Microsoft Entra Health 为多个关键身份场景提供租户级别的指标和健康信号。 这些信号会馈送到异常情况检测服务中,该服务会在检测到重大更改时触发警报。 可以在触发警报时配置电子邮件和 Webhook 通知。
本文介绍如何为 Microsoft Entra Health 监视警报配置电子邮件和 Webhook 通知。
重要
Microsoft Entra Health 场景监控和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。 Microsoft Entra 管理中心体验分阶段发布给客户,因此可能不会看到本文中所述的所有功能。
先决条件
查看健康监控信号以及配置和接收警报需要不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指导。
- 租户需要具有 Microsoft Entra P1 或 P2 许可证才能查看 Microsoft Entra 健康场景监控信号。
- 要查看警报和接收警报通知,租户需要同时拥有非试用版Microsoft Entra P1 或 P2 许可证,以及至少 100 位月活跃用户。
- 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
- 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
- 权限
Group.Read.All是 查看组所需的最低特权权限。 - 需要
HealthMonitoringAlert.Read.All权限才能使用 Microsoft Graph API 查看警报。 - 需要
HealthMonitoringAlert.ReadWrite.All权限才能使用 Microsoft Graph API 查看并修改警报。 - 需要
HealthMonitoringAlertConfig.Read.All权限才能使用 Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} API 查看配置的电子邮件通知,或使用 Microsoft Graph /subscriptions API 查看配置的 webhook 通知。 -
HealthMonitoringAlertConfig.ReadWrite.All必须使用 Microsoft Graph /reports/healthmonitoring/alertConfigurations/{alertType} API 查看和修改电子邮件通知的权限,或使用 Microsoft Graph /subscriptions API 查看和修改配置的 Webhook 通知。 - 有关角色的完整列表,请参阅按任务列出的最低特权角色。
注释
- 新加入的租户可能没有足够的数据来生成大约 30 天的警报。
- 如果由于缺少所需的Microsoft Graph 权限而看到错误,请参阅 Microsoft Graph 权限 以获取有关 Microsoft Graph 权限的详细信息。
确定电子邮件通知收件人
建议每日查看 Microsoft Entra Health 监视方案,以便熟悉基线指标,以便确定趋势。 还必须在触发警报时配置电子邮件通知。
电子邮件通知会发送到所选的 Microsoft Entra 组。 建议向具有适当访问权限的用户发送警报,以调查警报并采取措施。 并非每个角色都可以执行相同的操作,因此请考虑包括具有以下角色的一个组:
配置电子邮件通知
可以在 Microsoft Entra 管理中心或使用 Microsoft 图形 API 为每个方案配置电子邮件通知设置。
以至少支持管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监视和运行状况>,然后选择运行状况监视选项卡。
选择要配置电子邮件通知的场景。
在“组警报通知”部分中,选择“+选择”按钮或“编辑”按钮。
- 如果未选择组,则会显示“+选择”按钮。
- 如果已选择组,则会显示“编辑”按钮。
从打开的面板中,选择要接收警报的组,然后选择“ 选择 ”按钮。
- 只能选择一个组。
- 组的更新会在应用场景页的“组警报通知”部分中显示。
在下次为方案触发警报时,所选组的成员将收到电子邮件通知。 对其他方案重复此过程。
注释
如果所选组将其他组添加为该组的成员,则通知将仅发送到层次结构中的前三个组。
配置 Webhook 通知
Microsoft Graph 更改通知允许应用程序在创建、更新或删除资源时接收实时警报。 与电子邮件通知不同,这些警报直接传送到你指定的安全 HTTPS 终结点,使它们非常适合自动化工作流和集成。 目前,通过 Webhook 支持运行状况监视警报 创建的 更改通知。 Microsoft Graph 支持用于创建、更新和删除作的通知,但目前只有警报创建通知可用于运行状况监视警报。
若要开始接收通知,应用程序会向 /POST终结点发送请求subscriptions以订阅特定资源,在本例中,运行状况监视警报。 Microsoft Graph 然后验证请求并确认订阅。 订阅处于活动状态后,Microsoft Graph 会在创建订阅资源时向指定终结点发送通知。 有关详细信息,请参阅 Microsoft Graph 更改通知。
注释
如果由于缺少所需的Microsoft Graph 权限而看到错误,请参阅 Microsoft Graph 权限。
收到通知后,应通过 Microsoft Entra 管理中心或通过 Microsoft 图形 API 调查警报。 如果需要评估警报的影响,建议在调用运行状况监视警报 API 之前轮询或引入短暂延迟,以便提供影响评估数据。 有关详细信息,请参阅 如何调查运行状况方案警报。
以下示例演示订阅对运行状况监视警报更改所做的更改的基本请求。
示例订阅请求
POST https://graph.microsoft.com/**beta**/subscriptions
Content-Type: application/json
{
"changeType": "created",
"notificationUrl": "https://webhook.azurewebsites.net/notificationClient",
"lifecycleNotificationUrl": "https://webhook.azurewebsites.net/api/lifecycleNotifications",
"resource": "/reports/healthmonitoring/alerts",
"expirationDateTime": "2025-08-30T11:00:00.0000000Z",
"clientState": "SecretClientState"
}
如果只想订阅一种特定警报类型的通知,请修改请求以包含以下详细信息:
"notificationQueryOptions":"$filter=alertType eq 'mfaSignInFailure'