Grupos de ação

Quando os dados do Azure Monitor indicam um problema potencial em sua infraestrutura ou aplicativo, ele dispara um alerta. Para garantir uma resposta oportuna, você pode anexar grupos de ação a esses alertas, que são coleções de preferências de notificação e ações automatizadas.

Os grupos de ação definem quem é notificado e quais ações são tomadas quando um alerta é acionado. Eles dão suporte a vários tipos de notificação, incluindo chamada de voz, SMS, notificações por push, email e ações automatizadas (por exemplo, acionar um webhook ou a Função do Azure). Esses grupos são usados em serviços como o Azure Monitor, o Azure Service Health e o Azure Advisor.

Cada ação é composta por:

• Tipo: O tipo de notificação ou automação.
• Nome: um identificador exclusivo dentro do grupo de ações.
• Detalhes: Configuração específica com base no tipo de ação.

Este artigo mostra como criar e gerenciar grupos de ações.

Disponibilidade e resiliência globais

As solicitações globais de clientes podem ser processadas por serviços de grupo de ação em qualquer região. Se uma região do serviço do grupo de ações estiver inativa, o tráfego será automaticamente roteado e processado em outras regiões. Como um serviço global, um grupo de ação ajuda a fornecer uma solução de recuperação de desastres.

Reutilização e execução

• Você pode adicionar até cinco grupos de ações a uma única regra de alerta.
• Os grupos de ação são executados simultaneamente, sem ordem específica.
• Várias regras de alerta podem usar o mesmo grupo de ações.
• Os Grupos de Ação são definidos pelo conjunto exclusivo de ações e pelos usuários a serem notificados.
  Exemplo: Para notificar User1, User2 e User3 por e-mail para duas regras de alerta diferentes, você só precisa criar um grupo de ações e aplicá-lo a ambas as regras de alerta.

Criar um grupo de ações no portal do Azure

1. Aceda ao portal do Azure.

2. Procure e selecione Monitor. O painel Monitor consolida todas as suas configurações e dados de monitoramento em uma única exibição.

3. Selecione Alertas e, em seguida, selecione Grupos de ação.

   

4. Selecione Criar na barra de ações superior.

5. Defina as configurações básicas do grupo de ações. Na seção Detalhes do projeto:

   • Selecione valores para o grupo Assinatura e Recurso.
   • Selecione a região.

   Note

   Os Alertas de Estado de Funcionamento do Serviço só são suportados em nuvens públicas na região global. Para que os grupos de Ação funcionem corretamente em resposta a um Alerta de Integridade do Serviço, a região do grupo de ação deve ser definida como Global.

   Option	Behavior
   Global	O serviço de grupos de ação decide onde armazenar o grupo de ações. O grupo de ação persiste em, pelo menos, duas regiões para assegurar a resiliência regional. O processamento das ações pode ser feito em qualquer região geográfica. As ações de voz, SMS e email executadas como resultado de alertas de integridade do serviço são resilientes a incidentes do site ao vivo do Azure.
   Regional	O grupo de ações é armazenado na região selecionada. O grupo de ação é redundante de zona. Use esta opção se quiser garantir que o processamento do seu grupo de ações seja realizado dentro de um limite geográfico específico. Você pode selecionar uma destas regiões para o processamento regional de grupos de ação: • Leste dos EUA • Oeste dos EUA • Leste EUA2 • Região Oeste US2 • Centro-Sul dos EUA • Centro-Norte dos EUA • Suécia Central • Alemanha Centro-Oeste • Índia Central • Índia Sul Estamos continuamente adicionando mais regiões para o processamento de dados regionais de grupos de ação.

   O grupo de ações é salvo na assinatura, região e grupo de recursos selecionado.

6. Na seção Detalhes da instância, insira valores para Nome do grupo de ações e Nome para exibição. O nome para exibição é usado no lugar de um nome completo do grupo de ações quando o grupo é usado para enviar notificações.

   

7. Configurar notificações. Selecione Avançar: Notificações ou selecione a guia Notificações na parte superior da página.

8. Defina uma lista de notificações a serem enviadas quando um alerta for acionado.

9. Para cada notificação:

   1. Selecione o Tipo de notificação e preencha os campos apropriados para essa notificação. As opções disponíveis são:

      Tipo de notificação	Description	Fields
      Função Email do Azure Resource Manager	Envie um e-mail para os membros da assinatura, com base em sua função. Veja Email.	Insira o endereço de email principal configurado para o usuário do Microsoft Entra. Veja Email.
      Email	Certifique-se de que a filtragem de e-mail e quaisquer serviços de prevenção de malware/spam estão configurados adequadamente. Os e-mails são enviados a partir dos seguintes endereços de e-mail: • azure-noreply@microsoft.com • azureemail-noreply@microsoft.com • alerts-noreply@mail.windowsazure.com	Digite o e-mail para onde a notificação deve ser enviada.
      SMS	As notificações por SMS suportam comunicação bidirecional. O SMS contém as seguintes informações: • Nome abreviado do grupo de ação para o qual este alerta foi enviado • O título do alerta. Um utilizador pode responder a um SMS para: • Cancelar a assinatura de todos os alertas SMS para todos os grupos de ação ou um único grupo de ação. • Voltar a subscrever alertas • Solicite ajuda. Para obter mais informações sobre respostas SMS suportadas, consulte Respostas SMS.	Insira o código do país e o número de telefone do destinatário do SMS. Se não conseguir selecionar o código do seu país/região no portal do Azure, o SMS não é suportado para o seu país/região. Se o código do seu país/região não estiver disponível, pode votar para que o seu país/região seja adicionado em Partilhe as suas ideias. Como solução alternativa até que seu país seja suportado, configure o grupo de ação para chamar um webhook para um provedor de SMS de terceiros que ofereça suporte ao seu país/região.
      Notificações por push do aplicativo do Azure	Envie notificações para o aplicativo móvel do Azure.	No campo Email da conta do Azure, insira o endereço de email que você usa como sua ID de conta ao configurar o aplicativo móvel do Azure.
      Voice	Notificação de voz.	Insira o código do país e o número de telefone do destinatário da notificação. Se não conseguir selecionar o código do seu país/região no portal do Azure, as notificações de voz não são suportadas para o seu país/região. Se o código do seu país/região não estiver disponível, pode votar para que o seu país/região seja adicionado em Partilhe as suas ideias. Como solução alternativa até que seu país seja suportado, configure o grupo de ação para chamar um webhook para um provedor de chamadas de voz de terceiros que ofereça suporte ao seu país/região.

   2. Selecione se deseja habilitar o esquema de alerta Comum. O esquema de alerta comum é uma carga útil de alerta única extensível e unificada que pode ser usada em todos os serviços de alerta no Azure Monitor. Para obter mais informações sobre o esquema comum, consulte Esquema de alerta comum.

      

   3. Selecione OK.

10. Configurar ações. Selecione Next: Actions. ou selecione a guia Ações na parte superior da página.

11. Defina uma lista de ações a serem acionadas quando um alerta é acionado. Selecione um tipo de ação e insira um nome para cada ação.

    Tipo de ação	Details
    Guia de Execução de Automação	Use o Automation Runbook para automatizar tarefas com base em métricas. Por exemplo, encerre recursos quando um determinado limite no orçamento associado for atingido. Para obter informações sobre limites em cargas úteis de runbook de automação, consulte Limites de automação.
    Hubs de eventos	Uma ação de Hubs de Eventos publica notificações para Hubs de Eventos. É o único tipo de ação que dá suporte ao Azure Private Link e ao NSP (perímetro de segurança de rede). Para obter mais informações sobre Hubs de Eventos, consulte Hubs de Eventos do Azure — uma plataforma de streaming de big data e serviço de ingestão de eventos. Pode subscrever o fluxo de notificações de alerta a partir do recetor do evento. O hub de eventos oferece suporte entre inquilinos até à versão de API 2023-09-01-preview
    Funções	Chama um ponto de extremidade de gatilho HTTP existente em funções. Para obter mais informações, consulte Azure Functions. Quando você define a ação da função, o ponto de extremidade do gatilho HTTP e a chave de acesso da função são salvos na definição da ação, por exemplo, https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Se você alterar a chave de acesso para a função, deverá remover e recriar a ação da função no grupo de ações. Seu ponto de extremidade deve suportar o método HTTP POST. A função deve ter acesso à conta de armazenamento. Se não tiver acesso, as chaves não estarão disponíveis e o URI da função não estará acessível. Saiba mais sobre como restaurar o acesso à conta de armazenamento.
    ITSM	Uma ação ITSM requer uma conexão ITSM. Para saber como criar uma conexão ITSM, consulte Integração ITSM.
    Aplicações de Lógica	Você pode usar os Aplicativos Lógicos do Azure para criar e personalizar fluxos de trabalho para integração e para personalizar suas notificações de alerta.
    Webhook seguro	Ao usar uma ação de webhook segura, você deve usar a ID do Microsoft Entra para proteger a conexão entre seu grupo de ação e seu ponto de extremidade, que é uma API da Web protegida. Consulte Configurar autenticação para webhook seguro. O webhook seguro não suporta autenticação básica. Se você estiver usando a autenticação básica, use a ação Webhook.
    Webhook	Se você usar a ação webhook, seu ponto de extremidade webhook de destino deverá ser capaz de processar as várias cargas JSON que diferentes fontes de alerta emitem. Não é possível passar certificados de segurança por meio de uma ação de webhook. Para usar a autenticação básica, você deve passar suas credenciais pelo URI. Se o ponto de extremidade do webhook espera um esquema específico, por exemplo, o esquema do Microsoft Teams, use o tipo de ação Aplicativos lógicos para manipular o esquema de alerta para atender às expectativas do webhook de destino. Para obter informações sobre as regras usadas para tentar novamente ações de webhook, consulte Webhook.

    

12. (Opcional) Se quiser atribuir um par chave-valor ao grupo de ações para categorizar seus recursos do Azure, selecione Avançar: Marcas ou a guia Marcas . Caso contrário, ignore esta etapa.

13. Selecione Rever + criar para rever as suas definições. Esta etapa verifica rapidamente suas entradas para garantir que você inseriu todas as informações necessárias. Se houver problemas, eles são relatados aqui. Depois de revisar as configurações, selecione Criar para criar o grupo de ações.

    Note

    Quando você configura uma ação para notificar uma pessoa por e-mail ou SMS, ela recebe uma confirmação que indica que foi adicionada ao grupo de ações.

Testar um grupo de ações no portal do Azure

Ao criar ou atualizar um grupo de ações no portal do Azure, você pode testar o grupo de ações.

1. Crie um grupo de ações no portal do Azure.

   Note

   O grupo de ações deve ser criado e salvo antes do teste. Se você estiver editando um grupo de ações existente, salve as alterações no grupo de ações antes de testar.

2. Na página Grupos de ações , selecione um grupo de ações e, em seguida, selecione Testar na barra de ações superior.

3. Selecione o tipo de exemplo, o tipo de notificação e o tipo de ação que quer testar. Em seguida, selecione Testar.

   

4. Se você fechar a janela ou selecionar Voltar à configuração do teste enquanto o teste estiver em execução, o teste será interrompido e você não obterá os resultados do teste.

   

5. Quando o teste for concluído, um status de teste de Êxito ou Reprovadoserá exibido. Se o teste falhou e você deseja obter mais informações, selecione Exibir detalhes.

   

   Você pode usar as informações na seção Detalhes do erro para entender o problema. Em seguida, você pode editar, salvar as alterações e testar o grupo de ações novamente.

   Quando você executa um teste e seleciona um tipo de notificação, você recebe uma mensagem com "Test" no assunto. Os testes fornecem uma maneira de verificar se seu grupo de ação funciona conforme o esperado antes de ativá-lo em um ambiente de produção. Todos os detalhes e links em notificações de e-mail de teste são de um conjunto de referência de exemplo.

Use Managed Identity com Azure Action Groups (pré-visualização)

Os Azure Action Groups suportam agora Identidades Geridas para autenticação segura e sem credenciais ao invocar serviços a jusante. Esta funcionalidade está agora disponível em pré-visualização.

Execute os seguintes passos para usar identidades geridas existentes num grupo de ação:

1. Configure o grupo de ações para usar a identidade preferida para cada ação dentro do grupo de ações.
2. Garanta que as funções obrigatórias são atribuídas à identidade selecionada.
3. Conceda a uma identidade gerida acesso a um recurso (tipo de ação) para a chamada de autenticação Ver Usar o portal Azure para conceder a uma identidade gerida acesso a um recurso.

Tipos de Ação Suportados

A tabela seguinte lista os tipos de ação suportados pela identidade gerida:

Requisitos de função para grupos de ação de teste

A tabela a seguir descreve os requisitos de associação de função necessários para a funcionalidade de ações de teste:

¹ A função personalizada deve ter a permissão Microsoft.Insights/ActionGroups/* adicionada, o que também permitirá que o usuário atualize e exclua o grupo de ações. Para adicionar restrições para que o usuário só possa testar o grupo de ações, adicione o seguinte na guia JSON para a função personalizada:

{
    "properties": {
        "roleName": "",
        "description": "",
        "assignableScopes": [
            "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.Insights/ActionGroups/*"
                ],
                "notActions": [
                    "Microsoft.Insights/ActionGroups/write",
                    "Microsoft.Insights/ActionGroups/delete"
                ],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}

Criar um grupo de ações com um modelo do Gerenciador de Recursos

Você pode usar um modelo do Azure Resource Manager para configurar grupos de ações. Usando modelos, você pode configurar automaticamente grupos de ação que podem ser reutilizados em determinados tipos de alertas. Esses grupos de ação garantem que todas as partes corretas sejam notificadas quando um alerta é acionado.

Os passos básicos são:

1. Crie um modelo como um arquivo JSON que descreve como criar o grupo de ações.
2. Implante o modelo usando qualquer método de implantação.

Modelos do Gerenciador de Recursos do grupo de ações

Para criar um grupo de ações usando um modelo do Gerenciador de Recursos, crie um recurso do tipo Microsoft.Insights/actionGroups. Em seguida, preencha todas as propriedades relacionadas. Aqui estão dois modelos de exemplo que criam um grupo de ações.

Modelo 1

Este modelo descreve como criar um modelo do Gerenciador de Recursos para um grupo de ações em que as definições de ação são codificadas no modelo.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
          {
            "name": "contosoSMS",
            "countryCode": "1",
            "phoneNumber": "5555551212"
          },
          {
            "name": "contosoSMS2",
            "countryCode": "1",
            "phoneNumber": "5555552121"
          }
        ],
        "emailReceivers": [
          {
            "name": "contosoEmail",
            "emailAddress": "devops@contoso.com",
            "useCommonAlertSchema": true

          },
          {
            "name": "contosoEmail2",
            "emailAddress": "devops2@contoso.com",
            "useCommonAlertSchema": true
          }
        ],
        "webhookReceivers": [
          {
            "name": "contosoHook",
            "serviceUri": "http://requestb.in/1bq62iu1",
            "useCommonAlertSchema": true
          },
          {
            "name": "contosoHook2",
            "serviceUri": "http://requestb.in/1bq62iu2",
            "useCommonAlertSchema": true
          }
        ],
         "SecurewebhookReceivers": [
          {
            "name": "contososecureHook",
            "serviceUri": "http://requestb.in/1bq63iu1",
            "useCommonAlertSchema": false
          },
          {
            "name": "contososecureHook2",
            "serviceUri": "http://requestb.in/1bq63iu2",
            "useCommonAlertSchema": false
          }
        ],
        "eventHubReceivers": [
          {
            "name": "contosoeventhub1",
            "subscriptionId": "replace with subscription id GUID",
            "eventHubNameSpace": "contosoeventHubNameSpace",
            "eventHubName": "contosoeventHub",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Modelo 2

Este modelo descreve como criar um modelo que usa as informações de configuração do webhook como parâmetros de entrada quando o modelo é implantado.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "actionGroupName": {
      "type": "string",
      "metadata": {
        "description": "Unique name (within the Resource Group) for the Action group."
      }
    },
    "actionGroupShortName": {
      "type": "string",
      "metadata": {
        "description": "Short name (maximum 12 characters) for the Action group."
      }
    },
    "webhookReceiverName": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service Name."
      }
    },    
    "webhookServiceUri": {
      "type": "string",
      "metadata": {
        "description": "Webhook receiver service URI."
      }
    }    
  },
  "resources": [
    {
      "type": "Microsoft.Insights/actionGroups",
      "apiVersion": "2021-09-01",
      "name": "[parameters('actionGroupName')]",
      "location": "Global",
      "properties": {
        "groupShortName": "[parameters('actionGroupShortName')]",
        "enabled": true,
        "smsReceivers": [
        ],
        "emailReceivers": [
        ],
        "webhookReceivers": [
          {
            "name": "[parameters('webhookReceiverName')]",
            "serviceUri": "[parameters('webhookServiceUri')]",
            "useCommonAlertSchema": true
          }
        ]
      }
    }
  ],
  "outputs":{
      "actionGroupResourceId":{
          "type":"string",
          "value":"[resourceId('Microsoft.Insights/actionGroups',parameters('actionGroupName'))]"
      }
  }
}

Gerir grupos de ação

Depois de criar um grupo de ações, você pode visualizá-lo no portal:

1. Aceda ao portal do Azure.

2. Na página Monitor, selecione Alertas.

3. Selecione Grupos de ações.

4. Selecione o grupo de ações que deseja gerenciar. É possível:

   • Adicione, edite ou remova ações.
   • Exclua o grupo de ações.

Limites de serviço para notificações

Um número de telefone ou e-mail pode ser incluído em grupos de ação em muitas assinaturas. O Azure Monitor usa o limite de taxa para suspender notificações quando muitas notificações são enviadas para um determinado número de telefone, endereço de email ou dispositivo. A limitação de taxa garante que os alertas sejam gerenciáveis e acionáveis.

A limitação de taxa aplica-se a notificações por SMS, voz, push e e-mail. Todas as outras ações de notificação não são limitadas por taxa. A limitação da tarifa aplica-se a todas as subscrições. O limite de taxa é aplicado assim que o limite é atingido, mesmo que as mensagens sejam enviadas de várias assinaturas. Quando um endereço de e-mail é limitado por taxa, uma notificação é enviada para comunicar que o limite de taxa foi aplicado e quando o limite de taxa expira.

Para obter informações sobre limites de taxa, consulte Limites de serviço do Azure Monitor.

Email do Gestor de Recursos do Azure

Ao usar o Azure Resource Manager para notificações por email, você pode enviar emails para os membros da função de uma assinatura. O email é enviado para os membros do usuário ou grupo do Microsoft Entra ID da função. Isso inclui suporte para funções atribuídas por meio do Azure Lighthouse.

Se o seu email principal não receber notificações, configure o endereço de email para a função Email Azure Resource Manager:

1. No portal do Azure, vá para Microsoft Entra ID.

2. Selecione Usuários no menu à esquerda para mostrar uma lista de todos os usuários.

3. Selecione o usuário cujo e-mail principal você deseja revisar.

   

4. No perfil de usuário, em Propriedades, observe as informações de contato para obter um valor de email . Se estiver em branco:

   1. Na parte superior da página, selecione Editar propriedades.
   2. Insira um endereço de e-mail.
   3. Na parte superior da página, selecione Guardar.

   

Você pode ter um número limitado de ações de e-mail por grupo de ação. Para verificar quais limites se aplicam à sua situação, consulte Limites de serviço do Azure Monitor.

Quando você configura a função Gerenciador de Recursos:

• Atribua uma entidade do tipo Usuário ou Grupo à função.
• Faça a atribuição no nível da assinatura .
• Verifique se um endereço de email está configurado para o usuário em seu perfil do Microsoft Entra.

SMS

Você pode ter um número limitado de ações SMS por grupo de ação.

• Para obter informações sobre limites de taxa, consulte Limites de serviço do Azure Monitor.
• Para obter informações importantes sobre como usar notificações por SMS em grupos de ações, consulte a tabela na etapa 9 em Criar um grupo de ações no portal do Azure.

Respostas por SMS

Essas respostas são suportadas para notificações por SMS. O destinatário do SMS pode responder ao SMS com estes valores:

Você pode ter um número limitado de ações do aplicativo do Azure por grupo de ações.

Países/Regiões com suporte de notificação por SMS

Voice

Você pode ter um número limitado de ações de voz por grupo de ação. Para obter informações importantes sobre limites de taxa, consulte Limites de serviço do Azure Monitor.

Países/Regiões com suporte para notificação por voz

Para obter informações sobre preços para países/regiões suportados, consulte Preços do Azure Monitor.

Webhook

Os grupos de ação Webhook geralmente seguem estas regras quando chamados:

• Quando um webhook é invocado, se a primeira chamada falhar, ele é repetido pelo menos mais 1 vez e até 5 vezes (5 tentativas) em vários intervalos de atraso (5, 20, 40 segundos).

  Attempts	Delay
  Entre 1º e 2º	5 segundos
  Entre 2 e 3	20 segundos
  Entre o 3º e o 4º	5 segundos
  Entre 4.º e 5.º	40 segundos
  Entre 5 e 6	5 segundos

• Depois que novas tentativas de chamar o webhook falharem, nenhum grupo de ação chama o ponto de extremidade por 15 minutos.

• A lógica de repetição pressupõe que a chamada pode ser repetida. Os códigos de status 408, 429, 503, 504 ou HttpRequestException, WebException, TaskCancellationException permitem que a chamada seja repetida.

Configurar autenticação para webhook seguro

A ação de webhook seguro autentica-se à API protegida utilizando uma instância do Service Principal no inquilino Microsoft Entra da aplicação AZNS AAD Webhook Microsoft Entra. Para fazer o grupo de ação funcionar, essa Entidade de Serviço do Microsoft Entra Webhook deve ser adicionada como membro de uma função no aplicativo Microsoft Entra de destino que concede acesso ao ponto de extremidade de destino.

Para obter uma visão geral dos aplicativos e entidades de serviço do Microsoft Entra, consulte Visão geral da plataforma de identidade da Microsoft (v2.0). Siga estas etapas para aproveitar a funcionalidade segura do webhook.

Se você usar a ação webhook, seu ponto de extremidade webhook de destino deverá ser capaz de processar as várias cargas JSON que diferentes fontes de alerta emitem. Se o ponto de extremidade do webhook espera um esquema específico, por exemplo, o esquema do Microsoft Teams, use a ação Aplicativos lógicos para transformar o esquema de alerta para atender às expectativas do webhook de destino.

1. Crie um aplicativo Microsoft Entra para sua API da Web protegida. Para obter mais informações, consulte API da Web protegida: registro de aplicativo. Configure sua API protegida para ser chamada por um aplicativo daemon e exponha permissões de aplicativo, não permissões delegadas.

   Tip

   Configure sua API da Web protegida para aceitar tokens de acesso V2.0. Para obter mais informações sobre essa configuração, consulte Manifesto do aplicativo Microsoft Entra.

2. Para habilitar o grupo de ações para usar seu aplicativo Microsoft Entra, use o script do PowerShell que segue este procedimento.

   Note

   • Você deve receber a função de Administrador de Aplicativos do Microsoft Entra para executar esse script.

   • A entidade de serviço deve receber uma função de proprietário do aplicativo Microsoft Entra para poder criar, modificar ou testar a ação segura do webhook no grupo de ações.

3. Configure a ação de webhook seguro.

   1. Copie o $myApp.ObjectId valor que está no script.
   2. Na definição de ação do webhook, na caixa ID do objeto, insira o valor copiado.

   

Script seguro do PowerShell webhook

Como executar

1. Copie e cole o seguinte script na sua máquina.
2. Substitua o tenantId e o ObjectID no seu Registo de Aplicação.
3. Guardar como *.ps1
4. Abra o comando PowerShell em sua máquina e execute o script *.ps1 .
   
   

Write-Host "================================================================================================="
$scopes = "Application.ReadWrite.All"
$myTenantId = "<<Customer's tenant id>>"
$myMicrosoftEntraAppRegistrationObjectId = "<<Customer's object id from the app registration>>"
$actionGroupRoleName = "ActionGroupsSecureWebhook"
$azureMonitorActionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a" # Required. Do not change.

Connect-MgGraph -Scopes $scopes -TenantId $myTenantId

Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = @{
        AllowedMemberTypes = @("Application")
        DisplayName = $Name
        Id = New-Guid
        IsEnabled = $true
        Description = $Description
        Value = $Name
    }
    return $appRole
}

$myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
$myAppRoles = $myApp.AppRoles
$myActionGroupServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$azureMonitorActionGroupsAppId'"

Write-Host "App Roles before addition of new role.."
foreach ($role in $myAppRoles) { Write-Host $role.Value }

if ($myAppRoles.Value -contains $actionGroupRoleName)
{
    Write-Host "The Action Group role is already defined. No need to redefine.`n"
    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}
else
{
    Write-Host "The Action Group role is not defined. Defining the role and adding it."
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles += $newRole
    Update-MgApplication -ApplicationId $myApp.Id -AppRole $myAppRoles

    # Retrieve the application again to get the updated roles
    $myApp = Get-MgApplication -ApplicationId $myMicrosoftEntraAppRegistrationObjectId
    $myAppRoles = $myApp.AppRoles
}

$myServicePrincipal = Get-MgServicePrincipal -Filter "appId eq '$($myApp.AppId)'"

if ($myActionGroupServicePrincipal.DisplayName -contains "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
    Write-Host "The action group Service Principal is: " + $myActionGroupServicePrincipal.DisplayName + " and the id is: " + $myActionGroupServicePrincipal.Id
}
else
{
    Write-Host "The Service principal has NOT been defined/created in the tenant.`n"
    $myActionGroupServicePrincipal = New-MgServicePrincipal -AppId $azureMonitorActionGroupsAppId
    Write-Host "The Service Principal is been created successfully, and the id is: " + $myActionGroupServicePrincipal.Id
}

# Check if $myActionGroupServicePrincipal is not $null before trying to access its Id property
# Check if the role assignment already exists
$existingRoleAssignment = Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id | Where-Object { $_.AppRoleId -eq $myApp.AppRoles[0].Id -and $_.PrincipalId -eq $myActionGroupServicePrincipal.Id -and $_.ResourceId -eq $myServicePrincipal.Id }

# If the role assignment does not exist, create it
if ($null -eq $existingRoleAssignment) {
    Write-Host "Doing app role assignment to the new action group Service Principal`n"
    New-MgServicePrincipalAppRoleAssignment -ServicePrincipalId $myActionGroupServicePrincipal.Id -AppRoleId $myApp.AppRoles[0].Id -PrincipalId $myActionGroupServicePrincipal.Id -ResourceId $myServicePrincipal.Id
} else {
    Write-Host "Skip assigning because the role already existed."
}

Write-Host "myServicePrincipalId: " $myServicePrincipal.Id
Write-Host "My Azure AD Application (ObjectId): " $myApp.Id
Write-Host "My Azure AD Application's Roles"
foreach ($role in $myAppRoles) { Write-Host $role.Value }

Write-Host "================================================================================================="

Migrar a ação Runbook de "Executar como conta" para "Executar como identidade gerenciada"

Para garantir que você possa continuar usando as ações do runbook, você precisa:

1. Edite o grupo de ações adicionando uma nova ação do tipo Runbook de automação e escolha o mesmo runbook na lista suspensa.

   Note

   Todos os 5 runbooks na lista suspensa foram reconfigurados no back-end para autenticar usando Identidade Gerida em vez de conta Run as. A Identidade Gerenciada atribuída pelo sistema na conta de Automação seria habilitada com a função de Colaborador da VM no nível da assinatura seria atribuída automaticamente.

   

   

2. Exclua a ação de runbook antiga que está associada a um runbook do tipo Executar como conta.

3. Salve o grupo de ações.

Próximos passos

• Obtenha uma visão geral dos alertas e saiba como receber alertas.
• Saiba mais sobre o ITSM Connector.
• Saiba mais sobre o esquema webhook de alerta do registro de atividades.