Microsoft Entra Health 監視アラートを調査する方法 (プレビュー)

シグナルとアラートは、Microsoft Entra 管理センターの Microsoft Entra Health 領域で入手できます。 アラートを調査している場合でも、テナントの正常性を監視する場合でも、Microsoft Entra 管理センターからシグナルとアラートを表示できます。

シグナルを表示する

1. Microsoft Entra 管理センターにレポート閲覧者以上でサインインしています。

2. Entra ID>監視と健康>健康 にアクセスします。 サービス レベル アグリーメント (SLA) 達成ページが開きます。

3. ヘルスモニタリング タブを選択します。

   

4. 一覧からシナリオを選択します。 アクティブなアラートがあるシナリオにページが開きますが、別のシナリオのシグナルを表示する場合は、[ すべてのシナリオ ] フィルター ボタンを選択します。

5. [ データ グラフの表示 ] セクションで信号を表示します。 アクティブなアラートを含むシナリオを表示する場合は、このセクションを展開する必要があります。

   • 日付範囲を変更して、過去 24 時間、7 日間、または前月を表示できます。
   • グラフの上にマウス ポインターを置くと、特定の時点のデータ ポイントが表示されます。
   • グラフの下部にある値は、選択した期間のそのシナリオの合計数です。

アラートを調査する

ヘルスモニタリングランディング ページからこれらの詳細を表示するには:

1. 調査するアクティブなアラートを選択します。

   

2. 選択したシナリオの [ 影響を受けるエンティティ ] セクションで、調査する影響を受けるエンティティの種類として [表示 ] を選択します。

   • 可能なエンティティには、ユーザーとアプリケーションが含まれます。
   • 問題を調査する方法の詳細については、シナリオ固有の記事へのリンクが提供されています。

   

3. 開いたパネルに表示される詳細から、さらに詳しく調べるエンティティを選択します。

   • 最も影響を受けた上位 10 個のエンティティが表示されます。
   • 一覧から項目を選択すると、詳細な調査のためにユーザーまたはアプリケーションのプロファイル ページに移動します。

4. アラートのシグナルが [シグナル] セクション に 表示されます。 シグナルを確認してパターンを理解し、異常を特定します。

   • 時間枠には、異常が発生した時間が表示されます。

   

5. 問題の根本原因を調査し、潜在的に解決したら、アラートを無視できます。 アクティブなアラート ページで、そのアラートのチェック ボックスをオンにし、[アラートをメニュー としてマーク ] を選択し、[ 無視] を選択します。

   • Microsoft Graph API を使用する同等のアクションは、アラートの状態を resolvedに更新することです。

   

Microsoft Graph API を使用すると、正常性のシグナルとアラートを構成するメトリックを表示し、正常性アラートの影響の概要を確認できます。

要求と応答のサンプルについては、「健康監視リストアラート オブジェクト 」を参照してください。

• impacts の後の応答の部分は、アラートのインパクトの概要となっています。
• supportingData の部分には、アラートの生成に使用される完全なクエリが含まれます。
• クエリの結果には、異常検出サービスによって特定されるすべてのものが含まれますが、アラートに直接関連しない結果が含まれる場合があります。

シグナルを表示する

serviceActivity リソースによって、Microsoft Entra Health 監視シグナルにフィードされるメトリックが取得されます。これは、Microsoft Entra 管理センターで視覚化されます。 詳細については、「serviceActivity リソースの種類」を参照してください。

1. Microsoft Graph Explorer に少なくともヘルプデスク管理者としてサインインし、適切なアクセス許可に同意します。
2. ドロップダウンから HTTP メソッド GET を選択し、API バージョンをベータ設定します。
3. 次のクエリを実行して、特定の間隔で多要素認証 (MFA) サインイン成功メトリックを取得します。

要求:

GET https://graph.microsoft.com/beta/reports/serviceActivity/getMetricsForMfaSignInFailure(inclusiveIntervalStartDateTime=2023-01-01T00:00:00Z,exclusiveIntervalEndDateTime=2023-01-01T00:20:00Z,aggregationIntervalInMinutes=10)

応答:

応答には、特定の時間枠の間に成功したサインインの数が 10 分間隔で集計され、示されます。

HTTP/1.1 200 OK
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/beta/networkAccess/reports/$metadata#Collection(serviceActivityValueMetric)",
  "value": [
    {
      "intervalStartDateTime": "2023-01-10T00:00:00Z",
      "value": 4
    },
    {
      "intervalStartDateTime": "2023-01-10T00:10:00Z",
      "value": 5
    },
    {
      "intervalStartDateTime": "2023-01-10T00:20:00Z",
      "value": 4
    }
  ]
}

アラートを調査する

alert リソースタイプは、正常性監視アラートに関する詳細情報を提供し、アラートの影響概要も含まれています。 詳細については、「 アラート リソースの種類」を参照してください。

次のクエリを実行して、テナントのすべてのアクティブなアラートを取得します。

要求:

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts?$filter=state eq microsoft.graph.healthmonitoring.alertState'active'&$select=id, alertType

応答:

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(id,alertType)",
  "value": [
    {
      "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
      "alertType": "mfaSignInFailure"
    },
    {
      "id": "bbbbbbbb-1111-2222-3333-cccccccccccc",
       "alertType": "managedDeviceSignInFailure"
    },
  ]
}    

調査するアラートの id を見つけて保存し、 id を alertIdとして使用して、次のクエリを実行します。 次のクエリでは、アラートの詳細を取得し、 resourceSampling プロパティを展開して、影響を受けるエンティティのユーザー ID を取得します。

要求:

この例では、 mfaSignInFailure アラートの種類を使用していますが、 id 値はプレースホルダー値です。 これを、調査するアラートの id に置き換えます。

GET https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{id}?$expand=enrichment/impacts/microsoft.graph.healthmonitoring.directoryobjectimpactsummary/resourceSampling&$select=alertType, createdDateTime, enrichment'

応答:

読みやすくするために応答が短縮されます。 応答には、影響を受けるエンティティのユーザー ID が含まれます。これは、ユーザーのサインイン アクティビティに関するさらなる問い合わせで使用できます。 応答には、関連レポートのクエリも含まれます。

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#reports/healthMonitoring/alerts(enrichment/impacts/microsoft.graph.healthMonitoring.directoryObjectImpactSummary/resourceSampling())/$entity",
  "id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
  "alertType": "mfaSignInFailure",
  "scenario": "mfa",
  "category": "authentication",
  "createdDateTime": "2025-01-10T23:59:41.1216288Z",
  "state": "resolved",
  "enrichment": {
      "state": "enriched",
      "supportingData": null,
      "impacts": [
          {
              "@odata.type": "#microsoft.graph.healthMonitoring.userImpactSummary",
              "resourceType": "User",
              "impactedCount": "4",
              "impactedCountLimitExceeded": false,
              "resourceSampling": [
                  {
                      "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"
                  },
                  {
                      "id": "66aa66aa-bb77-cc88-dd99-00ee00ee00ee"
                  },
                  {
                      "id": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff"
                  },
                  {
                      "id": "55ff55ff-aa66-bb77-cc88-99dd99dd99dd"
                  }
          ]    
          },
      ]
      "signals": {
          "mfaSignInFailure": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInFailure/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)",
          "mfaSignInSuccess": "https://graph.microsoft.com//beta/reports/serviceActivity/getMetricsForMfaSignInSuccess/(inclusiveIntervalStartDateTime=2024-12-26T23:59:41Z,exclusiveIntervalEndDateTime=2025-01-10T23:59:41Z)"
      }
    }
  }    

影響を受けるエンティティの詳細を取得したら、サインイン アクティビティ、監査ログ、条件付きアクセスなどのトラブルシューティングを開始できます。

状態を更新する

問題の根本原因を調査して解決する可能性がある場合は、アラートを解決済みとしてマークできます。 次の PATCH 要求を実行します。 Microsoft Entra 管理センターを使用する同等のアクションは、アラートの状態を [無視済み] に更新することです。

PATCH https://graph.microsoft.com/beta/reports/healthMonitoring/alerts/{alertId}
Content-Type: application/json
{
  "state": "resolved"
}