Microsoft Entra 健康监控可帮助你通过一组指标和智能警报监控 Microsoft Entra 租户的运行状况。 健康指标会被输入到异常检测服务中,该服务利用机器学习来识别你的租户的模式。 当异常情况检测服务识别出租户级模式之一发生重大更改时,就会触发警报。
Microsoft Entra Health 提供的信号和警报为您调查租户中潜在问题提供了出发点。 由于需要考虑多种场景,甚至更多数据点,因此必须了解如何有效地调查这些警报。 本文总体上提供了有关如何调查警报的指南。 有关针对特定场景的指南,请参阅本文末尾的相关内容。
重要说明
Microsoft Entra Health 方案监视和警报目前处于预览阶段。 此信息与预发布产品有关,该产品在发布之前可能进行重大修改。 对于此处提供的信息,Microsoft 不作任何明示或暗示的保证。
先决条件
查看健康监控信号以及配置和接收警报需要不同的角色、权限和许可证要求。 我们建议使用具有最低访问权限的角色,以符合零信任指南。
- 查看 Microsoft Entra Health 应用场景监视信号需要具有 Microsoft Entra P1 或 P2 许可证的租户。
- 要查看警报和接收警报通知,租户需要同时拥有非试用版Microsoft Entra P1 或 P2 许可证,以及至少 100 位月活跃用户。
- 报表查看者 角色是 查看场景监控信号、警报和警报配置所需的最低权限角色。
- 帮助台管理员 是 更新警报 和 更新警报通知配置所需的最低特权角色。
- 需要
HealthMonitoringAlert.Read.All权限才能使用 Microsoft Graph API 查看警报。 - 需要
HealthMonitoringAlert.ReadWrite.All权限才能使用 Microsoft Graph API 查看并修改警报。 - 有关角色的完整列表,请参阅按任务划分的最低特权角色 。
注释
新加入的租户可能没有足够的数据来生成大约 30 天的警报。
调查信号和警报
可以从 Microsoft Entra 管理中心查看 Microsoft Entra Health 监视信号。 还可以使用 Microsoft Graph API 查看信号的属性和运行状况监视警报的公共预览版。
收到警报时,通常需要调查以下数据集:
- 指标:导致警报的数据流或运行状况信号。
- 受影响的实体:受影响的实体总数。 可能包括用户和应用程序。
- 活动日志:登录日志提供有关受影响的用户的详细信息。 审核日志提供有关应用程序配置更改的见解。
- 特定于方案的资源:根据方案,可能需要调查来自不同服务的其他信息源。 例如,对于与设备相关的情况,您可能需要查看 Intune 设备符合性策略。
信号和警报在 Microsoft Entra 管理中心的 Microsoft Entra Health 区域中可用。 无论是调查警报还是仅监视租户的健康状况,您都可以从 Microsoft Entra 管理中心查看信号和警报。
查看信号
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>健康。 该页将打开“服务级别协议 (SLA) 成就”页面。
选择“运行状况监视”选项卡。
从列表中选择方案。 该页将打开具有活动警报的方案,但如果想要查看不同方案的信号,请选择“ 所有方案 筛选器”按钮。
在 “查看数据图 ”部分查看信号。 如果您正在查看具有活跃警报的场景,可能需要展开此部分。
- 可以更改日期范围,以查看过去 24 小时、七天或上一个月。
- 将鼠标悬停在图形上以查看特定时间点的数据点。
- 图形底部的值是所选时间范围内该方案的总计数。
调查警报
若要从“运行状况监视”登陆页面查看这些详细信息,请执行以下操作:
选择要调查的活动警报。
从所选方案的“ 受影响的实体 ”部分,选择要调查的受影响实体类型的 视图 。
- 可能的实体包括用户和应用程序。
- 提供了一个链接到针对特定场景的文章,以获取有关如何调查问题的详细信息。
从打开的面板中显示的详细信息中,选择要进一步浏览的实体。
- 受影响最严重的前十大实体出现。
- 从列表中选择项会将你导航到用户或应用程序的配置文件页,以便进一步调查。
警报的信号显示在 “信号” 部分下。 查看信号以了解模式并识别异常。
- 时间范围显示发生异常的时间。
调查并可能解决问题的根本原因后,可以消除警报。 从活动警报页中,选中该警报的复选框,然后选择 “将警报标记为 菜单”,然后选择“ 已消除”。
- 使用 Microsoft 图形 API 的等效作是将警报状态更新为
resolved。
- 使用 Microsoft 图形 API 的等效作是将警报状态更新为
