Microsoft Entra运行状况监视可帮助你通过一组运行状况指标和智能警报监视Microsoft Entra租户的运行状况。 健康指标会被馈送到我们的异常检测服务中,该服务使用机器学习来了解您租户的模式。 当异常情况检测服务识别租户级模式中的一个重大更改时,它会触发警报。
Microsoft Entra Health 提供的信号和警报为你提供了调查租户中潜在问题的起点。 由于需要考虑多种方案甚至更多数据点,因此必须了解如何有效地调查这些警报。 本文总体上提供了有关如何调查警报的指南。 有关针对特定场景的指南,请参阅本文末尾的相关内容。
重要
Microsoft Entra运行状况场景监视和警报目前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
先决条件
查看健康监控信号以及配置和接收警报的过程中,需要不同的角色、权限和许可证要求。 建议使用具有最低特权访问权限的角色,以符合 Zero Trust 指南。
- 需要具有 Microsoft Entra P1 或 P2 许可证的租户才能查看Microsoft Entra 健康场景监控信号。
- 具有非试用版 Microsoft Entra P1 或 P2 许可证的租户和至少 100 个每月活跃用户需要查看警报和接收警报通知。
- 报告读取者角色是查看应用场景监视信号、警报和警报配置所需的最低特权角色。
- 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
- 有关角色的完整列表,请参阅按任务列出的最低特权角色。
注释
新加入的租户可能没有足够的数据来生成大约 30 天的警报。
调查信号和警报
可以从 Microsoft Entra 管理中心查看 Microsoft Entra 健康监控信号。
收到警报时,通常需要调查以下数据集:
- 指标:导致警报的数据流或运行状况信号。
- 受影响的实体:受影响的实体总数。 可能包括用户和应用程序。
- 活动日志:登录日志提供有关受影响的用户的详细信息。 审核日志提供有关应用程序配置更改的见解。
- 特定于方案的资源:根据方案,可能需要调查来自不同服务的其他信息源。 例如,对于与设备相关的情况,您可能需要查看 Intune 设备符合性策略。
信号和警报在 Microsoft Entra 管理中心的 Microsoft Entra 健康区域可用。 无论是对警报进行调查还是只是监控租户的健康状况,您都可以在Microsoft Entra管理中心查看信号与警报。
查看信号
请至少以 报告阅读器 的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>监控与健康>健康。 该页将打开“服务级别协议”(SLA)成就页。
选择“运行状况监视”选项卡。
Microsoft Entra 健康登录页面的截图。 从列表中选择方案。 该页将打开具有活动警报的方案,但如果想要查看不同方案的信号,请选择“ 所有方案 筛选器”按钮。
在 “查看数据图 ”部分查看信号。 如果您正在查看具有活跃警报的场景,可能需要展开此部分。
- 可以更改日期范围,以查看过去 24 小时、七天或上一个月。
- 将鼠标悬停在图形上以查看特定时间点的数据点。
- 图形底部的值是所选时间范围内该方案的总计数。
调查警报
若要从“运行状况监视”主页查看这些详细信息,请先选择要调查的活动警报。
在所选场景中,您有几种选项可以研究:
从运行登录日志诊断工具的页面顶部选择“运行诊断”。
从所选方案的“ 受影响的实体 ”部分,选择要调查的受影响实体类型的 视图 。
- 可能的实体包括用户和应用程序。
- 提供了一个链接到针对特定场景的文章,以获取有关如何调查问题的详细信息。
- 列出了前 10 个受影响最严重的实体。
- 从列表中选择项会将你导航到用户或应用程序的配置文件页,以便进一步调查。
警报的信号显示在 “信号” 部分下。 查看信号以了解模式并识别异常。
- 时间范围显示发生异常的时间。
调查并可能解决问题的根本原因后,可以消除警报。 从活动警报页中,选中该警报的复选框,然后选择 “将警报标记为 菜单”,然后选择“ 已消除”。
- 使用Microsoft Graph API的等效作是将警报状态更新为
resolved。
- 使用Microsoft Graph API的等效作是将警报状态更新为
