Udostępnij za pośrednictwem


Grupy akcji

Gdy dane usługi Azure Monitor wskazują, że może wystąpić problem z infrastrukturą lub aplikacją, zostanie wyzwolony alert. Możesz użyć grupy akcji, aby wysłać powiadomienie, takie jak połączenie głosowe, wiadomość SMS, powiadomienie push lub wiadomość e-mail, oprócz samego alertu, gdy zostanie on wyzwolony. Grupy akcji to zbiór preferencji dotyczących powiadomień i działań. Usługi Azure Monitor, Azure Service Health i Azure Advisor używają grup akcji do powiadamiania użytkowników o alercie i podjęcia akcji. W tym artykule pokazano, jak tworzyć grupy akcji i zarządzać nimi.

Każda akcja składa się z:

  • Typ: wysłane powiadomienie lub wykonano akcję. Przykłady obejmują wysyłanie połączenia głosowego, wiadomości SMS lub poczty e-mail. Można również wyzwalać różne typy zautomatyzowanych akcji.
  • Nazwa: unikatowy identyfikator w grupie akcji.
  • Szczegóły: odpowiednie szczegóły różniące się w zależności od typu.

Ogólnie rzecz biorąc, grupa akcji jest usługą globalną. Wysiłki mające na celu zapewnienie im większej dostępności regionalnej są w rozwoju.

Żądania globalne od klientów mogą być przetwarzane przez usługi grup działań w dowolnym regionie. Jeśli jeden region usługi grupy akcji nie działa, ruch jest automatycznie kierowany i przetwarzany w innych regionach. Jako globalna usługa, grupa zadaniowa pomaga zapewnić rozwiązanie odzyskiwania po awarii. Żądania regionalne polegają na redundancji stref dostępności, aby spełnić wymagania dotyczące prywatności i zapewnić podobne rozwiązanie do odzyskiwania po awarii.

  • Do reguły alertu można dodać maksymalnie pięć grup akcji.
  • Grupy działań są wykonywane współbieżnie, bez określonej kolejności.
  • Wiele reguł alertów może używać tej samej grupy akcji.
  • Grupy akcji są definiowane przez unikatowy zestaw akcji, a użytkownicy mają być powiadamiani. Jeśli na przykład chcesz powiadomić użytkownika1, użytkownika2 i użytkownika3 pocztą e-mail dla dwóch różnych reguł alertów, musisz utworzyć tylko jedną grupę akcji, którą można zastosować do obu reguł alertów.

Tworzenie grupy akcji w witrynie Azure Portal

  1. Przejdź do portalu Azure Portal.

  2. Wyszukaj i wybierz Monitor. Okienko Monitorowanie konsoliduje wszystkie ustawienia monitorowania i dane w jednym widoku.

  3. Wybierz pozycję Alerty, a następnie wybierz pozycję Grupy akcji.

    Zrzut ekranu przedstawiający stronę Alerty w witrynie Azure Portal z wyróżnionym przyciskiem grupy akcji.

  4. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający stronę grup akcji w portalu Azure. Przycisk Utwórz jest wyróżniony.

  5. Skonfiguruj podstawowe ustawienia grupy akcji. W sekcji Szczegóły projektu:

    • Wybierz wartości dla Subskrypcji i Grupy zasobów.
    • Wybierz region.

    Uwaga

    Alerty usługi Service Health są obsługiwane tylko w chmurach publicznych w regionie globalnym. Aby grupy akcji działały prawidłowo w odpowiedzi na alert usługi Service Health, region grupy akcji musi być ustawiony jako Globalny.

    Opcja Zachowanie
    Światowy Usługa grup działania decyduje, gdzie przechowywać grupę działania. Grupa działań jest utrwalana w co najmniej dwóch regionach dla zapewnienia odporności regionalnej. Przetwarzanie akcji można wykonać w dowolnym regionie geograficznym.

    Akcje głosowe, SMS i e-mail wykonywane w wyniku alertów dotyczących kondycji usługi są odporne na zdarzenia na żywo platformy Azure.
    Regionalne Grupa akcji jest przechowywana w wybranym regionie. Grupa akcji jest redundantna strefowo. Użyj tej opcji, jeśli chcesz upewnić się, że przetwarzanie grupy akcji jest wykonywane w ramach określonej granicy geograficznej.

    Możesz wybrać jeden z tych regionów na potrzeby regionalnego przetwarzania grup akcji:
    • Wschodnie stany USA
    • Zachodnie stany USA
    • Wschodnie stany USA 2
    • Zachodnie stany USA 2
    • Południowo-środkowe stany USA
    • Północno-środkowe stany USA
    • Szwecja Środkowa
    • Niemcy Zachodnio-środkowe
    • Indie Środkowe
    • Indie Południowe

    Stale dodajemy więcej regionów do regionalnego przetwarzania danych grup akcji.

    Grupa akcji jest zapisywana w wybranej subskrypcji, regionie i grupie zasobów.

  6. W sekcji Szczegóły wystąpienia wprowadź wartości w polach Nazwa grupy akcji i Nazwa wyświetlana. Nazwa wyświetlana jest używana zamiast pełnej nazwy grupy akcji, gdy grupa jest używana do wysyłania powiadomień.

    Zrzut ekranu przedstawiający okno dialogowe Tworzenie grupy akcji. Wartości są widoczne w polach Subskrypcja, Grupa zasobów, Nazwa grupy akcji i Nazwa wyświetlana.

  7. Konfigurowanie powiadomień. Wybierz pozycję Dalej: Powiadomienia lub wybierz kartę Powiadomienia w górnej części strony.

  8. Zdefiniuj listę powiadomień do wysłania po wyzwoleniu alertu.

  9. Dla każdego powiadomienia:

    1. Wybierz typ powiadomienia, a następnie wypełnij odpowiednie pola dla tego powiadomienia. Dostępne opcje:

      Typ powiadomienia opis Pola
      Rola zarządzania zasobami Azure Email Wyślij wiadomość e-mail do członków subskrypcji na podstawie ich roli.
      Zobacz E-mail.
      Wprowadź podstawowy adres e-mail skonfigurowany dla użytkownika Microsoft Entra. Zobacz E-mail.
      E-mail Upewnij się, że filtrowanie wiadomości e-mail i wszystkie usługi ochrony przed złośliwym oprogramowaniem/spamem zostały odpowiednio skonfigurowane.

      Wiadomości e-mail są wysyłane z następujących adresów e-mail:
      • azure-noreply@microsoft.com
      • azureemail-noreply@microsoft.com
      • alerts-noreply@mail.windowsazure.com
      Wprowadź wiadomość e-mail, w której ma zostać wysłane powiadomienie.
      SMS Powiadomienia SMS obsługują dwukierunkową komunikację. Wiadomość SMS zawiera następujące informacje:
      • Krótka nazwa grupy akcji, do którego wysłano ten alert
      • Tytuł alertu.

      Użytkownik może odpowiedzieć na wiadomość SMS na:
      • Anuluj subskrypcję wszystkich alertów SMS dla wszystkich grup akcji lub jednej grupy akcji.
      • Ponowne przypisywanie alertów
      • Poproś o pomoc.

      Aby uzyskać więcej informacji na temat obsługiwanych odpowiedzi SMS, zobacz Odpowiedzi SMS.
      Wprowadź kod kraju i numer telefonu adresata wiadomości SMS. Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, wiadomość SMS nie jest obsługiwana w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. Aby obejść ten problem, dopóki Twój kraj/region nie będzie obsługiwany, skonfiguruj grupę akcji do wywołania webhooku do zewnętrznego dostawcy usług SMS, który obsługuje Twój kraj/region.
      Powiadomienia push aplikacji platformy Azure Wysyłanie powiadomień do aplikacji mobilnej platformy Azure. W polu Adres e-mail konta platformy Azure wprowadź adres e-mail używany jako identyfikator konta podczas konfigurowania aplikacji mobilnej platformy Azure.
      Głos Powiadomienie głosowe. Wprowadź kod kraju i numer telefonu odbiorcy powiadomienia. Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, powiadomienia głosowe nie są obsługiwane w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. Aby obejść ten problem, dopóki Twój kraj nie będzie obsługiwany, skonfiguruj grupę akcji, aby wywołać webhook do zewnętrznego dostawcy połączeń głosowych, który obsługuje Twój kraj/region.
    2. Wybierz, jeśli chcesz włączyć wspólny schemat alertu. Typowy schemat alertu to pojedynczy rozszerzalny i ujednolicony ładunek alertów, który może być używany we wszystkich usługach alertów w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat wspólnego schematu, zobacz Wspólny schemat alertów.

      Zrzut ekranu przedstawiający kartę Powiadomienia w oknie dialogowym Tworzenie grupy akcji. Informacje o konfiguracji powiadomienia e-mail są widoczne.

    3. Wybierz przycisk OK.

  10. Konfigurowanie akcji. Wybierz pozycję Dalej: Akcje. lub wybierz kartę Akcje w górnej części strony.

  11. Zdefiniuj listę akcji wyzwalanych po wyzwoleniu alertu. Wybierz typ akcji i wprowadź nazwę każdej akcji.

    Typ akcji Szczegóły
    Runbook automatyzacji Użyj Runbook Automation do automatyzacji zadań na podstawie metryk. Na przykład zamknij zasoby po osiągnięciu określonego progu w skojarzonym budżecie. Aby uzyskać informacje o limitach ładunków runbooków usługi Automation, zobacz Limity automatyzacji.
    Event Hubs Akcja usługi Event Hubs publikuje powiadomienia w usłudze Event Hubs. Jest to jedyny typ akcji, który obsługuje usługę Azure Private Link i obwód zabezpieczeń sieci (NSP). Aby uzyskać więcej informacji na temat usługi Event Hubs, zobacz Azure Event Hubs — platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. Możesz subskrybować strumień powiadomień o alertach z odbiornika zdarzeń.
    Funkcje Wywołuje istniejący punkt końcowy wyzwalacza HTTP w funkcjach programistycznych. Aby uzyskać więcej informacji, zobacz Azure Functions.

    Po zdefiniowaniu akcji funkcji punkt końcowy wyzwalacza HTTP funkcji i klucz dostępu są zapisywane w definicji akcji, na przykład https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Jeśli zmienisz klucz dostępu dla funkcji, musisz usunąć i ponownie utworzyć operację funkcji w grupie działań.

    Punkt końcowy musi obsługiwać metodę HTTP POST.

    Funkcja musi mieć dostęp do konta magazynowego. Jeśli nie ma dostępu, klucze nie są dostępne, a identyfikator URI funkcji nie jest dostępny.

    Dowiedz się więcej o przywracaniu dostępu do konta magazynowego.
    Zarządzanie Usługami IT Akcja ITSM wymaga połączenia ITSM. Aby dowiedzieć się, jak utworzyć połączenie ITSM, zobacz Integracja rozwiązania ITSM.
    Aplikacje logiki Usługi Azure Logic Apps można używać do tworzenia i dostosowywania przepływów pracy na potrzeby integracji oraz dostosowywania powiadomień o alertach.
    Bezpieczny webhook Podczas korzystania z bezpiecznej akcji webhook należy użyć Microsoft Entra ID, aby zabezpieczyć połączenie między grupą akcji a punktem końcowym, którym jest zabezpieczony interfejs API sieci Web. Zobacz Konfigurowanie uwierzytelniania dla zabezpieczonego webhooka. Bezpieczny webhook nie obsługuje uwierzytelniania podstawowego. Jeśli używasz uwierzytelniania podstawowego, użyj akcji webhook.
    Webhook Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów.

    Nie można przekazywać certyfikatów zabezpieczeń przez akcję webhook. Aby użyć uwierzytelniania podstawowego, musisz przekazać poświadczenia za pośrednictwem adresu URI.
    Jeśli punkt końcowy webhooka oczekuje określonego schematu, na przykład schematu Microsoft Teams, użyj typu akcji Logic Apps, aby manipulować schematem alertu i spełnić oczekiwania docelowego webhooka.

    Aby uzyskać informacje o regułach używanych do ponawiania prób akcji elementu webhook, zobacz Element webhook.

    Zrzut ekranu przedstawiający kartę Akcje okna dialogowego Tworzenie grupy akcji. Na liście Typ akcji jest widocznych kilka opcji.

  12. (Opcjonalnie) Jeśli chcesz przypisać parę klucz-wartość do grupy akcji w celu kategoryzowania zasobów platformy Azure, wybierz pozycję Dalej: Tagi lub kartę Tagi . W przeciwnym razie pomiń ten krok.

    Zrzut ekranu przedstawiający kartę Tagi okna dialogowego Tworzenie grupy akcji. Wartości są widoczne w polach Nazwa i Wartość.

  13. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć ustawienia. Ten krok szybko sprawdza dane wejściowe, aby upewnić się, że zostały wprowadzone wszystkie wymagane informacje. Jeśli występują problemy, są one zgłaszane tutaj. Po przejrzeniu ustawień wybierz pozycję Utwórz , aby utworzyć grupę akcji.

    Zrzut ekranu przedstawiający kartę Przegląd + tworzenie w oknie dialogowym Tworzenie grupy akcji. Wszystkie skonfigurowane wartości są widoczne.

    Uwaga

    Po skonfigurowaniu akcji w celu powiadomienia osoby za pośrednictwem poczty e-mail lub wiadomości SMS otrzymują potwierdzenie wskazujące, że zostały one dodane do grupy akcji.

Testowanie grupy akcji w witrynie Azure Portal

Podczas tworzenia lub aktualizowania grupy akcji w witrynie Azure Portal możesz przetestować grupę akcji.

  1. Utwórz grupę akcji w witrynie Azure Portal.

    Uwaga

    Przed rozpoczęciem testowania należy utworzyć i zapisać grupę akcji. Jeśli edytujesz istniejącą grupę akcji, zapisz zmiany w grupie akcji przed rozpoczęciem testowania.

  2. Na stronie grupy akcji wybierz pozycję Testuj.

    Zrzut ekranu przedstawiający stronę grupy akcji testowej z opcją Testuj.

  3. Wybierz przykładowy typ oraz typy powiadomienia i akcji do przetestowania. Następnie wybierz pozycję Testuj.

    Zrzut ekranu przedstawiający stronę grupy akcji testowej próbki z typem powiadomienia e-mail i typem akcji webhook.

  4. Jeśli zamkniesz okno lub wybierzesz pozycję Wstecz, aby przetestować konfigurację podczas uruchamiania testu, test zostanie zatrzymany i nie uzyskasz wyników testu.

    Zrzut ekranu przedstawiający stronę grupy akcji Test Sample. Okno dialogowe zawiera przycisk Zatrzymaj i pyta użytkownika o zatrzymanie testu.

  5. Po zakończeniu testu zostanie wyświetlony stan testu Powodzenie lub Niepowodzenie . Jeśli test zakończył się niepowodzeniem i chcesz uzyskać więcej informacji, wybierz pozycję Wyświetl szczegóły.

    Zrzut ekranu przedstawiający stronę grupy akcji testowej, na której wyświetlony został test zakończony niepowodzeniem.

    Aby zrozumieć problem, możesz użyć informacji w sekcji Szczegóły błędu. Następnie możesz edytować, zapisać zmiany i ponownie przetestować grupę akcji.

    Po uruchomieniu testu i wybraniu typu powiadomienia otrzymasz komunikat z komunikatem "Test" w temacie. Testy umożliwiają sprawdzenie, czy grupa akcji działa zgodnie z oczekiwaniami przed włączeniem jej w środowisku produkcyjnym. Wszystkie szczegóły i linki w testowych powiadomieniach e-mail pochodzą z przykładowego zestawu referencyjnego.

Wymagania dotyczące roli dla testowych grup akcji

W poniższej tabeli opisano wymagania dotyczące członkostwa w rolach, które są wymagane dla funkcji akcji testowych:

Członkostwo w rolach Istniejąca grupa akcji Istniejąca grupa zasobów i nowa grupa akcji Nowa grupa zasobów i nowa grupa akcji
Współautor subskrypcji Obsługiwane Obsługiwane Obsługiwane
Współautor grupy zasobów Obsługiwane Obsługiwane Nie dotyczy
Kontrybutor zasobów grupy działania Obsługiwane Nie dotyczy Nie dotyczy
Współautor usługi Azure Monitor Obsługiwane Obsługiwane Nie dotyczy
Rola niestandardowa 1 Obsługiwane Obsługiwane Nie dotyczy

1 Rola niestandardowa musi mieć dodane uprawnienie Microsoft.Insights/ActionGroups/*, które umożliwi również użytkownikowi aktualizowanie i usuwanie grupy akcji. Aby dodać ograniczenia, aby użytkownik mógł przetestować tylko grupę akcji, dodaj następujące elementy na karcie JSON dla roli niestandardowej:

{
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [
            "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Insights/ActionGroups/*"
                ],
                "notActions": [
                    "Microsoft.Insights/ActionGroups/write",
                    "Microsoft.Insights/ActionGroups/delete"
                ],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Uwaga

Tworzenie grupy akcji przy użyciu szablonu usługi Resource Manager

Do konfigurowania grup akcji można użyć szablonu usługi Azure Resource Manager. Za pomocą szablonów można automatycznie skonfigurować grupy akcji, które mogą być ponownie używane w niektórych typach alertów. Te grupy akcji zapewniają, że wszystkie odpowiednie strony są powiadamiane po wyzwoleniu alertu.

Podstawowe kroki to:

  1. Utwórz szablon jako plik JSON, który opisuje sposób tworzenia grupy akcji.
  2. Wdróż szablon przy użyciu dowolnej metody wdrażania.

Szablony grupy akcji Menedżera Zasobów

Aby utworzyć grupę akcji przy użyciu szablonu usługi Resource Manager, należy utworzyć zasób typu Microsoft.Insights/actionGroups. Następnie wypełnij wszystkie powiązane właściwości. Poniżej przedstawiono dwa przykładowe szablony, które tworzą grupę akcji.

Pierwszy szablon opisuje sposób tworzenia szablonu usługi Resource Manager dla grupy akcji, w której definicje akcji są zakodowane w szablonie. Drugi szablon opisuje sposób tworzenia szablonu, który pobiera informacje o konfiguracji elementu webhook jako parametry wejściowe podczas wdrażania szablonu.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
          {
            "name": "contosoSMS",
            "countryCode": "1",
            "phoneNumber": "5555551212"
          },
          {
            "name": "contosoSMS2",
            "countryCode": "1",
            "phoneNumber": "5555552121"
          }
        ],
        "emailReceivers": [
          {
            "name": "contosoEmail",
            "emailAddress": "devops@contoso.com",
            "useCommonAlertSchema": true

          },
          {
            "name": "contosoEmail2",
            "emailAddress": "devops2@contoso.com",
            "useCommonAlertSchema": true
          }
        ],
        "webhookReceivers": [
          {
            "name": "contosoHook",
            "serviceUri": "http://requestb.in/1bq62iu1",
            "useCommonAlertSchema": true
          },
          {
            "name": "contosoHook2",
            "serviceUri": "http://requestb.in/1bq62iu2",
            "useCommonAlertSchema": true
          }
        ],
         "SecurewebhookReceivers": [
          {
            "name": "contososecureHook",
            "serviceUri": "http://requestb.in/1bq63iu1",
            "useCommonAlertSchema": false
          },
          {
            "name": "contososecureHook2",
            "serviceUri": "http://requestb.in/1bq63iu2",
            "useCommonAlertSchema": false
          }
        ],
        "eventHubReceivers": [
          {
            "name": "contosoeventhub1",
            "subscriptionId": "replace with subscription id GUID",
            "eventHubNameSpace": "contosoeventHubNameSpace",
            "eventHubName": "contosoeventHub",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}
{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    },
    "webhookReceiverName": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service Name."
      }
    },    
    "webhookServiceUri": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service URI."
      }
    }    
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
        ],
        "emailReceivers": [
        ],
        "webhookReceivers": [
          {
            "name": "[parameters('webhookReceiverName')]",
            "serviceUri": "[parameters('webhookServiceUri')]",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupResourceId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Zarządzaj grupami akcji

Po utworzeniu grupy akcji można ją wyświetlić w portalu:

  1. Przejdź do portalu Azure Portal.

  2. Na stronie Monitorowanie wybierz pozycję Alerty.

  3. Wybierz Grupy akcji.

  4. Wybierz grupę akcji, którą chcesz zarządzać. Masz następujące możliwości:

    • Dodawanie, edytowanie lub usuwanie akcji.
    • Usuń grupę akcji.

Limity usługi dla powiadomień

Numer telefonu lub adres e-mail można uwzględnić w grupach akcji w wielu subskrypcjach. Usługa Azure Monitor używa ograniczania szybkości w celu wstrzymania powiadomień, gdy do określonego numeru telefonu, adresu e-mail lub urządzenia jest wysyłanych zbyt wiele powiadomień. Ograniczanie szybkości gwarantuje, że alerty są łatwe do zarządzania i możliwe do podjęcia działań.

Ograniczanie szybkości dotyczy powiadomień SMS, głosowych, push i e-mail. Wszystkie inne akcje powiadomień nie są ograniczone limitem częstotliwości. Ograniczanie szybkości ma zastosowanie we wszystkich subskrypcjach. Ograniczanie szybkości jest stosowane natychmiast po osiągnięciu progu, nawet jeśli komunikaty są wysyłane z wielu subskrypcji. Gdy adres e-mail jest ograniczony, powiadomienie jest wysyłane w celu powiadomienia o zastosowaniu ograniczenia szybkości i upływie limitu szybkości.

Aby uzyskać informacje na temat limitów szybkości, zobacz Limity usługi Azure Monitor.

Wysyłanie wiadomości e-mail do usługi Azure Resource Manager

Gdy używasz usługi Azure Resource Manager na potrzeby powiadomień e-mail, możesz wysłać wiadomość e-mail do członków roli subskrypcji. Wiadomość e-mail jest wysyłana do użytkownika lub członków grupy roli Microsoft Entra ID. Obejmuje to obsługę ról przypisanych za pośrednictwem usługi Azure Lighthouse.

Uwaga

Grupy akcji obsługują wysyłanie wiadomości e-mail tylko do następujących ról: Właściciel, Współautor, Czytelnik, Współautor monitorowania, Czytelnik monitorowania.

Jeśli twój podstawowy adres e-mail nie otrzymuje powiadomień, skonfiguruj adres e-mail dla roli Email Azure Resource Manager.

  1. W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.

  2. Wybierz pozycję Użytkownicy w menu po lewej stronie, aby wyświetlić listę wszystkich użytkowników.

  3. Wybierz użytkownika, którego podstawowa wiadomość e-mail ma zostać przejrzena.

    Zrzut ekranu przedstawiający stronę Wszyscy użytkownicy w portalu Azure. Informacje o jednym użytkowniku są widoczne, ale nieczytelne.

  4. W profilu użytkownika w obszarze Właściwości sprawdź informacje kontaktowe dla wartości Adres e-mail . Jeśli jest ona pusta:

    1. W górnej części strony wybierz pozycję Edytuj właściwości.
    2. Wprowadź adres e-mail.
    3. W górnej części strony wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający stronę profilu użytkownika w witrynie Azure Portal. Zostanie wyświetlony przycisk Edytuj i pole Adres e-mail.

Możesz mieć ograniczoną liczbę akcji e-mail na grupę akcji. Aby sprawdzić, które limity mają zastosowanie do Twojej sytuacji, zobacz Limity usługi Azure Monitor.

Podczas konfigurowania roli usługi Resource Manager:

  • Przypisz jednostkę typu Użytkownik lub Grupa do roli.
  • Zrób przypisanie na poziomie subskrypcji.
  • Upewnij się, że adres e-mail jest skonfigurowany dla użytkownika w jego profilu Microsoft Entra.

Uwaga

Po dodaniu nowej roli usługi Azure Resource Manager do subskrypcji, zanim klient zacznie otrzymywać powiadomienia, może upłynąć do 24 godzin.

SMS

Możesz mieć ograniczoną liczbę działań SMS na grupę działań.

Uwaga

Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, wiadomość SMS nie jest obsługiwana w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. W międzyczasie jako obejście skonfiguruj grupę akcji, aby wywołała webhook do zewnętrznego dostawcy usług SMS, który oferuje obsługę w twoim kraju/regionie.

Odpowiedzi SMS

Odpowiedzi te są obsługiwane w przypadku powiadomień SMS. Odbiorca wiadomości SMS może odpowiedzieć na wiadomość SMS przy użyciu następujących wartości:

ODPOWIEDŹ opis
WYŁĄCZ <Action Group Short name> Wyłącza dalsze wiadomości SMS z grupy działań
UMOŻLIWIAĆ <Action Group Short name> Ponownie włącza funkcję SMS w grupie akcji
ZATRZYMAĆ Wyłącza dalsze wiadomości SMS ze wszystkich grup działań
ROZPOCZNIJ Ponownie włącza wiadomość SMS ze wszystkich grup akcji
POMOC Odpowiedź jest wysyłana do użytkownika z linkiem do tego artykułu.

Uwaga

Jeśli użytkownik wypisze się z alertów SMS, a następnie zostanie dodany do nowej grupy akcji, otrzyma alerty SMS dla tej nowej grupy akcji, ale pozostaje niezapisany ze wszystkich poprzednich grup akcji.

Może istnieć ograniczona liczba akcji aplikacji platformy Azure na grupę akcji.

Kraje/regiony z obsługą powiadomień SMS

Kod kraju Kraj
61 Australia
43 Austria
32 Belgia
55 Brazylia
1 Kanada
56 Chile
86 Chiny
420 Republika Czeska
45 Dania
372 Estonia
358 Finlandia
33 Francja
49 Niemcy
852 Specjalny region administracyjny Hongkongu
91 Indie
353 Irlandia
972 Izrael
39 Włochy
81 Japonia
352 Luksemburg
60 Malezja
52 Meksyk
31 Holandia
64 Nowa Zelandia
47 Norwegia
351 Portugalia
1 Portoryko
40 Rumunia
7 Rosja
65 Singapur
27 Republika Południowej Afryki
82 Korea Południowa
34 Hiszpania
41 Szwajcaria
886 Tajwan
971 Zjednoczone Emiraty Arabskie
44 Zjednoczone Królestwo
1 Stany Zjednoczone

Głos

Może istnieć ograniczona liczba akcji głosowych na grupę akcji. Aby uzyskać ważne informacje na temat limitów szybkości, zobacz Limity usługi Azure Monitor.

Uwaga

Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, połączenia głosowe nie są obsługiwane w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. W międzyczasie, jako rozwiązanie tymczasowe, skonfiguruj grupę działań, aby wywołać webhook do zewnętrznego dostawcy połączeń głosowych, który oferuje wsparcie w twoim kraju/regionie. Jeśli kraj jest oznaczony gwiazdką (*), połączenia pochodzą z numeru telefonu opartego na USA.

Kraje/regiony z obsługą powiadomień głosowych

Kod kraju Kraj
61 Australia
43 Austria
32 Belgia
55 Brazylia
1 Kanada
56 Chile
86 Chiny*
420 Republika Czeska
45 Dania
372 Estonia
358 Finlandia
33 Francja
49 Niemcy
852 Hongkong*
91 Indie*
353 Irlandia
972 Izrael
39 Włochy*
81 Japonia*
352 Luksemburg
60 Malezja
52 Meksyk
31 Holandia
64 Nowa Zelandia
47 Norwegia
351 Portugalia
40 Rumunia*
7 Rosja*
65 Singapur
27 Republika Południowej Afryki
82 Korea Południowa
34 Hiszpania
46 Sweeden
41 Szwajcaria
886 Tajwan*
971 Zjednoczone Emiraty Arabskie*
44 Zjednoczone Królestwo
1 Stany Zjednoczone

Aby uzyskać informacje o cenach obsługiwanych krajów/regionów, zobacz Cennik usługi Azure Monitor.

Webhook

Uwaga

Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów. Punkt końcowy webhooka musi być również publicznie dostępny. Nie można przekazywać certyfikatów zabezpieczeń przez akcję webhook. Aby użyć uwierzytelniania podstawowego, musisz przekazać poświadczenia za pośrednictwem adresu URI. Jeśli punkt końcowy elementu webhook oczekuje określonego schematu, na przykład schemat usługi Microsoft Teams, użyj akcji Usługi Logic Apps, aby przekształcić schemat alertu, aby spełnić oczekiwania docelowego elementu webhook.

Grupy akcji webhook zwykle są zgodne z następującymi regułami, gdy są wywoływane:

  • Po wywołaniu webhooka, jeśli pierwsze wywołanie zakończy się niepowodzeniem, zostanie powtórzone co najmniej raz i maksymalnie 5 razy (5 ponownych prób) w różnych odstępach czasowych (5, 20, 40 sekund).

    Prób Opóźnienie
    Między 1 a 2. 5 sekund
    Między 2 a 3. 20 sekund
    Między 3. a 4. 5 sekund
    Między 4 a 5. 40 sekund
    Między 5 a 6. 5 sekund
  • Po nieudanych próbach wywołania webhooka, żadna grupa akcji nie wywołuje punktu końcowego przez 15 minut.

  • Logika ponawiania zakłada, że można ponowić próbę wywołania. Kody stanu 408, 429, 503, 504 lub HttpRequestException, WebException, TaskCancellationException umożliwiają ponowienie próby wywołania.

Konfiguruj uwierzytelnianie dla zabezpieczonego webhooka

Bezpieczna akcja webhook uwierzytelnia się w chronionym interfejsie API za pomocą wystąpienia jednostki usługi w dzierżawie Microsoft Entra dla aplikacji "AZNS AAD Webhook" firmy Microsoft. Aby grupa akcji działała poprawnie, ten principal usługi Microsoft Entra Webhook musi zostać dodany jako członek roli w docelowej aplikacji Microsoft Entra, która zapewnia dostęp do docelowego punktu końcowego.

Aby zapoznać się z omówieniem aplikacji i jednostek usługi firmy Microsoft, zobacz omówienie Platforma tożsamości Microsoft (wersja 2.0). Wykonaj następujące kroki, aby skorzystać z funkcjonalności bezpiecznego webhooka.

Uwaga

Podstawowe uwierzytelnianie nie jest wspierane w przypadku usługi SecureWebhook. Aby użyć uwierzytelniania podstawowego, należy użyć polecenia Webhook.

Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów. Jeśli punkt końcowy elementu webhook oczekuje określonego schematu, na przykład schemat usługi Microsoft Teams, użyj akcji Usługi Logic Apps, aby przekształcić schemat alertu, aby spełnić oczekiwania docelowego elementu webhook.

Uwaga

Moduły Azure AD i MSOnline dla PowerShell będą uznawane za przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację na temat wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą doświadczać zakłóceń po 30 czerwca 2024 r.

  1. Utwórz aplikację firmy Microsoft Entra dla chronionego internetowego interfejsu API. Aby uzyskać więcej informacji, zobacz Chroniony internetowy interfejs API: rejestracja aplikacji. Skonfiguruj chroniony interfejs API tak, aby był wywoływany przez aplikację demona i uwidaczniał uprawnienia aplikacji, a nie uprawnienia delegowane.

    Uwaga

    Skonfiguruj chroniony internetowy interfejs API tak, aby akceptował tokeny dostępu w wersji 2.0. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Manifest aplikacji Entra firmy Microsoft.

  2. Aby włączyć grupę akcji do korzystania z aplikacji Microsoft Entra, użyj skryptu programu PowerShell, który jest zgodny z tą procedurą.

    Uwaga

    • Aby uruchomić ten skrypt, musisz mieć przypisaną rolę Administratora aplikacji firmy Microsoft.

    • Jednostka usługi musi mieć przypisaną rolę właściciela aplikacji Microsoft Entra, aby móc tworzyć, modyfikować lub testować bezpieczną akcję webhook w grupie działań.

  3. Skonfiguruj bezpieczną akcję webhook.

    1. Skopiuj wartość $myApp.ObjectId, która znajduje się w skrypcie.
    2. W definicji akcji webhook w polu Identyfikator obiektu wprowadź skopiowaną wartość.

    Zrzut ekranu przedstawiający okno dialogowe Zabezpieczone webhooki w portalu Azure z polem Identyfikator obiektu.

Bezpieczny skrypt PowerShell webhooka

Jak uruchomić

  1. Skopiuj i wklej następujący skrypt na maszynę.
  2. Zastąp swój tenantId oraz ObjectID w rejestracji aplikacji.
  3. Zapisz jako *.ps1
  4. Otwórz polecenie programu PowerShell z komputera i uruchom skrypt *.ps1 .
Write-Host "================================================================================================="
$scopes = "Application.ReadWrite.All"
$myTenantId = "<<Customer's tenant id>>"
$myMicrosoftEntraAppRegistrationObjectId = "<<Customer's object id from the app registration>>"
$actionGroupRoleName = "ActionGroupsSecureWebhook"
$azureMonitorActionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a" # Required. Do not change.

Connect-MgGraph -Scopes $scopes -TenantId $myTenantId

Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = @{
        AllowedMemberTypes = @("Application")
        DisplayName = $Name
        Id = New-Guid
        IsEnabled = $true
        Description = $Description
        Value = $Name
    }
    return $appRole
}

$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
$myActionGroupServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$azureMonitorActionGroupsAppId'"

Write-Host "App Roles before addition of new role.."
foreach ($role in $myAppRoles) { Write-Host $role.Value }

if ($myAppRoles.Value -contains $actionGroupRoleName)
{
    Write-Host "The Action Group role is already defined. No need to redefine.`n"
    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}
else
{
    Write-Host "The Action Group role is not defined. Defining the role and adding it."
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles += $newRole
    Update-MgApplication -ApplicationId $myApp.Id -AppRole $myAppRoles

    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}

$myServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$($myApp.AppId)'"

if ($myActionGroupServicePrincipal.DisplayName -contains "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
    Write-Host "The action group Service Principal is: " + $myActionGroupServicePrincipal.DisplayName + " and the id is: " + $myActionGroupServicePrincipal.Id
}
else
{
    Write-Host "The Service principal has NOT been defined/created in the tenant.`n"
    $myActionGroupServicePrincipal = New-MgServicePrincipal -AppId $azureMonitorActionGroupsAppId
    Write-Host "The Service Principal is been created successfully, and the id is: " + $myActionGroupServicePrincipal.Id
}

# Check if $myActionGroupServicePrincipal is not $null before trying to access its Id property
# Check if the role assignment already exists
$existingRoleAssignment = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id | Where-Object { $_.AppRoleId -eq $myApp.AppRoles[0].Id -and $_.PrincipalId -eq $myActionGroupServicePrincipal.Id -and $_.ResourceId -eq $myServicePrincipal.Id }

# If the role assignment does not exist, create it
if ($null -eq $existingRoleAssignment) {
    Write-Host "Doing app role assignment to the new action group Service Principal`n"
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id -AppRoleId $myApp.AppRoles[0].Id -PrincipalId $myActionGroupServicePrincipal.Id -ResourceId $myServicePrincipal.Id
} else {
    Write-Host "Skip assigning because the role already existed."
}

Write-Host "myServicePrincipalId: " $myServicePrincipal.Id
Write-Host "My Azure AD Application (ObjectId): " $myApp.Id
Write-Host "My Azure AD Application's Roles"
foreach ($role in $myAppRoles) { Write-Host $role.Value }

Write-Host "================================================================================================="

Migrowanie akcji Runbook z "Uruchom jako konto" do "Uruchom jako tożsamość zarządzana"

Uwaga

Konto Run as usługi Azure Automation zostało wycofane 30 września 2023 r., co wpływa na akcje utworzone z użyciem typu akcji Automation Runbook. Istniejące akcje łączące się z elementami Runbook Konta Uruchom jako nie będą obsługiwane po wycofaniu. Jednak te runbooki będą nadal wykonywane, aż do wygaśnięcia certyfikatu "Uruchom jako" konta Automation.

Aby mieć pewność, że możesz kontynuować korzystanie z działań runbooka, musisz wykonać następujące kroki:

  1. Edytuj grupę akcji, dodając nową akcję z typem akcji "Runbook Automation" i wybierz ten sam runbook z listy rozwijanej. (Wszystkie 5 runbooków w rozwijalnej liście zostało ponownie skonfigurowanych na zapleczu, aby uwierzytelniać za pomocą tożsamości zarządzanej, zamiast używać konta typu Run as. Tożsamość zarządzana przypisana przez system na koncie usługi Automation zostanie automatycznie włączona z rolą Kontrybutora maszyn wirtualnych na poziomie subskrypcji.)

    Zrzut ekranu przedstawiający dodawanie akcji Runbook do grupy akcji.

    Zrzut ekranu przedstawiający konfigurowanie akcji runbooka.

  2. Usuń starą akcję Runbook, która łączy się z Runbookiem jako konto.

  3. Zapisz grupę działań.

Następne kroki

  • Zapoznaj się z omówieniem alertów i dowiedz się, jak otrzymywać alerty.
  • Dowiedz się więcej o łączniku ITSM.
  • Dowiedz się więcej o schemacie webhook alertu dziennika aktywności.