Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Gdy dane usługi Azure Monitor wskazują, że może wystąpić problem z infrastrukturą lub aplikacją, zostanie wyzwolony alert. Możesz użyć grupy akcji, aby wysłać powiadomienie, takie jak połączenie głosowe, wiadomość SMS, powiadomienie push lub wiadomość e-mail, oprócz samego alertu, gdy zostanie on wyzwolony. Grupy akcji to zbiór preferencji dotyczących powiadomień i działań. Usługi Azure Monitor, Azure Service Health i Azure Advisor używają grup akcji do powiadamiania użytkowników o alercie i podjęcia akcji. W tym artykule pokazano, jak tworzyć grupy akcji i zarządzać nimi.
Każda akcja składa się z:
- Typ: wysłane powiadomienie lub wykonano akcję. Przykłady obejmują wysyłanie połączenia głosowego, wiadomości SMS lub poczty e-mail. Można również wyzwalać różne typy zautomatyzowanych akcji.
- Nazwa: unikatowy identyfikator w grupie akcji.
- Szczegóły: odpowiednie szczegóły różniące się w zależności od typu.
Ogólnie rzecz biorąc, grupa akcji jest usługą globalną. Wysiłki mające na celu zapewnienie im większej dostępności regionalnej są w rozwoju.
Żądania globalne od klientów mogą być przetwarzane przez usługi grup działań w dowolnym regionie. Jeśli jeden region usługi grupy akcji nie działa, ruch jest automatycznie kierowany i przetwarzany w innych regionach. Jako globalna usługa, grupa zadaniowa pomaga zapewnić rozwiązanie odzyskiwania po awarii. Żądania regionalne polegają na redundancji stref dostępności, aby spełnić wymagania dotyczące prywatności i zapewnić podobne rozwiązanie do odzyskiwania po awarii.
- Do reguły alertu można dodać maksymalnie pięć grup akcji.
- Grupy działań są wykonywane współbieżnie, bez określonej kolejności.
- Wiele reguł alertów może używać tej samej grupy akcji.
- Grupy akcji są definiowane przez unikatowy zestaw akcji, a użytkownicy mają być powiadamiani. Jeśli na przykład chcesz powiadomić użytkownika1, użytkownika2 i użytkownika3 pocztą e-mail dla dwóch różnych reguł alertów, musisz utworzyć tylko jedną grupę akcji, którą można zastosować do obu reguł alertów.
Tworzenie grupy akcji w witrynie Azure Portal
Przejdź do portalu Azure Portal.
Wyszukaj i wybierz Monitor. Okienko Monitorowanie konsoliduje wszystkie ustawienia monitorowania i dane w jednym widoku.
Wybierz pozycję Alerty, a następnie wybierz pozycję Grupy akcji.
Wybierz pozycję Utwórz.
Skonfiguruj podstawowe ustawienia grupy akcji. W sekcji Szczegóły projektu:
- Wybierz wartości dla Subskrypcji i Grupy zasobów.
- Wybierz region.
Uwaga
Alerty usługi Service Health są obsługiwane tylko w chmurach publicznych w regionie globalnym. Aby grupy akcji działały prawidłowo w odpowiedzi na alert usługi Service Health, region grupy akcji musi być ustawiony jako Globalny.
Opcja Zachowanie Światowy Usługa grup działania decyduje, gdzie przechowywać grupę działania. Grupa działań jest utrwalana w co najmniej dwóch regionach dla zapewnienia odporności regionalnej. Przetwarzanie akcji można wykonać w dowolnym regionie geograficznym.
Akcje głosowe, SMS i e-mail wykonywane w wyniku alertów dotyczących kondycji usługi są odporne na zdarzenia na żywo platformy Azure.Regionalne Grupa akcji jest przechowywana w wybranym regionie. Grupa akcji jest redundantna strefowo. Użyj tej opcji, jeśli chcesz upewnić się, że przetwarzanie grupy akcji jest wykonywane w ramach określonej granicy geograficznej.
Możesz wybrać jeden z tych regionów na potrzeby regionalnego przetwarzania grup akcji:
• Wschodnie stany USA
• Zachodnie stany USA
• Wschodnie stany USA 2
• Zachodnie stany USA 2
• Południowo-środkowe stany USA
• Północno-środkowe stany USA
• Szwecja Środkowa
• Niemcy Zachodnio-środkowe
• Indie Środkowe
• Indie Południowe
Stale dodajemy więcej regionów do regionalnego przetwarzania danych grup akcji.Grupa akcji jest zapisywana w wybranej subskrypcji, regionie i grupie zasobów.
W sekcji Szczegóły wystąpienia wprowadź wartości w polach Nazwa grupy akcji i Nazwa wyświetlana. Nazwa wyświetlana jest używana zamiast pełnej nazwy grupy akcji, gdy grupa jest używana do wysyłania powiadomień.
Konfigurowanie powiadomień. Wybierz pozycję Dalej: Powiadomienia lub wybierz kartę Powiadomienia w górnej części strony.
Zdefiniuj listę powiadomień do wysłania po wyzwoleniu alertu.
Dla każdego powiadomienia:
Wybierz typ powiadomienia, a następnie wypełnij odpowiednie pola dla tego powiadomienia. Dostępne opcje:
Typ powiadomienia opis Pola Rola zarządzania zasobami Azure Email Wyślij wiadomość e-mail do członków subskrypcji na podstawie ich roli.
Zobacz E-mail.Wprowadź podstawowy adres e-mail skonfigurowany dla użytkownika Microsoft Entra. Zobacz E-mail. E-mail Upewnij się, że filtrowanie wiadomości e-mail i wszystkie usługi ochrony przed złośliwym oprogramowaniem/spamem zostały odpowiednio skonfigurowane.
Wiadomości e-mail są wysyłane z następujących adresów e-mail:
• azure-noreply@microsoft.com
• azureemail-noreply@microsoft.com
• alerts-noreply@mail.windowsazure.comWprowadź wiadomość e-mail, w której ma zostać wysłane powiadomienie. SMS Powiadomienia SMS obsługują dwukierunkową komunikację. Wiadomość SMS zawiera następujące informacje:
• Krótka nazwa grupy akcji, do którego wysłano ten alert
• Tytuł alertu.
Użytkownik może odpowiedzieć na wiadomość SMS na:
• Anuluj subskrypcję wszystkich alertów SMS dla wszystkich grup akcji lub jednej grupy akcji.
• Ponowne przypisywanie alertów
• Poproś o pomoc.
Aby uzyskać więcej informacji na temat obsługiwanych odpowiedzi SMS, zobacz Odpowiedzi SMS.Wprowadź kod kraju i numer telefonu adresata wiadomości SMS. Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, wiadomość SMS nie jest obsługiwana w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. Aby obejść ten problem, dopóki Twój kraj/region nie będzie obsługiwany, skonfiguruj grupę akcji do wywołania webhooku do zewnętrznego dostawcy usług SMS, który obsługuje Twój kraj/region. Powiadomienia push aplikacji platformy Azure Wysyłanie powiadomień do aplikacji mobilnej platformy Azure. W polu Adres e-mail konta platformy Azure wprowadź adres e-mail używany jako identyfikator konta podczas konfigurowania aplikacji mobilnej platformy Azure. Głos Powiadomienie głosowe. Wprowadź kod kraju i numer telefonu odbiorcy powiadomienia. Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, powiadomienia głosowe nie są obsługiwane w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. Aby obejść ten problem, dopóki Twój kraj nie będzie obsługiwany, skonfiguruj grupę akcji, aby wywołać webhook do zewnętrznego dostawcy połączeń głosowych, który obsługuje Twój kraj/region. Wybierz, jeśli chcesz włączyć wspólny schemat alertu. Typowy schemat alertu to pojedynczy rozszerzalny i ujednolicony ładunek alertów, który może być używany we wszystkich usługach alertów w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat wspólnego schematu, zobacz Wspólny schemat alertów.
Wybierz przycisk OK.
Konfigurowanie akcji. Wybierz pozycję Dalej: Akcje. lub wybierz kartę Akcje w górnej części strony.
Zdefiniuj listę akcji wyzwalanych po wyzwoleniu alertu. Wybierz typ akcji i wprowadź nazwę każdej akcji.
Typ akcji Szczegóły Runbook automatyzacji Użyj Runbook Automation do automatyzacji zadań na podstawie metryk. Na przykład zamknij zasoby po osiągnięciu określonego progu w skojarzonym budżecie. Aby uzyskać informacje o limitach ładunków runbooków usługi Automation, zobacz Limity automatyzacji. Event Hubs Akcja usługi Event Hubs publikuje powiadomienia w usłudze Event Hubs. Jest to jedyny typ akcji, który obsługuje usługę Azure Private Link i obwód zabezpieczeń sieci (NSP). Aby uzyskać więcej informacji na temat usługi Event Hubs, zobacz Azure Event Hubs — platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. Możesz subskrybować strumień powiadomień o alertach z odbiornika zdarzeń. Funkcje Wywołuje istniejący punkt końcowy wyzwalacza HTTP w funkcjach programistycznych. Aby uzyskać więcej informacji, zobacz Azure Functions.
Po zdefiniowaniu akcji funkcji punkt końcowy wyzwalacza HTTP funkcji i klucz dostępu są zapisywane w definicji akcji, na przykładhttps://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Jeśli zmienisz klucz dostępu dla funkcji, musisz usunąć i ponownie utworzyć operację funkcji w grupie działań.
Punkt końcowy musi obsługiwać metodę HTTP POST.
Funkcja musi mieć dostęp do konta magazynowego. Jeśli nie ma dostępu, klucze nie są dostępne, a identyfikator URI funkcji nie jest dostępny.
Dowiedz się więcej o przywracaniu dostępu do konta magazynowego.Zarządzanie Usługami IT Akcja ITSM wymaga połączenia ITSM. Aby dowiedzieć się, jak utworzyć połączenie ITSM, zobacz Integracja rozwiązania ITSM. Aplikacje logiki Usługi Azure Logic Apps można używać do tworzenia i dostosowywania przepływów pracy na potrzeby integracji oraz dostosowywania powiadomień o alertach. Bezpieczny webhook Podczas korzystania z bezpiecznej akcji webhook należy użyć Microsoft Entra ID, aby zabezpieczyć połączenie między grupą akcji a punktem końcowym, którym jest zabezpieczony interfejs API sieci Web. Zobacz Konfigurowanie uwierzytelniania dla zabezpieczonego webhooka. Bezpieczny webhook nie obsługuje uwierzytelniania podstawowego. Jeśli używasz uwierzytelniania podstawowego, użyj akcji webhook. Webhook Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów.
Nie można przekazywać certyfikatów zabezpieczeń przez akcję webhook. Aby użyć uwierzytelniania podstawowego, musisz przekazać poświadczenia za pośrednictwem adresu URI.
Jeśli punkt końcowy webhooka oczekuje określonego schematu, na przykład schematu Microsoft Teams, użyj typu akcji Logic Apps, aby manipulować schematem alertu i spełnić oczekiwania docelowego webhooka.
Aby uzyskać informacje o regułach używanych do ponawiania prób akcji elementu webhook, zobacz Element webhook.
(Opcjonalnie) Jeśli chcesz przypisać parę klucz-wartość do grupy akcji w celu kategoryzowania zasobów platformy Azure, wybierz pozycję Dalej: Tagi lub kartę Tagi . W przeciwnym razie pomiń ten krok.
Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć ustawienia. Ten krok szybko sprawdza dane wejściowe, aby upewnić się, że zostały wprowadzone wszystkie wymagane informacje. Jeśli występują problemy, są one zgłaszane tutaj. Po przejrzeniu ustawień wybierz pozycję Utwórz , aby utworzyć grupę akcji.
Uwaga
Po skonfigurowaniu akcji w celu powiadomienia osoby za pośrednictwem poczty e-mail lub wiadomości SMS otrzymują potwierdzenie wskazujące, że zostały one dodane do grupy akcji.
Testowanie grupy akcji w witrynie Azure Portal
Podczas tworzenia lub aktualizowania grupy akcji w witrynie Azure Portal możesz przetestować grupę akcji.
Utwórz grupę akcji w witrynie Azure Portal.
Uwaga
Przed rozpoczęciem testowania należy utworzyć i zapisać grupę akcji. Jeśli edytujesz istniejącą grupę akcji, zapisz zmiany w grupie akcji przed rozpoczęciem testowania.
Na stronie grupy akcji wybierz pozycję Testuj.
Wybierz przykładowy typ oraz typy powiadomienia i akcji do przetestowania. Następnie wybierz pozycję Testuj.
Jeśli zamkniesz okno lub wybierzesz pozycję Wstecz, aby przetestować konfigurację podczas uruchamiania testu, test zostanie zatrzymany i nie uzyskasz wyników testu.
Po zakończeniu testu zostanie wyświetlony stan testu Powodzenie lub Niepowodzenie . Jeśli test zakończył się niepowodzeniem i chcesz uzyskać więcej informacji, wybierz pozycję Wyświetl szczegóły.
Aby zrozumieć problem, możesz użyć informacji w sekcji Szczegóły błędu. Następnie możesz edytować, zapisać zmiany i ponownie przetestować grupę akcji.
Po uruchomieniu testu i wybraniu typu powiadomienia otrzymasz komunikat z komunikatem "Test" w temacie. Testy umożliwiają sprawdzenie, czy grupa akcji działa zgodnie z oczekiwaniami przed włączeniem jej w środowisku produkcyjnym. Wszystkie szczegóły i linki w testowych powiadomieniach e-mail pochodzą z przykładowego zestawu referencyjnego.
Wymagania dotyczące roli dla testowych grup akcji
W poniższej tabeli opisano wymagania dotyczące członkostwa w rolach, które są wymagane dla funkcji akcji testowych:
| Członkostwo w rolach | Istniejąca grupa akcji | Istniejąca grupa zasobów i nowa grupa akcji | Nowa grupa zasobów i nowa grupa akcji |
|---|---|---|---|
| Współautor subskrypcji | Obsługiwane | Obsługiwane | Obsługiwane |
| Współautor grupy zasobów | Obsługiwane | Obsługiwane | Nie dotyczy |
| Kontrybutor zasobów grupy działania | Obsługiwane | Nie dotyczy | Nie dotyczy |
| Współautor usługi Azure Monitor | Obsługiwane | Obsługiwane | Nie dotyczy |
| Rola niestandardowa 1 | Obsługiwane | Obsługiwane | Nie dotyczy |
1 Rola niestandardowa musi mieć dodane uprawnienie Microsoft.Insights/ActionGroups/*, które umożliwi również użytkownikowi aktualizowanie i usuwanie grupy akcji. Aby dodać ograniczenia, aby użytkownik mógł przetestować tylko grupę akcji, dodaj następujące elementy na karcie JSON dla roli niestandardowej:
{
"properties": {
"roleName": "",
"description": "",
"assignableScopes": [
"/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}"
],
"permissions": [
{
"actions": [
"Microsoft.Insights/ActionGroups/*"
],
"notActions": [
"Microsoft.Insights/ActionGroups/write",
"Microsoft.Insights/ActionGroups/delete"
],
"dataActions": [],
"notDataActions": []
}
]
}
}
Uwaga
Można uruchomić ograniczoną liczbę testów na okres. Aby sprawdzić, które limity mają zastosowanie do Twojej sytuacji, zobacz Limity usługi Azure Monitor.
Podczas konfigurowania grupy akcji w portalu możesz włączyć lub wyłączyć wspólny schemat alertów.
- Aby znaleźć typowe przykłady schematów dla wszystkich typów przykładowych, zobacz Typowe definicje schematów alertów dla Test Action Group.
- Aby znaleźć definicje alertów schematu noncommon, zobacz Noncommon alert schema definitions for Test Action Group (Definicje schematu noncommon dla testowej grupy akcji).
Tworzenie grupy akcji przy użyciu szablonu usługi Resource Manager
Do konfigurowania grup akcji można użyć szablonu usługi Azure Resource Manager. Za pomocą szablonów można automatycznie skonfigurować grupy akcji, które mogą być ponownie używane w niektórych typach alertów. Te grupy akcji zapewniają, że wszystkie odpowiednie strony są powiadamiane po wyzwoleniu alertu.
Podstawowe kroki to:
- Utwórz szablon jako plik JSON, który opisuje sposób tworzenia grupy akcji.
- Wdróż szablon przy użyciu dowolnej metody wdrażania.
Szablony grupy akcji Menedżera Zasobów
Aby utworzyć grupę akcji przy użyciu szablonu usługi Resource Manager, należy utworzyć zasób typu Microsoft.Insights/actionGroups. Następnie wypełnij wszystkie powiązane właściwości. Poniżej przedstawiono dwa przykładowe szablony, które tworzą grupę akcji.
Pierwszy szablon opisuje sposób tworzenia szablonu usługi Resource Manager dla grupy akcji, w której definicje akcji są zakodowane w szablonie. Drugi szablon opisuje sposób tworzenia szablonu, który pobiera informacje o konfiguracji elementu webhook jako parametry wejściowe podczas wdrażania szablonu.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"actionGroupName": {
"type": "string",
"metadata": {
"description": "Unique name (within the Resource Group) for the Action group."
}
},
"actionGroupShortName": {
"type": "string",
"metadata": {
"description": "Short name (maximum 12 characters) for the Action group."
}
}
},
"resources": [
{
"type": "Microsoft.Insights/actionGroups",
"apiVersion": "2021-09-01",
"name": "[parameters('actionGroupName')]",
"location": "Global",
"properties": {
"groupShortName": "[parameters('actionGroupShortName')]",
"enabled": true,
"smsReceivers": [
{
"name": "contosoSMS",
"countryCode": "1",
"phoneNumber": "5555551212"
},
{
"name": "contosoSMS2",
"countryCode": "1",
"phoneNumber": "5555552121"
}
],
"emailReceivers": [
{
"name": "contosoEmail",
"emailAddress": "devops@contoso.com",
"useCommonAlertSchema": true
},
{
"name": "contosoEmail2",
"emailAddress": "devops2@contoso.com",
"useCommonAlertSchema": true
}
],
"webhookReceivers": [
{
"name": "contosoHook",
"serviceUri": "http://requestb.in/1bq62iu1",
"useCommonAlertSchema": true
},
{
"name": "contosoHook2",
"serviceUri": "http://requestb.in/1bq62iu2",
"useCommonAlertSchema": true
}
],
"SecurewebhookReceivers": [
{
"name": "contososecureHook",
"serviceUri": "http://requestb.in/1bq63iu1",
"useCommonAlertSchema": false
},
{
"name": "contososecureHook2",
"serviceUri": "http://requestb.in/1bq63iu2",
"useCommonAlertSchema": false
}
],
"eventHubReceivers": [
{
"name": "contosoeventhub1",
"subscriptionId": "replace with subscription id GUID",
"eventHubNameSpace": "contosoeventHubNameSpace",
"eventHubName": "contosoeventHub",
"useCommonAlertSchema": true
}
]
}
}
],
"outputs":{
"actionGroupId":{
"type":"string",
"value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
}
}
}
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"actionGroupName": {
"type": "string",
"metadata": {
"description": "Unique name (within the Resource Group) for the Action group."
}
},
"actionGroupShortName": {
"type": "string",
"metadata": {
"description": "Short name (maximum 12 characters) for the Action group."
}
},
"webhookReceiverName": {
"type": "string",
"metadata": {
"description": "Webhook receiver service Name."
}
},
"webhookServiceUri": {
"type": "string",
"metadata": {
"description": "Webhook receiver service URI."
}
}
},
"resources": [
{
"type": "Microsoft.Insights/actionGroups",
"apiVersion": "2021-09-01",
"name": "[parameters('actionGroupName')]",
"location": "Global",
"properties": {
"groupShortName": "[parameters('actionGroupShortName')]",
"enabled": true,
"smsReceivers": [
],
"emailReceivers": [
],
"webhookReceivers": [
{
"name": "[parameters('webhookReceiverName')]",
"serviceUri": "[parameters('webhookServiceUri')]",
"useCommonAlertSchema": true
}
]
}
}
],
"outputs":{
"actionGroupResourceId":{
"type":"string",
"value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
}
}
}
Zarządzaj grupami akcji
Po utworzeniu grupy akcji można ją wyświetlić w portalu:
Przejdź do portalu Azure Portal.
Na stronie Monitorowanie wybierz pozycję Alerty.
Wybierz Grupy akcji.
Wybierz grupę akcji, którą chcesz zarządzać. Masz następujące możliwości:
- Dodawanie, edytowanie lub usuwanie akcji.
- Usuń grupę akcji.
Limity usługi dla powiadomień
Numer telefonu lub adres e-mail można uwzględnić w grupach akcji w wielu subskrypcjach. Usługa Azure Monitor używa ograniczania szybkości w celu wstrzymania powiadomień, gdy do określonego numeru telefonu, adresu e-mail lub urządzenia jest wysyłanych zbyt wiele powiadomień. Ograniczanie szybkości gwarantuje, że alerty są łatwe do zarządzania i możliwe do podjęcia działań.
Ograniczanie szybkości dotyczy powiadomień SMS, głosowych, push i e-mail. Wszystkie inne akcje powiadomień nie są ograniczone limitem częstotliwości. Ograniczanie szybkości ma zastosowanie we wszystkich subskrypcjach. Ograniczanie szybkości jest stosowane natychmiast po osiągnięciu progu, nawet jeśli komunikaty są wysyłane z wielu subskrypcji. Gdy adres e-mail jest ograniczony, powiadomienie jest wysyłane w celu powiadomienia o zastosowaniu ograniczenia szybkości i upływie limitu szybkości.
Aby uzyskać informacje na temat limitów szybkości, zobacz Limity usługi Azure Monitor.
Wysyłanie wiadomości e-mail do usługi Azure Resource Manager
Gdy używasz usługi Azure Resource Manager na potrzeby powiadomień e-mail, możesz wysłać wiadomość e-mail do członków roli subskrypcji. Wiadomość e-mail jest wysyłana do użytkownika lub członków grupy roli Microsoft Entra ID. Obejmuje to obsługę ról przypisanych za pośrednictwem usługi Azure Lighthouse.
Uwaga
Grupy akcji obsługują wysyłanie wiadomości e-mail tylko do następujących ról: Właściciel, Współautor, Czytelnik, Współautor monitorowania, Czytelnik monitorowania.
Jeśli twój podstawowy adres e-mail nie otrzymuje powiadomień, skonfiguruj adres e-mail dla roli Email Azure Resource Manager.
W witrynie Azure Portal przejdź do pozycji Microsoft Entra ID.
Wybierz pozycję Użytkownicy w menu po lewej stronie, aby wyświetlić listę wszystkich użytkowników.
Wybierz użytkownika, którego podstawowa wiadomość e-mail ma zostać przejrzena.
W profilu użytkownika w obszarze Właściwości sprawdź informacje kontaktowe dla wartości Adres e-mail . Jeśli jest ona pusta:
- W górnej części strony wybierz pozycję Edytuj właściwości.
- Wprowadź adres e-mail.
- W górnej części strony wybierz pozycję Zapisz.
Możesz mieć ograniczoną liczbę akcji e-mail na grupę akcji. Aby sprawdzić, które limity mają zastosowanie do Twojej sytuacji, zobacz Limity usługi Azure Monitor.
Podczas konfigurowania roli usługi Resource Manager:
- Przypisz jednostkę typu Użytkownik lub Grupa do roli.
- Zrób przypisanie na poziomie subskrypcji.
- Upewnij się, że adres e-mail jest skonfigurowany dla użytkownika w jego profilu Microsoft Entra.
Uwaga
Po dodaniu nowej roli usługi Azure Resource Manager do subskrypcji, zanim klient zacznie otrzymywać powiadomienia, może upłynąć do 24 godzin.
SMS
Możesz mieć ograniczoną liczbę działań SMS na grupę działań.
- Aby uzyskać informacje na temat limitów szybkości, zobacz Limity usługi Azure Monitor.
- Aby uzyskać ważne informacje na temat używania powiadomień SMS w grupach akcji, zobacz tabelę w kroku 9 w temacie Tworzenie grupy akcji w witrynie Azure Portal.
Uwaga
Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, wiadomość SMS nie jest obsługiwana w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. W międzyczasie jako obejście skonfiguruj grupę akcji, aby wywołała webhook do zewnętrznego dostawcy usług SMS, który oferuje obsługę w twoim kraju/regionie.
Odpowiedzi SMS
Odpowiedzi te są obsługiwane w przypadku powiadomień SMS. Odbiorca wiadomości SMS może odpowiedzieć na wiadomość SMS przy użyciu następujących wartości:
| ODPOWIEDŹ | opis |
|---|---|
WYŁĄCZ <Action Group Short name> |
Wyłącza dalsze wiadomości SMS z grupy działań |
UMOŻLIWIAĆ <Action Group Short name> |
Ponownie włącza funkcję SMS w grupie akcji |
| ZATRZYMAĆ | Wyłącza dalsze wiadomości SMS ze wszystkich grup działań |
| ROZPOCZNIJ | Ponownie włącza wiadomość SMS ze wszystkich grup akcji |
| POMOC | Odpowiedź jest wysyłana do użytkownika z linkiem do tego artykułu. |
Uwaga
Jeśli użytkownik wypisze się z alertów SMS, a następnie zostanie dodany do nowej grupy akcji, otrzyma alerty SMS dla tej nowej grupy akcji, ale pozostaje niezapisany ze wszystkich poprzednich grup akcji.
Może istnieć ograniczona liczba akcji aplikacji platformy Azure na grupę akcji.
Kraje/regiony z obsługą powiadomień SMS
| Kod kraju | Kraj |
|---|---|
| 61 | Australia |
| 43 | Austria |
| 32 | Belgia |
| 55 | Brazylia |
| 1 | Kanada |
| 56 | Chile |
| 86 | Chiny |
| 420 | Republika Czeska |
| 45 | Dania |
| 372 | Estonia |
| 358 | Finlandia |
| 33 | Francja |
| 49 | Niemcy |
| 852 | Specjalny region administracyjny Hongkongu |
| 91 | Indie |
| 353 | Irlandia |
| 972 | Izrael |
| 39 | Włochy |
| 81 | Japonia |
| 352 | Luksemburg |
| 60 | Malezja |
| 52 | Meksyk |
| 31 | Holandia |
| 64 | Nowa Zelandia |
| 47 | Norwegia |
| 351 | Portugalia |
| 1 | Portoryko |
| 40 | Rumunia |
| 7 | Rosja |
| 65 | Singapur |
| 27 | Republika Południowej Afryki |
| 82 | Korea Południowa |
| 34 | Hiszpania |
| 41 | Szwajcaria |
| 886 | Tajwan |
| 971 | Zjednoczone Emiraty Arabskie |
| 44 | Zjednoczone Królestwo |
| 1 | Stany Zjednoczone |
Głos
Może istnieć ograniczona liczba akcji głosowych na grupę akcji. Aby uzyskać ważne informacje na temat limitów szybkości, zobacz Limity usługi Azure Monitor.
Uwaga
Jeśli nie możesz wybrać kodu kraju/regionu w witrynie Azure Portal, połączenia głosowe nie są obsługiwane w twoim kraju/regionie. Jeśli kod kraju/regionu jest niedostępny, możesz głosować, aby twój kraj/region został dodany w temacie Podziel się swoimi pomysłami. W międzyczasie, jako rozwiązanie tymczasowe, skonfiguruj grupę działań, aby wywołać webhook do zewnętrznego dostawcy połączeń głosowych, który oferuje wsparcie w twoim kraju/regionie. Jeśli kraj jest oznaczony gwiazdką (*), połączenia pochodzą z numeru telefonu opartego na USA.
Kraje/regiony z obsługą powiadomień głosowych
| Kod kraju | Kraj |
|---|---|
| 61 | Australia |
| 43 | Austria |
| 32 | Belgia |
| 55 | Brazylia |
| 1 | Kanada |
| 56 | Chile |
| 86 | Chiny* |
| 420 | Republika Czeska |
| 45 | Dania |
| 372 | Estonia |
| 358 | Finlandia |
| 33 | Francja |
| 49 | Niemcy |
| 852 | Hongkong* |
| 91 | Indie* |
| 353 | Irlandia |
| 972 | Izrael |
| 39 | Włochy* |
| 81 | Japonia* |
| 352 | Luksemburg |
| 60 | Malezja |
| 52 | Meksyk |
| 31 | Holandia |
| 64 | Nowa Zelandia |
| 47 | Norwegia |
| 351 | Portugalia |
| 40 | Rumunia* |
| 7 | Rosja* |
| 65 | Singapur |
| 27 | Republika Południowej Afryki |
| 82 | Korea Południowa |
| 34 | Hiszpania |
| 46 | Sweeden |
| 41 | Szwajcaria |
| 886 | Tajwan* |
| 971 | Zjednoczone Emiraty Arabskie* |
| 44 | Zjednoczone Królestwo |
| 1 | Stany Zjednoczone |
Aby uzyskać informacje o cenach obsługiwanych krajów/regionów, zobacz Cennik usługi Azure Monitor.
Webhook
Uwaga
Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów. Punkt końcowy webhooka musi być również publicznie dostępny. Nie można przekazywać certyfikatów zabezpieczeń przez akcję webhook. Aby użyć uwierzytelniania podstawowego, musisz przekazać poświadczenia za pośrednictwem adresu URI. Jeśli punkt końcowy elementu webhook oczekuje określonego schematu, na przykład schemat usługi Microsoft Teams, użyj akcji Usługi Logic Apps, aby przekształcić schemat alertu, aby spełnić oczekiwania docelowego elementu webhook.
Grupy akcji webhook zwykle są zgodne z następującymi regułami, gdy są wywoływane:
Po wywołaniu webhooka, jeśli pierwsze wywołanie zakończy się niepowodzeniem, zostanie powtórzone co najmniej raz i maksymalnie 5 razy (5 ponownych prób) w różnych odstępach czasowych (5, 20, 40 sekund).
Prób Opóźnienie Między 1 a 2. 5 sekund Między 2 a 3. 20 sekund Między 3. a 4. 5 sekund Między 4 a 5. 40 sekund Między 5 a 6. 5 sekund Po nieudanych próbach wywołania webhooka, żadna grupa akcji nie wywołuje punktu końcowego przez 15 minut.
Logika ponawiania zakłada, że można ponowić próbę wywołania. Kody stanu 408, 429, 503, 504 lub HttpRequestException, WebException,
TaskCancellationExceptionumożliwiają ponowienie próby wywołania.
Konfiguruj uwierzytelnianie dla zabezpieczonego webhooka
Bezpieczna akcja webhook uwierzytelnia się w chronionym interfejsie API za pomocą wystąpienia jednostki usługi w dzierżawie Microsoft Entra dla aplikacji "AZNS AAD Webhook" firmy Microsoft. Aby grupa akcji działała poprawnie, ten principal usługi Microsoft Entra Webhook musi zostać dodany jako członek roli w docelowej aplikacji Microsoft Entra, która zapewnia dostęp do docelowego punktu końcowego.
Aby zapoznać się z omówieniem aplikacji i jednostek usługi firmy Microsoft, zobacz omówienie Platforma tożsamości Microsoft (wersja 2.0). Wykonaj następujące kroki, aby skorzystać z funkcjonalności bezpiecznego webhooka.
Uwaga
Podstawowe uwierzytelnianie nie jest wspierane w przypadku usługi SecureWebhook. Aby użyć uwierzytelniania podstawowego, należy użyć polecenia Webhook.
Jeśli używasz akcji webhooka, docelowy punkt końcowy musi mieć możliwość przetwarzania różnych ładunków JSON wydawanych przez różne źródła alertów. Jeśli punkt końcowy elementu webhook oczekuje określonego schematu, na przykład schemat usługi Microsoft Teams, użyj akcji Usługi Logic Apps, aby przekształcić schemat alertu, aby spełnić oczekiwania docelowego elementu webhook.
Uwaga
Moduły Azure AD i MSOnline dla PowerShell będą uznawane za przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację na temat wycofania. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.
Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą doświadczać zakłóceń po 30 czerwca 2024 r.
Utwórz aplikację firmy Microsoft Entra dla chronionego internetowego interfejsu API. Aby uzyskać więcej informacji, zobacz Chroniony internetowy interfejs API: rejestracja aplikacji. Skonfiguruj chroniony interfejs API tak, aby był wywoływany przez aplikację demona i uwidaczniał uprawnienia aplikacji, a nie uprawnienia delegowane.
Uwaga
Skonfiguruj chroniony internetowy interfejs API tak, aby akceptował tokeny dostępu w wersji 2.0. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz Manifest aplikacji Entra firmy Microsoft.
Aby włączyć grupę akcji do korzystania z aplikacji Microsoft Entra, użyj skryptu programu PowerShell, który jest zgodny z tą procedurą.
Uwaga
Aby uruchomić ten skrypt, musisz mieć przypisaną rolę Administratora aplikacji firmy Microsoft.
Jednostka usługi musi mieć przypisaną rolę właściciela aplikacji Microsoft Entra, aby móc tworzyć, modyfikować lub testować bezpieczną akcję webhook w grupie działań.
Skonfiguruj bezpieczną akcję webhook.
- Skopiuj wartość
$myApp.ObjectId, która znajduje się w skrypcie. - W definicji akcji webhook w polu Identyfikator obiektu wprowadź skopiowaną wartość.
- Skopiuj wartość
Bezpieczny skrypt PowerShell webhooka
Uwaga
Wymagania wstępne: instalowanie zestawu Microsoft Graph PowerShell SDK
Jak uruchomić
- Skopiuj i wklej następujący skrypt na maszynę.
- Zastąp swój
tenantIdorazObjectIDw rejestracji aplikacji. - Zapisz jako *.ps1
- Otwórz polecenie programu PowerShell z komputera i uruchom skrypt *.ps1 .
Write-Host "================================================================================================="
$scopes = "Application.ReadWrite.All"
$myTenantId = "<<Customer's tenant id>>"
$myMicrosoftEntraAppRegistrationObjectId = "<<Customer's object id from the app registration>>"
$actionGroupRoleName = "ActionGroupsSecureWebhook"
$azureMonitorActionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a" # Required. Do not change.
Connect-MgGraph -Scopes $scopes -TenantId $myTenantId
Function CreateAppRole([string] $Name, [string] $Description)
{
$appRole = @{
AllowedMemberTypes = @("Application")
DisplayName = $Name
Id = New-Guid
IsEnabled = $true
Description = $Description
Value = $Name
}
return $appRole
}
$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
$myActionGroupServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$azureMonitorActionGroupsAppId'"
Write-Host "App Roles before addition of new role.."
foreach ($role in $myAppRoles) { Write-Host $role.Value }
if ($myAppRoles.Value -contains $actionGroupRoleName)
{
Write-Host "The Action Group role is already defined. No need to redefine.`n"
# Retrieve the application again to get the updated roles
$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
}
else
{
Write-Host "The Action Group role is not defined. Defining the role and adding it."
$newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
$myAppRoles += $newRole
Update-MgApplication -ApplicationId $myApp.Id -AppRole $myAppRoles
# Retrieve the application again to get the updated roles
$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
}
$myServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$($myApp.AppId)'"
if ($myActionGroupServicePrincipal.DisplayName -contains "AzNS AAD Webhook")
{
Write-Host "The Service principal is already defined.`n"
Write-Host "The action group Service Principal is: " + $myActionGroupServicePrincipal.DisplayName + " and the id is: " + $myActionGroupServicePrincipal.Id
}
else
{
Write-Host "The Service principal has NOT been defined/created in the tenant.`n"
$myActionGroupServicePrincipal = New-MgServicePrincipal -AppId $azureMonitorActionGroupsAppId
Write-Host "The Service Principal is been created successfully, and the id is: " + $myActionGroupServicePrincipal.Id
}
# Check if $myActionGroupServicePrincipal is not $null before trying to access its Id property
# Check if the role assignment already exists
$existingRoleAssignment = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id | Where-Object { $_.AppRoleId -eq $myApp.AppRoles[0].Id -and $_.PrincipalId -eq $myActionGroupServicePrincipal.Id -and $_.ResourceId -eq $myServicePrincipal.Id }
# If the role assignment does not exist, create it
if ($null -eq $existingRoleAssignment) {
Write-Host "Doing app role assignment to the new action group Service Principal`n"
New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id -AppRoleId $myApp.AppRoles[0].Id -PrincipalId $myActionGroupServicePrincipal.Id -ResourceId $myServicePrincipal.Id
} else {
Write-Host "Skip assigning because the role already existed."
}
Write-Host "myServicePrincipalId: " $myServicePrincipal.Id
Write-Host "My Azure AD Application (ObjectId): " $myApp.Id
Write-Host "My Azure AD Application's Roles"
foreach ($role in $myAppRoles) { Write-Host $role.Value }
Write-Host "================================================================================================="
Migrowanie akcji Runbook z "Uruchom jako konto" do "Uruchom jako tożsamość zarządzana"
Uwaga
Konto Run as usługi Azure Automation zostało wycofane 30 września 2023 r., co wpływa na akcje utworzone z użyciem typu akcji Automation Runbook. Istniejące akcje łączące się z elementami Runbook Konta Uruchom jako nie będą obsługiwane po wycofaniu. Jednak te runbooki będą nadal wykonywane, aż do wygaśnięcia certyfikatu "Uruchom jako" konta Automation.
Aby mieć pewność, że możesz kontynuować korzystanie z działań runbooka, musisz wykonać następujące kroki:
Edytuj grupę akcji, dodając nową akcję z typem akcji "Runbook Automation" i wybierz ten sam runbook z listy rozwijanej. (Wszystkie 5 runbooków w rozwijalnej liście zostało ponownie skonfigurowanych na zapleczu, aby uwierzytelniać za pomocą tożsamości zarządzanej, zamiast używać konta typu Run as. Tożsamość zarządzana przypisana przez system na koncie usługi Automation zostanie automatycznie włączona z rolą Kontrybutora maszyn wirtualnych na poziomie subskrypcji.)
Usuń starą akcję Runbook, która łączy się z Runbookiem jako konto.
Zapisz grupę działań.
Następne kroki
- Zapoznaj się z omówieniem alertów i dowiedz się, jak otrzymywać alerty.
- Dowiedz się więcej o łączniku ITSM.
- Dowiedz się więcej o schemacie webhook alertu dziennika aktywności.