如何調查Microsoft Entra Health 監視警示 （預覽）

Microsoft Entra Health 監視可透過一組健康情況計量和智慧型警示，協助您監視Microsoft Entra 租使用者的健康情況。 健康指標會被輸入到我們的異常偵測服務中，該服務利用機器學習來理解您用戶的模式。 當異常偵測服務識別其中一個租用戶層級模式的重大變更時，就會觸發警示。

Microsoft Entra Health 所提供的訊號和警示會提供您調查租用戶中潛在問題的起點。 因為有廣泛的案例，甚至更多的數據點需要考慮，所以請務必瞭解如何有效地調查這些警示。 本文提供一般如何調查警示的指引。 如需案例特定指引，請參閱本文結尾的相關內容。

重要

Microsoft Entra Health 案例監視和警示目前處於預覽狀態。 這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。

先決條件

有不同的角色、許可權和授權需求，可檢視健康情況監視訊號並設定和接收警示。 我們建議使用具有最低許可權存取權的角色，以配合 零信任指引。

• 需要具有 Microsoft Entra P1 或 P2 授權 的租戶，才能 查看 Microsoft Entra 健康狀態監控訊號。
• 需要租使用者同時具有非試用版 Microsoft Entra P1 或 P2 授權 並且至少有 100 名每月活躍使用者，才能 檢視警示 和 接收警示通知。
• 報表讀者 角色是所需的最低許可權角色，用於 檢視情境監控信號、警報和警報設定。
• 服務台系統管理員 是 更新警示 和 更新警示通知組態所需的最低權限角色。
• 需要 許可權，才能使用 Microsoft Graph API來 檢視警示。
• 需要 許可權，才能使用 Microsoft Graph API來 檢視和修改警示。
• 如需角色的完整清單，請參閱〈依工作分配的最低特權角色〉。

備註

新入駐的租戶可能在 30 天內沒有足夠的數據來產生警示。

調查訊號和警示

您可以從 Microsoft Entra 系統管理中心檢視Microsoft Entra Health 監視訊號。 您也可以使用 Microsoft Graph API來檢視訊號的屬性和健康情況監視警示的公開預覽。

當您收到警示時，通常需要調查下列數據集：

• 計量：造成警示的數據流或健康情況訊號。
• 受影響的實體：受影響實體總數。 可能包含使用者和應用程式。
• 活動記錄：登入記錄提供受影響使用者的詳細數據。 稽核記錄提供應用程式組態變更的深入解析。
• 案例特定資源：視案例而定，您可能需要調查來自不同服務的其他資訊來源。 例如，針對裝置相關案例，您可能需要檢閱 Intune 裝置合規性政策。

系統管理中心

這些訊號和警示可在 Microsoft Entra 系統管理中心的 Microsoft Entra Health 區域中取得。 無論您是調查警示，還是只監視租使用者的健康情況，都可以檢視來自 Microsoft Entra 系統管理中心的訊號和警示。

檢視訊號

1. 以至少報表讀取者的角色，登入Microsoft Entra 系統管理中心。

2. 瀏覽至 [身分識別>監控與健康>健康]。 頁面會開啟到服務等級協定（SLA）達成率頁面。

3. 選擇 [健康監控] 標籤。

   

4. 從清單中選取案例。 頁面會開啟至使用中警示的案例，但如果您想要檢視不同案例的訊號，請選取 [[所有案例] 篩選按鈕。

5. 在 檢視數據圖形 區段中檢視訊號。 如果您要檢視具有作用中警示的案例，您可能需要展開本節。

   • 日期範圍可以變更為檢視過去 24 小時、七天或上個月。
   • 將滑鼠停留在圖形上，以查看特定時間點的數據點。
   • 圖表底部的值是所選時間範圍內該案例的總計數。

調查警示

若要從 健康監控 首頁檢視這些詳細資料：

1. 選擇您想要調查的活動警示。

   

2. 從所選案例的 [受影響的實體] 區段中，針對您想要調查的受影響實體類型，選取 [檢視]。

   • 可能的實體包括使用者和應用程式。
   • 如需如何調查問題的詳細資訊，會提供案例特定文章的連結。

   

3. 從出現在開啟面板的詳細數據中，選取要進一步探索的實體。

   • 前10個受影響的實體會出現。
   • 從清單中選取項目會導向至使用者或應用程式的個人資料頁面，便於進一步調查。

4. 警示的訊號會出現在 [Signals] 區段底下。 檢閱訊號以瞭解模式並識別異常。

   • 時間範圍會顯示異常發生的時間。

   

5. 調查並可能解決問題的根本原因之後，您可以關閉警示。 從作用中警示頁面中，選取該警示的複選框，然後選取 將警示標示為 選單，然後選取 已解除。

   • 使用 Microsoft Graph API 的動作是將警示狀態更新為 resolved。

   

Microsoft Graph API

透過 Microsoft Graph API，您可以檢視組成健康情況訊號和警示的計量，並檢閱健康情況警示的影響摘要。

如需範例要求和回應，請參閱 健全狀況監視清單警示物件。

• impacts 後的回應部分構成了警報的影響摘要。
• supportingData 部分包含用來產生警示的完整查詢。
• 查詢的結果包含異常偵測服務所識別的所有專案，但可能有與警示不直接相關的結果。

檢視訊號

serviceActivity 資源會獲取 Microsoft Entra Health 健康監控訊號所使用的度量，這些訊號會在 Microsoft Entra 系統管理中心進行視覺化呈現。 如需詳細資訊，請參閱 serviceActivity 資源類型。

1. 以至少 客服系統管理員 的角色登入 Microsoft Graph Explorer，並同意適當的權限。
2. 從下拉式清單中選取 [GET 作為 HTTP 方法，並將 API 版本設定為 beta。
3. 執行下列查詢，以在特定間隔內擷取多重要素驗證 （MFA） 登入成功計量。

要求：

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

回應：

回應會顯示在特定時間範圍內發生的成功登入次數，以10分鐘間隔匯總。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

調查警示

alert 資源類型提供健康情況監視警示的詳細數據，包括警示的影響摘要。 如需詳細資訊，請參閱 警示資源類型。

執行下列查詢來擷取租戶的所有目前的警示。

要求：

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

回應：

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

找出並儲存您要調查並執行下列查詢的警示 id，並使用 id 做為 alertId。 下列查詢會擷取警示詳細數據，並展開 resourceSampling 屬性，以取得受影響實體的使用者標識碼。

要求：

在此範例中，我們使用 mfaSignInFailure 警示類型，但 id 值是佔位元值。 將它取代為您想要調查之警示 id。

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

回應：

為了提升可讀性，回應已被縮短。 回應包含受影響實體的使用者標識碼，可用於進一步查詢使用者的登入活動。 回應中也包含查詢相關報告的內容。

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

取得受影響實體的詳細數據之後，您就可以開始針對登入活動、稽核記錄和條件式存取等項目進行疑難解答。

更新狀態

調查並可能解決問題的根本原因之後，您可以將警示標示為已解決。 執行下列 PATCH 要求。 使用 Microsoft Entra 系統管理中心，對應的動作是將警示狀態更新為 已解除。

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}

相關內容

• 需要符合規範或受控裝置的登入
• 需要多因素身份驗證的登入
• Microsoft Graph 健康監控警示 API 文件