Microsoft Entra Health 监视可帮助你通过一组健康指标和智能警报监控 Microsoft Entra 租户的状况。 健康指标会被馈送到我们的异常检测服务中,该服务使用机器学习来了解您租户的模式。 当异常情况检测服务识别租户级模式中的一个重大更改时,它会触发警报。
Microsoft Entra Health 提供的信号和警报为您调查租户中潜在问题提供了起点。 由于需要考虑多种方案甚至更多数据点,因此必须了解如何有效地调查这些警报。 本文总体上提供了有关如何调查警报的指南。 有关针对特定场景的指南,请参阅本文末尾的相关内容。
重要
Microsoft Entra Health 场景监控和警报当前为预览版。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
先决条件
查看健康监控信号以及配置和接收警报的过程中,需要不同的角色、权限和许可证要求。 建议使用具有最低特权访问权限的角色,以与 零信任指南保持一致。
- 需要具有 Microsoft Entra P1 或 P2 许可证的租户才能查看Microsoft Entra 运行状况方案监视信号。
- 要查看警报和接收警报通知,租户需要同时拥有非试用版Microsoft Entra P1 或 P2 许可证,以及至少 100 位月活跃用户。
- 报表读取者角色是查看方案监视信号、警报和警报配置所需的最低特权角色。
- 支持管理员是更新警报和更新警报通知配置所需的最低特权角色。
- 有关角色的完整列表,请参阅按任务显示的最低特权角色。
注释
新加入的租户可能没有足够的数据来生成大约 30 天的警报。
调查信号和警报
可以从 Microsoft Entra 管理中心查看 Microsoft Entra Health 监视信号。
收到警报时,通常需要调查以下数据集:
- 指标:导致警报的数据流或运行状况信号。
- 受影响的实体:受影响的实体总数。 可能包括用户和应用程序。
- 活动日志:登录日志提供有关受影响的用户的详细信息。 审核日志提供有关应用程序配置更改的见解。
- 特定于方案的资源:根据方案,可能需要调查来自不同服务的其他信息源。 例如,对于与设备相关的情况,您可能需要查看 Intune 设备符合性策略。
信号和警报在 Microsoft Entra 管理中心的 Microsoft Entra Health 区域中可用。 无论是调查警报还是仅监视租户的健康状况,您都可以从 Microsoft Entra 管理中心查看信号和警报。
查看信号
至少以报告读取者的身份登录到 Microsoft Entra 管理中心。
浏览到“标识”监视和运行状况”>运行状况”。> 该页将打开“服务级别协议”(SLA)成就页。
选择“运行状况监视”选项卡。
从列表中选择方案。 该页将打开具有活动警报的方案,但如果想要查看不同方案的信号,请选择“ 所有方案 筛选器”按钮。
在 “查看数据图 ”部分查看信号。 如果您正在查看具有活跃警报的场景,可能需要展开此部分。
- 可以更改日期范围,以查看过去 24 小时、七天或上一个月。
- 将鼠标悬停在图形上以查看特定时间点的数据点。
- 图形底部的值是所选时间范围内该方案的总计数。
调查警报
若要从“运行状况监视”登陆页面查看这些详细信息,请执行以下操作:
选择要调查的活动警报。
从所选方案的“ 受影响的实体 ”部分,选择要调查的受影响实体类型的 视图 。
- 可能的实体包括用户和应用程序。
- 提供了一个链接到针对特定场景的文章,以获取有关如何调查问题的详细信息。
从打开的面板中显示的详细信息中,选择要进一步浏览的实体。
- 受影响最严重的前十大实体出现。
- 从列表中选择项会将你导航到用户或应用程序的配置文件页,以便进一步调查。
警报的信号显示在 “信号” 部分下。 查看信号以了解模式并识别异常。
- 时间范围显示发生异常的时间。
调查并可能解决问题的根本原因后,可以消除警报。 从活动警报页中,选中该警报的复选框,然后选择 “将警报标记为 菜单”,然后选择“ 已消除”。
- 使用 Microsoft 图形 API 的等效作是将警报状态更新为
resolved。
- 使用 Microsoft 图形 API 的等效作是将警报状态更新为
