Come configurare le notifiche per gli avvisi di monitoraggio di Microsoft Entra Health (anteprima)

Microsoft Entra Health fornisce metriche a livello di tenant e segnali di integrità per diversi scenari di identità chiave. Questi segnali vengono inseriti in un servizio di rilevamento anomalie, che attiva avvisi quando vengono rilevate modifiche significative. È possibile configurare notifiche tramite posta elettronica e webhook per quando viene attivato un avviso.

Questo articolo descrive come configurare le notifiche tramite posta elettronica e webhook per gli avvisi di monitoraggio dell'integrità di Microsoft Entra.

Importante

Il monitoraggio e gli avvisi dello scenario di Microsoft Entra Health sono attualmente disponibili in ANTEPRIMA. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui. L'esperienza dell'interfaccia di amministrazione di Microsoft Entra viene rilasciata ai clienti in fasi, quindi potrebbe non essere possibile visualizzare tutte le funzionalità descritte in questo articolo.

Prerequisiti

Esistono diversi ruoli, autorizzazioni e requisiti di licenza per visualizzare i segnali di monitoraggio della salute e configurare e ricevere avvisi. È consigliabile usare un ruolo con accesso con privilegi minimi per allinearsi alle linee guida Zero Trust.

• Per visualizzare i segnali di monitoraggio dello scenario di integrità di Microsoft Entra, è necessario un tenant con una licenza Microsoft Entra P1 o P2.
• Un tenant con licenza Microsoft Entra P1 o P2e almeno 100 utenti attivi mensili è necessario per visualizzare gli avvisi e ricevere notifiche di avviso.
• Il ruolo Lettore di Report è il ruolo con i privilegi minimi necessari per visualizzare i segnali di monitoraggio dello scenario, gli avvisi e le configurazioni degli avvisi.
• L'amministratoredel supporto tecnico è il ruolo con privilegi minimi necessari per aggiornare gli avvisi e aggiornare le configurazioni di notifica degli avvisi.
• L'autorizzazione Group.Read.All è l'autorizzazione con privilegi minimi necessaria per visualizzare i gruppi.
• L'autorizzazione HealthMonitoringAlert.Read.All è necessaria per visualizzare gli avvisi utilizzando l'API Microsoft Graph.
• L'autorizzazione HealthMonitoringAlert.ReadWrite.All è necessaria per visualizzare e modificare gli avvisi usando l'API Microsoft Graph.
• L'autorizzazione HealthMonitoringAlertConfig.Read.All è necessaria per visualizzare le notifiche di posta elettronica configurate usando Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} o per visualizzare le notifiche webhook configurate usando l'API Microsoft Graph /subscriptions.
• L'autorizzazione HealthMonitoringAlertConfig.ReadWrite.All è necessaria per visualizzare e modificare le notifiche tramite posta elettronica usando Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} o per visualizzare e modificare le notifiche webhook configurate usando l'API Microsoft Graph /subscriptions.
• Per un elenco completo dei ruoli, vedere Ruolo con privilegi minimi per attività.

Annotazioni

• I nuovi inquilini che sono stati appena onboardati potrebbero non avere dati sufficienti per creare avvisi per circa 30 giorni.
  
• Se viene visualizzato un errore a causa di autorizzazioni necessarie per Microsoft Graph, vedere Autorizzazioni di Microsoft Graph per ottenere altre informazioni sulle autorizzazioni di Microsoft Graph.

Determinare i destinatari delle notifiche tramite posta elettronica

È consigliabile esaminare quotidianamente gli scenari di monitoraggio di Microsoft Entra Health in modo da acquisire familiarità con le metriche di base e quindi identificare le tendenze. È importante configurare anche le notifiche tramite posta elettronica per quando viene attivato un avviso.

Le notifiche tramite posta elettronica vengono inviate al gruppo Microsoft Entra a tua scelta. È consigliabile inviare avvisi agli utenti con l'accesso appropriato per analizzare e intervenire sugli avvisi. Non tutti i ruoli possono eseguire la stessa azione, quindi prendere in considerazione l'inclusione di un gruppo con i ruoli seguenti:

• Analista della Sicurezza
• Amministratore della sicurezza
• Amministratore di Intune
• Amministratore accesso condizionale

Configurare le notifiche di posta elettronica

Le impostazioni di notifica tramite posta elettronica possono essere configurate per ogni scenario nell'interfaccia di amministrazione di Microsoft Entra o tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno un amministratore del supporto tecnico .

2. Passare a Entra ID>Monitoraggio e integrità>Salute e selezionare la scheda Monitoraggio salute.

3. Selezionare lo scenario per cui si vogliono configurare le notifiche tramite posta elettronica.

   

4. Nella sezione Raggruppa notifiche di avviso, selezionare il pulsante +Seleziona o Modifica.

   • Se non è selezionato alcun gruppo, viene visualizzato il pulsante +Seleziona.
   • Se è già selezionato un gruppo, viene visualizzato il pulsante Modifica .

   

5. Nel pannello visualizzato selezionare il gruppo che si vuole ricevere gli avvisi e selezionare il pulsante Seleziona.

   • È possibile selezionare un solo gruppo.
   • Il gruppo viene aggiornato nella sezione notifiche di avviso del gruppo della pagina dello scenario.

I membri del gruppo selezionato riceveranno una notifica tramite posta elettronica alla successiva attivazione di un avviso per lo scenario. Ripetere questo processo per gli altri scenari.

Annotazioni

Se nel gruppo selezionato sono stati aggiunti altri gruppi come membri di tale gruppo, le notifiche vengono inviate solo ai primi tre gruppi della gerarchia.

API Microsoft Graph

Per configurare le notifiche di avviso, è necessario l'ID del gruppo Microsoft Entra che si vuole ricevere gli avvisi e l'ID avviso dello scenario.

Individuare l'ID gruppo e il tipo di avviso

1. Accedi a Microsoft Graph Explorer come almeno un Amministratore Helpdesk e fornisci il consenso alle autorizzazioni appropriate.

2. Selezionare GET come metodo HTTP dall'elenco a discesa e impostare la versione dell'API su v1.0.

3. Eseguire una delle query seguenti per individuare l'oggetto id del gruppo per ricevere le notifiche tramite posta elettronica.

   • Per recuperare l'elenco completo dei gruppi:

   GET https://graph.microsoft.com/v1.0/groups
   

   • Per recuperare un gruppo specifico in base al nome visualizzato:

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'GroupName'
   

4. Individuare e salvare il id del gruppo da cui si vogliono ricevere gli avvisi.

5. Scegliere un tipo di avviso per le notifiche tramite posta elettronica.

   • Tipi di avviso possibili: unknown, mfaSignInFailuremanagedDeviceSignInFailure, compliantDeviceSignInFailure, e conditionalAccessBlockedSignIn.
   • È possibile configurare gli avvisi per ognuno di essi alertType , ma se si vuole iniziare con uno scenario con attività e avvisi, eseguire la query seguente per ognuna alertType per esaminare l'attività. Nell'esempio viene mfaSignInFailureusato .

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=alertType eq 'mfaSignInFailure'&$select=alertType,category,createdDateTime,id
   
   

Configurare le notifiche tramite posta elettronica

Esegui la seguente query PATCH in Microsoft Graph Explorer per configurare le notifiche tramite posta elettronica per gli avvisi.

• Sostituire {alertType} con il alertType specifico da configurare.
• Sostituire Object ID of the group con il Object ID del gruppo che vuoi che riceva gli avvisi.
• Per altre informazioni, vedere configurare le notifiche di posta elettronica per gli avvisi.

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json

{
  "emailNotificationConfigurations": [
    {
      "groupId":"Object ID of the group",
      "isEnabled": true
    }
  ]
}

Annotazioni

Se nel gruppo selezionato sono stati aggiunti altri gruppi come membri di tale gruppo, le notifiche vengono inviate solo ai primi tre gruppi della gerarchia.

Configurare le notifiche webhook

Le notifiche di modifica di Microsoft Graph consentono all'applicazione di ricevere avvisi in tempo reale ogni volta che una risorsa viene creata, aggiornata o eliminata. A differenza delle notifiche tramite posta elettronica, questi avvisi vengono recapitati direttamente a un endpoint HTTPS sicuro specificato, rendendoli ideali per flussi di lavoro e integrazioni automatizzati. Attualmente, le notifiche di modifica per le creazioni di avvisi di monitoraggio dell'integrità sono supportate tramite webhook. Microsoft Graph supporta le notifiche per le operazioni di creazione, aggiornamento ed eliminazione, ma in questo momento sono disponibili solo le notifiche di creazione degli avvisi per il monitoraggio dell'integrità.

Per iniziare a ricevere le notifiche, l'applicazione invia una POST richiesta al /subscriptions endpoint per sottoscrivere una risorsa specifica, in questo caso, gli avvisi di monitoraggio dell'integrità. Microsoft Graph convalida quindi la richiesta e conferma la sottoscrizione. Quando la sottoscrizione è attiva, Microsoft Graph invia una notifica all'endpoint designato ogni volta che viene creata la risorsa sottoscritta. Per altre informazioni, vedere Notifiche di modifica di Microsoft Graph.

Annotazioni

Se viene visualizzato un errore dovuto alla mancanza delle autorizzazioni necessarie per Microsoft Graph, vedere Autorizzazioni di Microsoft Graph.

Dopo aver ricevuto una notifica, è necessario analizzare l'avviso tramite l'interfaccia di amministrazione di Microsoft Entra o tramite l'API Microsoft Graph. Se è necessario valutare l'impatto dell'avviso, è consigliabile eseguire il polling o introdurre un breve ritardo prima di chiamare l'API di avviso di monitoraggio dell'integrità per rendere disponibili i dati di valutazione dell'impatto. Per altre informazioni, vedere Come analizzare gli avvisi dello scenario di integrità.

Nell'esempio seguente viene illustrata una richiesta di base per sottoscrivere le modifiche apportate agli avvisi di Monitoraggio integrità.

Richiesta di sottoscrizione di esempio

POST https://graph.microsoft.com/**beta**/subscriptions
Content-Type: application/json
{
  "changeType": "created",
  "notificationUrl": "https://webhook.azurewebsites.net/notificationClient",
  "lifecycleNotificationUrl": "https://webhook.azurewebsites.net/api/lifecycleNotifications",
  "resource": "/reports/healthmonitoring/alerts",
  "expirationDateTime": "2025-08-30T11:00:00.0000000Z",
  "clientState": "SecretClientState"
}

Se si vuole sottoscrivere le notifiche per un solo tipo di avviso specifico, modificare la richiesta in modo da includere i dettagli seguenti:

"notificationQueryOptions":"$filter=alertType eq 'mfaSignInFailure'

Contenuti correlati

• Configurare le notifiche per le modifiche nei dati delle risorse
• Configurare le notifiche tramite posta elettronica per gli avvisi