Abonnementebene vor.
  • Stellen Sie sicher, dass im Microsoft Entra-Profil des Benutzers eine E-Mail-Adresse konfiguriert ist.

Note

Es kann bis zu 24 Stunden dauern, bis ein Kunde Benachrichtigungen empfängt, nachdem er seinem Abonnement eine neue Azure Resource Manager-Rolle hinzugefügt hat.

SMS

Die Anzahl von SMS-Aktionen pro Aktionsgruppe ist möglicherweise begrenzt.

Note

Wenn Sie Ihren Länder-/Regionscode im Azure-Portal nicht auswählen können, wird SMS für Ihr Land bzw. Ihre Region nicht unterstützt. Wenn Ihr Länder-/Regionscode nicht verfügbar ist, können Sie über Teilen Sie Ihre Ideen! dafür stimmen, dass Ihr Land bzw. Ihre Region hinzugefügt wird. Als Problemumgehung können Sie in der Zwischenzeit Ihre Aktionsgruppe so konfigurieren, dass sie einen Webhook bei einem anderen SMS-Anbieter mit Unterstützung in Ihrem Land bzw. Ihrer Region aufruft.

SMS-Antworten

Diese Antworten werden für SMS-Benachrichtigungen unterstützt. Der Empfänger der SMS kann auf die SMS mit den folgenden Werten antworten:

REPLY Description
DEAKTIVIEREN <Action Group Short name> Deaktiviert weitere SMS-Benachrichtigungen von der Aktionsgruppe
AKTIVIEREN <Action Group Short name> Aktiviert SMS-Benachrichtigungen von der Aktionsgruppe wieder
STOP Deaktiviert weitere SMS-Benachrichtigungen von allen Aktionsgruppen
START Erneutes Aktivieren von SMS aus allen Aktionsgruppen
HELP Der Benutzer erhält eine Antwort mit einem Link zu diesem Artikel.

Note

Wenn ein Benutzer sms-Benachrichtigungen abbestellt und dann einer neuen Aktionsgruppe hinzugefügt wird, empfängt er SMS-Benachrichtigungen für diese neue Aktionsgruppe, bleibt aber von allen vorherigen Aktionsgruppen abbestellt.

Die Anzahl von Azure-App-Aktionen pro Aktionsgruppe ist möglicherweise begrenzt.

Länder/Regionen, in denen SMS-Benachrichtigungen unterstützt werden

Liste erweitern, um sie anzuzeigen
Landescode Country
61 Australia
43 Austria
32 Belgium
55 Brazil
1 Canada
56 Chile
86 China
420 Tschechische Republik
45 Denmark
372 Estonia
358 Finland
33 France
49 Germany
852 Sonderverwaltungsregion Hongkong
91 India
353 Ireland
972 Israel
39 Italy
81 Japan
352 Luxembourg
60 Malaysia
52 Mexico
31 Netherlands
64 Neuseeland
47 Norway
351 Portugal
1 Puerto Rico
40 Romania
7 Russia
65 Singapore
27 Südafrika
82 Südkorea
34 Spain
41 Switzerland
886 Taiwan
971 UAE
44 Vereinigtes Königreich
1 United States

Voice

Die Anzahl von Sprachanrufaktionen pro Aktionsgruppe ist möglicherweise begrenzt. Wichtige Informationen zu Ratenlimits finden Sie unter Azure Monitor-Dienstgrenzwerte.

Note

Wenn Sie Ihren Länder-/Regionscode im Azure-Portal nicht auswählen können, werden Sprachanrufe für Ihr Land bzw. Ihre Region nicht unterstützt. Wenn Ihr Länder-/Regionscode nicht verfügbar ist, können Sie über Teilen Sie Ihre Ideen! dafür stimmen, dass Ihr Land bzw. Ihre Region hinzugefügt wird. Als Problemumgehung können Sie in der Zwischenzeit Ihre Aktionsgruppe so konfigurieren, dass sie einen Webhook bei einem anderen Anbieter von Sprachanrufen mit Unterstützung in Ihrem Land bzw. Ihrer Region aufruft. Wenn ein Land mit einem Sternchen (*) gekennzeichnet ist, kommen Anrufe von einer USA-basierten Telefonnummer.

Länder/Regionen, in denen Sprachbenachrichtigungen unterstützt werden

Liste erweitern, um sie anzuzeigen
Landescode Country
61 Australia
43 Austria
32 Belgium
55 Brazil
1 Canada
56 Chile
86 China*
420 Tschechische Republik
45 Denmark
372 Estonia
358 Finland
33 France
49 Germany
852 Hongkong*
91 India*
353 Ireland
972 Israel
39 Italy*
81 Japan*
352 Luxembourg
60 Malaysia
52 Mexico
31 Netherlands
64 Neuseeland
47 Norway
351 Portugal
40 Romania*
7 Russia*
65 Singapore
27 Südafrika
82 Südkorea
34 Spain
46 Sweeden
41 Switzerland
886 Taiwan*
971 Vereinigte Arabische Emirate*
44 Vereinigtes Königreich
1 United States

Informationen zu den Preisen für unterstützte Länder/Regionen finden Sie unter Azure Monitor – Preise.

Webhook

Note

Wenn Sie die Webhookaktion verwenden, muss Ihr Ziel-Webhookendpunkt in der Lage sein, die verschiedenen JSON-Nutzlasten von unterschiedlichen Warnungsquellen zu verarbeiten. Der Webhook-Endpunkt muss auch öffentlich zugänglich sein. Sie können keine Sicherheitszertifikate über eine Webhookaktion übergeben. Um die Standardauthentifizierung zu verwenden, müssen Sie Ihre Anmeldeinformationen über den URI übergeben. Wenn der Webhookendpunkt ein bestimmtes Schema erwartet (z. B. das Microsoft Teams-Schema), verwenden Sie die Logic Apps-Aktion, um das Warnungsschema in das vom Zielwebhook erwartete Schema zu transformieren.

Webhook-Aktionsgruppen folgen im Allgemeinen diesen Regeln, wenn sie aufgerufen werden:

  • Wenn ein Webhook aufgerufen wird und der erste Aufruf fehlschlägt, wird er mindestens ein weiteres Mal und bis zu maximal fünfmal (5 Wiederholungsversuche) in verschiedenen Verzögerungsintervallen (5, 20, 40 Sekunden) erneut versucht.

    Attempts Delay
    Zwischen 1. und 2. 5 Sekunden
    Zwischen 2. und 3. 20 Sekunden
    Zwischen 3. und 4. 5 Sekunden
    Zwischen 4. und 5. 40 Sekunden
    Zwischen 5. und 6. 5 Sekunden

  • Nachdem die Wiederholungsversuche zum Aufrufen des Webhooks fehlgeschlagen sind, wird der Endpunkt während der nächsten 15 Minuten von keiner Aktionsgruppe mehr aufgerufen.

  • Die Wiederholungslogik geht davon aus, dass der Aufruf wiederholt werden kann. Die Statuscodes 408, 429, 503, 504 oder HttpRequestException, WebException ermöglichen, TaskCancellationException dass der Aufruf wiederholt werden kann.

Konfigurieren der Authentifizierung für den sicheren Webhook

Die sichere Webhookaktion authentifiziert sich bei der geschützten API mithilfe einer Dienstprinzipalinstanz im Microsoft Entra-Mandanten der Microsoft Entra-Anwendung AZNS AAD-Webhook. Damit die Aktionsgruppe funktioniert, muss dieser Microsoft Entra-Webhookdienstprinzipal als Mitglied einer Rolle in der Microsoft Entra-Zielanwendung hinzugefügt werden, die Zugriff auf den Zielendpunkt gewährt.

Eine Übersicht über Microsoft Entra-Anwendungen und -Dienstprinzipale finden Sie unter Microsoft Identity Platform (v2.0): Übersicht. Führen Sie die folgenden Schritte aus, um die Funktion „Sicherer Webhook“ zu nutzen.

Note

Die Standardauthentifizierung wird für SecureWebhook nicht unterstützt. Um die Standardauthentifizierung verwenden zu können, müssen Sie Webhook verwenden.

Wenn Sie die Webhookaktion verwenden, muss Ihr Ziel-Webhookendpunkt in der Lage sein, die verschiedenen JSON-Nutzlasten von unterschiedlichen Warnungsquellen zu verarbeiten. Wenn der Webhookendpunkt ein bestimmtes Schema erwartet (z. B. das Microsoft Teams-Schema), verwenden Sie die Logic Apps-Aktion, um das Warnungsschema in das vom Zielwebhook erwartete Schema zu transformieren.

Note

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Einstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

  1. Erstellen Sie eine Microsoft Entra-Anwendung für ihre geschützte Web-API. Ausführliche Informationen finden Sie unter Geschützte Web-API: App-Registrierung. Konfigurieren Sie die geschützte API so, dass sie von einer Daemon-App aufgerufen wird, und machen Sie Anwendungsberechtigungen (keine delegierten Berechtigungen) verfügbar.

    Tip

    Konfigurieren Sie die geschützte Web-API zum Akzeptieren von V2.0-Zugriffstoken. Ausführliche Informationen zu dieser Einstellung finden Sie unter Microsoft Entra-App-Manifest.

  2. Verwenden Sie das PowerShell-Skript im Anschluss an dieses Verfahren, um die Aktionsgruppe für die Verwendung Ihrer Microsoft Entra-Anwendung zu aktivieren.

    Note

    • Sie müssen Mitglied der Rolle „Microsoft Entra-Anwendungsadministrator“ sein, um dieses Skript auszuführen.

    • Dem Dienstprinzipal muss eine Besitzerrolle der Microsoft Entra-Anwendung zugewiesen werden, um die Sichere Webhook-Aktion in der Aktionsgruppe erstellen, ändern oder testen zu können.

  3. Konfigurieren Sie die Aktion „Sicherer Webhook“.

    1. Kopieren Sie den $myApp.ObjectId-Wert im Skript.
    2. Geben Sie in der Definition der Webhookaktion den kopierten Wert in das Feld Objekt-ID ein.

    Screenshot: Dialogfeld „Sicherer Webhook“ im Azure-Portal mit dem Feld „Objekt-ID“

PowerShell-Skript für sicheren Webhook

Note

Voraussetzungen: Installieren des Microsoft Graph PowerShell SDK

Informationen zur Ausführung

  1. Kopieren Sie das folgende Skript, und fügen Sie es auf Ihren Computer ein.
  2. Ersetzen Sie tenantId und ObjectID in Ihrer App-Registrierung.
  3. Speichern unter *.ps1
  4. Öffnen Sie den PowerShell-Befehl von Ihrem Computer, und führen Sie das Skript *.ps1 aus.

Zum Anzeigen des Skripts erweitern 
Write-Host "================================================================================================="
$scopes = "Application.ReadWrite.All"
$myTenantId = "<<Customer's tenant id>>"
$myMicrosoftEntraAppRegistrationObjectId = "<<Customer's object id from the app registration>>"
$actionGroupRoleName = "ActionGroupsSecureWebhook"
$azureMonitorActionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a" # Required. Do not change.

Connect-MgGraph -Scopes $scopes -TenantId $myTenantId

Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = @{
        AllowedMemberTypes = @("Application")
        DisplayName = $Name
        Id = New-Guid
        IsEnabled = $true
        Description = $Description
        Value = $Name
    }
    return $appRole
}

$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
$myActionGroupServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$azureMonitorActionGroupsAppId'"

Write-Host "App Roles before addition of new role.."
foreach ($role in $myAppRoles) { Write-Host $role.Value }

if ($myAppRoles.Value -contains $actionGroupRoleName)
{
    Write-Host "The Action Group role is already defined. No need to redefine.`n"
    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}
else
{
    Write-Host "The Action Group role is not defined. Defining the role and adding it."
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles += $newRole
    Update-MgApplication -ApplicationId $myApp.Id -AppRole $myAppRoles

    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}

$myServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$($myApp.AppId)'"

if ($myActionGroupServicePrincipal.DisplayName -contains "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
    Write-Host "The action group Service Principal is: " + $myActionGroupServicePrincipal.DisplayName + " and the id is: " + $myActionGroupServicePrincipal.Id
}
else
{
    Write-Host "The Service principal has NOT been defined/created in the tenant.`n"
    $myActionGroupServicePrincipal = New-MgServicePrincipal -AppId $azureMonitorActionGroupsAppId
    Write-Host "The Service Principal is been created successfully, and the id is: " + $myActionGroupServicePrincipal.Id
}

# Check if $myActionGroupServicePrincipal is not $null before trying to access its Id property
# Check if the role assignment already exists
$existingRoleAssignment = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id | Where-Object { $_.AppRoleId -eq $myApp.AppRoles[0].Id -and $_.PrincipalId -eq $myActionGroupServicePrincipal.Id -and $_.ResourceId -eq $myServicePrincipal.Id }

# If the role assignment does not exist, create it
if ($null -eq $existingRoleAssignment) {
    Write-Host "Doing app role assignment to the new action group Service Principal`n"
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id -AppRoleId $myApp.AppRoles[0].Id -PrincipalId $myActionGroupServicePrincipal.Id -ResourceId $myServicePrincipal.Id
} else {
    Write-Host "Skip assigning because the role already existed."
}

Write-Host "myServicePrincipalId: " $myServicePrincipal.Id
Write-Host "My Azure AD Application (ObjectId): " $myApp.Id
Write-Host "My Azure AD Application's Roles"
foreach ($role in $myAppRoles) { Write-Host $role.Value }

Write-Host "================================================================================================="

Migrieren der Runbook-Aktion von „Als Konto ausführen“ zu „Als verwaltete Identität ausführen“

Note

Azure Automation Run as account wurde am 30. September 2023 eingestellt, was sich auf Aktionen auswirkt, die mit Automatisierungs-Runbook erstellt wurden. Bestehende Aktionen, die mit Runbooks Als Konto ausführen verknüpft sind, werden nach der Einstellung nicht mehr unterstützt. Diese Runbooks würden jedoch bis zum Ablauf des „Ausführen als“-Zertifikats des Automatisierungskontos weiter ausgeführt.

Um sicherzustellen, dass Sie die Runbook-Aktionen weiterhin verwenden können, müssen Sie Folgendes tun:

  1. Bearbeiten Sie die Aktionsgruppe, indem Sie eine neue Aktion mit dem Aktionstyp Automatisierungs-Runbook hinzufügen und dasselbe Runbook aus der Dropdownliste auswählen.

    Note

    Alle 5 Runbooks in der Dropdown-Liste wurden im Back-End so umkonfiguriert, dass sie „Als verwaltete Identität“ anstelle von „Als Konto ausführen“ authentifiziert werden. Die vom System zugewiesene verwaltete Identität im Automatisierungskonto würde mit der Rolle VM-Mitwirkende*r auf Abonnementebene automatisch zugewiesen werden.

    Screenshot des Hinzufügens einer Runbook-Aktion zu einer Aktionsgruppe.

    Screenshot der Konfiguration der Runbookaktion

  2. Löschen Sie alte Runbook-Aktionen, die mit einem Runbook Als Konto ausführen verknüpft sind.

  3. Speichern Sie die Aktionsgruppe.

Nächste Schritte

  • Last updated on