Como configurar notificações para alertas de monitoramento do Microsoft Entra Health (versão prévia)

O Microsoft Entra Health fornece métricas de nível de inquilino e sinais de integridade para vários cenários principais de identidade. Esses sinais são alimentados em um serviço de detecção de anomalias, que dispara alertas quando alterações significativas são detectadas. Você pode configurar notificações de email e webhook para quando um alerta é disparado.

Este artigo descreve como configurar notificações de email e webhook para alertas de monitoramento do Microsoft Entra Health.

Importante

Atualmente, os alertas e o monitoramento do cenário de integridade do Microsoft Entra estão em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui. A experiência do Centro de administração do Microsoft Entra está sendo lançada para os clientes em fases, portanto, talvez você não veja todos os recursos descritos neste artigo.

Pré-requisitos

Há diferentes funções, permissões e requisitos de licença para exibir sinais de monitoramento de saúde e configurar e receber alertas. É recomendável usar uma função com acesso de privilégio mínimo para se alinhar com as diretrizes de Confiança Zero .

• É necessário que um locatário com uma licença do Microsoft Entra P1 ou P2 visualize os sinais de monitoramento do cenário de integridade do Microsoft Entra.
• Um locatário deve ter uma licença do Microsoft Entra P1 ou P2 sem avaliação e pelo menos 100 usuários ativos mensais para exibir alertas e receber notificações de alerta.
• A função Leitor de Relatórios é a função menos privilegiada necessária para exibir sinais de monitoramento de cenário, alertas e configurações de alerta.
• O Administrador do Helpdesk é a função menos privilegiada necessária para atualizar alertas e atualizar as configurações de notificação de alerta.
• A Group.Read.All permissão é a permissão menos privilegiada necessária para exibir grupos.
• A HealthMonitoringAlert.Read.All permissão é necessária para exibir os alertas usando a API do Microsoft Graph.
• A HealthMonitoringAlert.ReadWrite.All permissão é necessária para exibir e modificar os alertas usando a API do Microsoft Graph.
• A HealthMonitoringAlertConfig.Read.All permissão é necessária para exibir as notificações de email configuradas usando a API do Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} ou exibir as notificações de webhook configuradas usando a API do Microsoft Graph/assinaturas.
• A HealthMonitoringAlertConfig.ReadWrite.All permissão é necessária para exibir e modificar notificações por email usando a API do Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} ou para exibir e modificar as notificações de webhook configuradas usando a API do Microsoft Graph/assinaturas.
• Para obter uma lista completa de funções, consulte Função com privilégios mínimos por tarefa.

Observação

• Locatários recém-integrados podem não ter dados suficientes para gerar alertas por cerca de 30 dias.
  
• Se você vir um erro devido à falta de permissões necessárias do Microsoft Graph, consulte as permissões do Microsoft Graph para obter mais informações sobre as permissões do Microsoft Graph.

Determinar destinatários de notificação por email

Recomendamos a revisão diária dos cenários de monitoramento do Microsoft Entra Health para que você esteja familiarizado com as métricas de linha de base e para que possa identificar tendências. É importante também configurar notificações por email para quando um alerta é disparado.

As notificações por email são enviadas ao grupo do Microsoft Entra de sua escolha. Recomendamos enviar alertas aos usuários com o acesso apropriado para investigar e tomar medidas sobre os alertas. Nem todas as funções podem tomar a mesma ação, portanto, considere incluir um grupo com as seguintes funções:

• Leitor de Segurança
• Administrador de segurança
• Administrador do Intune
• administrador de acesso condicional

Configurar notificações por email

As configurações de notificação por email podem ser configuradas para cada cenário no Centro de administração do Microsoft Entra ou usando a API do Microsoft Graph.

Centro de administração do Microsoft Entra

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Assistência Técnica.

2. Navegue até Entra IDMonitoramento e saúde e selecione a guia Monitoramento de saúde.

3. Selecione o cenário para o qual você deseja configurar notificações por email.

   

4. Na seção Notificações de alerta de grupo, selecione o botão +Selecionar ou Editar .

   • Se nenhum grupo estiver selecionado, o botão +Selecionar será exibido.
   • Se um grupo já estiver selecionado, o botão Editar será exibido.

   

5. No painel aberto, selecione o grupo que você deseja receber os alertas e selecione o botão Selecionar.

   • Somente um grupo pode ser selecionado.
   • O grupo é atualizado na seção Notificações de alerta de grupo da página de cenário.

Os membros do grupo selecionado receberão uma notificação por email na próxima vez que um alerta for disparado para o cenário. Repita esse processo para os outros cenários.

Observação

Se o grupo selecionado tiver outros grupos adicionados como membros desse grupo, as notificações serão enviadas apenas para os três principais grupos na hierarquia.

Microsoft Graph API

Para configurar notificações de alerta, você precisa da ID do grupo Microsoft Entra que deseja receber os alertas e a ID de alerta do cenário.

Localizar a ID do grupo e o tipo de alerta

1. Entre no Microsoft Graph Explorer como pelo menos um Administrador de Assistência Técnica e consenta com as permissões apropriadas.

2. Selecione GET como o método HTTP na lista suspensa e defina a versão da API como v1.0.

3. Execute uma das seguintes consultas para localizar o id grupo para receber as notificações por email.

   • Para recuperar a lista completa de grupos:

   GET https://graph.microsoft.com/v1.0/groups
   

   • Para recuperar um grupo específico pelo nome de exibição:

   GET https://graph.microsoft.com/v1.0/groups?$filter=displayName eq 'GroupName'
   

4. Localize e salve o id do grupo que você quer receber os alertas.

5. Escolha um tipo de alerta para as notificações por email.

   • Tipos de alerta possíveis: unknown, , mfaSignInFailure, managedDeviceSignInFailure, compliantDeviceSignInFailuree conditionalAccessBlockedSignIn.
   • Você pode configurar alertas para cada alertType, mas se quiser começar com um cenário que tenha atividade e alertas, execute a consulta a seguir para cada alertType para examinar a atividade. O exemplo usa mfaSignInFailure.

   GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=alertType eq 'mfaSignInFailure'&$select=alertType,category,createdDateTime,id
   
   

Configurar as notificações por email

No Microsoft Graph Explorer, execute a seguinte consulta PATCH para configurar notificações por email para alertas.

• Substitua {alertType} pelo alertType específico que você deseja configurar.
• Substitua Object ID of the group pelo Object ID do grupo que você deseja receber os alertas.
• Para mais informações sobre como configurar notificações por email para alertas, consulte .

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alertConfigurations/{alertType}
Content-Type: application/json

{
  "emailNotificationConfigurations": [
    {
      "groupId":"Object ID of the group",
      "isEnabled": true
    }
  ]
}

Observação

Se o grupo selecionado tiver outros grupos adicionados como membros desse grupo, as notificações serão enviadas apenas para os três principais grupos na hierarquia.

Configurar notificações de webhook

As notificações de alteração do Microsoft Graph permitem que seu aplicativo receba alertas em tempo real sempre que um recurso é criado, atualizado ou excluído. Ao contrário das notificações por email, esses alertas são entregues diretamente a um ponto de extremidade HTTPS seguro especificado, tornando-os ideais para fluxos de trabalho e integrações automatizados. Atualmente, notificações de alteração para criação de alertas de monitoramento de saúde são suportadas por meio de webhooks. O Microsoft Graph dá suporte a notificações para operações de criação, atualização e exclusão, mas, no momento, apenas notificações de criação de alertas estão disponíveis para alertas de saúde do sistema.

Para começar a receber notificações, seu aplicativo envia uma POST solicitação para o /subscriptions endpoint para inscrever-se a um recurso específico: neste caso, alertas de monitoramento de saúde. Em seguida, o Microsoft Graph valida a solicitação e confirma a assinatura. Depois que a assinatura estiver ativa, o Microsoft Graph enviará uma notificação para o ponto de extremidade designado sempre que o recurso assinado for criado. Para obter mais informações, consulte as notificações de alteração do Microsoft Graph.

Observação

Se você vir um erro devido à falta de permissões necessárias do Microsoft Graph, consulte as permissões do Microsoft Graph.

Depois de receber uma notificação, você deve investigar o alerta por meio do Centro de administração do Microsoft Entra ou por meio da API do Microsoft Graph. Se você precisar avaliar o impacto do alerta, recomendamos realizar consultas ou introduzir um pequeno atraso antes de chamar a API de alerta de monitoramento de saúde, para que os dados de avaliação de impacto estejam disponíveis. Para obter mais informações, consulte Como investigar alertas de cenário de integridade.

O exemplo a seguir mostra uma solicitação básica para assinar alterações nos alertas do Monitoramento de Saúde.

Solicitação de assinatura de exemplo

POST https://graph.microsoft.com/**beta**/subscriptions
Content-Type: application/json
{
  "changeType": "created",
  "notificationUrl": "https://webhook.azurewebsites.net/notificationClient",
  "lifecycleNotificationUrl": "https://webhook.azurewebsites.net/api/lifecycleNotifications",
  "resource": "/reports/healthmonitoring/alerts",
  "expirationDateTime": "2025-08-30T11:00:00.0000000Z",
  "clientState": "SecretClientState"
}

Se você quiser assinar notificações para apenas um tipo de alerta específico, altere a solicitação para incluir os seguintes detalhes:

"notificationQueryOptions":"$filter=alertType eq 'mfaSignInFailure'

Conteúdo relacionado

• Configurar notificações para alterações nos dados de recursos
• Configurar notificações por email para alertas