Azure Portal でのアクション グループの作成および管理

Azure Monitor のデータによって、インフラストラクチャまたはアプリケーションに問題がある可能性があることが示されると、アラートがトリガーされます。 Azure Monitor、Azure Service Health、Azure Advisor は、アクション グループ を使用して、アラートについてユーザーに通知し、アクションを実行します。 アクション グループは、Azure サブスクリプションの所有者によって定義された通知設定のコレクションです。

この記事では、Azure Portal でアクション グループを作成および管理する方法について説明します。 要件に応じて、同じアクション グループまたは異なるアクション グループを使用するようにさまざまなアラートを構成できます。

各アクションは次のプロパティで構成されます。

  • 種類: 送信された通知または実行されるアクション。 たとえば、音声通話、SMS、電子メールの送信などがあります。 また、さまざまな種類の自動アクションをトリガーすることもできます。 通知とアクションの種類の詳細については、この記事で後述する「アクション固有の情報」を参照してください。
  • Name:アクション グループ内の一意識別子。
  • 詳細: 種類によって異なる対応する詳細。

Azure Resource Manager テンプレートを使用したアクション グループの構成に関する詳細については、「アクション グループの Resource Manager テンプレート」を参照してください。

アクション グループは グローバル サービスであるため、特定の Azure リージョンへの依存関係はありません。 クライアントからの要求は、任意のリージョンのアクション グループ サービスで処理できます。 たとえば、アクション グループ サービスの 1 つのリージョンがダウンした場合、トラフィックは自動的にルーティングされ、他のリージョンによって処理されます。 グローバル サービスとして、アクション グループは ディザスター リカバリー ソリューションの提供を支援します。

Azure Portal を使用したアクション グループの作成

  1. Azure ポータルにアクセスします。

  2. [モニター] を検索して選択します。 [モニター] ウィンドウでは、すべての監視設定とデータが 1 つのビューにまとめられています。

  3. [アラート] を選択し、[アクション グループ] を選択します。

    Screenshot of the Alerts page in the Azure portal. The Action groups button is called out.

  4. [作成] を選択します

    Screenshot of the Action groups page in the Azure portal. The Create button is called out.

  5. 次のセクションで説明するように情報を入力します。

基本アクション グループ設定の構成

  1. [プロジェクトの詳細] で、[サブスクリプション][リソース グループ] の値を選択します。 アクション グループは、選択したサブスクリプションとリソース グループに保存されます。

  2. [インスタンスの詳細] に、[アクション グループ名][表示名] の値を入力します。 表示名は、グループを使用して通知を送信するときに、完全なアクション グループ名の代わりに使用されます。

    Screenshot of the Create action group dialog box. Values are visible in the Subscription, Resource group, Action group name, and Display name boxes.

通知の構成

  1. [通知] タブを開くには、[次へ: 通知] を選択します。 または、ページの上部にある [通知] タブ選択します。

  2. アラートがトリガーされたときに送信する通知の一覧を定義します。 各通知について、次の情報を提供します。

    • 通知の種類: 送信する通知の種類を選択します。 使用可能なオプションは次のとおりです。

      • Azure Resource Manager ロールに電子メールを送信する: 特定のサブスクリプション レベルの Azure Resource Manager ロールに割り当てられているユーザーに電子メールを送信します。
      • 電子メール/ SMSメッセージ/プッシュ/音声:特定の受信者にさまざまな通知の種類を送信します。
    • Name:通知の一意の名前を入力します。

    • 詳細: 選択した通知タイプに基づいて、メールアドレス、電話番号、またはその他の情報を入力します。

    • 共通アラート スキーマ: 共通アラート スキーマを有効にすると、Monitor のすべてのアラート サービスにわたって 1 つの拡張可能で統一されたアラート ペイロードを持つという利点を提供します。 このスキーマの詳細については、「共通アラート スキーマ」を参照してください。

    Screenshot of the Notifications tab of the Create action group dialog box. Configuration information for an email notification is visible.

  3. [OK] を選択します。

アクションを構成する

  1. [アクション] タブを開くには、[次へ: アクション] を選択します。 または、ページの上部にある [アクション] タブを選択します。

  2. アラートがトリガーされたときにトリガーするアクションの一覧を定義します。 各アクションについて、次の情報を提供します。

    • アクションの種類: 次の種類のアクションから選択します。

      • Azure Automation Runbook
      • Azure Functions 関数
      • Azure Event Hubs に送信される通知
      • IT サービス管理 (ITSM) ツールに送信される通知
      • Azure Logic Apps ワークフロー
      • セキュリティで保護された Webhook
      • Webhook
    • Name:アクションの一意の名前を入力します。

    • 詳細: 選択したアクションタイプに適切な情報を入力します。 たとえば、Webhook URI、Azure アプリの名前、ITSM 接続、または Automation Runbook を入力できます。 ITSM アクションの場合は、作業項目 の値と、ITSM ツールに必要なその他のフィールドも入力します。

    • 共通アラート スキーマ: 共通アラート スキーマを有効にすると、Monitor のすべてのアラート サービスにわたって 1 つの拡張可能で統一されたアラート ペイロードを持つという利点を提供します。 このスキーマの詳細については、「共通アラート スキーマ」を参照してください。

    Screenshot of the Actions tab of the Create action group dialog box. Several options are visible in the Action type list.

アクション グループの作成

  1. キーと値のペアをアクション グループに割り当てる場合は、[次へ: タグ] または [タグ] タブを選択します。それ以外の場合は、この手順をスキップします。 タグを使用すると、Azure リソースを分類できます。 タグは、すべての Azure リソース、リソース グループ、サブスクリプションで使用できます。

    Screenshot of the Tags tab of the Create action group dialog box. Values are visible in the Name and Value boxes.

  2. 設定を確認するには、[確認と作成] を選択します。 この手順では、入力をすばやく確認して、必要な情報がすべて入力されていることを確認します。 問題がある場合は、ここで報告されます。 設定を確認したら、[作成] を選択してアクション グループを作成します。

    Screenshot of the Review + create tab of the Create action group dialog box. All configured values are visible.

Note

電子メールまたは SMS でユーザーに通知するようにアクションを構成すると、ユーザーは自分がアクション グループに追加されたことを示す確認を受け取ります。

Azure portal でアクション グループをテストする (プレビュー)

Azure portal でアクション グループを作成または更新する場合、アクション グループを [テスト] できます。

  1. 前のいくつかのセクションで説明したように、アクションを定義します。 次に、 [Review + create](確認と作成) を選択します。

  2. 入力した情報を一覧表示するページで、[テスト アクション グループ] を選択します。

    Screenshot of the Review + create tab of the Create action group dialog box. A Test action group button is visible.

  3. テストするサンプルの種類と、通知の種類とアクションの種類を選択します。 次に、[テスト] を選択します。

    Screenshot of the Test sample action group page. An email notification type and a webhook action type are visible.

  4. テストの実行中にウィンドウを閉じるか、[テスト設定に戻る] を選択すると、テストは停止し、テスト結果は表示されません。

    Screenshot of the Test sample action group page. A dialog box contains a Stop button and asks the user about stopping the test.

  5. テストが完了すると、成功または 失敗 のいずれかのテスト状態が表示されます。 テストが失敗し、詳細情報を取得する場合は、[詳細の表示] を選択ます。

    Screenshot of the Test sample action group page. Error details are visible, and a white X on a red background indicates that a test failed.

[エラーの詳細] セクションの情報を使用して問題を把握できます。 その後、アクション グループを編集して再度テストできます。

テストを実行して通知の種類を選択すると、件名に 「Test」 というメッセージが表示されます。 テストは、運用環境でアクション グループを有効にする前に、アクション グループが期待どおりに動作することを確認する方法を提供します。 発生したアラートについての Test 電子メール通知のすべての詳細とリンクは、参照用のサンプル セットです。

Azure Resource Manager ロール メンバーシップの要件

次の表では、 テスト アクション 機能に必要なロール メンバーシップの要件について説明します。

ユーザーのロール メンバーシップ 既存のアクション グループ 既存のリソース グループと新しいアクション グループ 新しいリソース グループと新しいアクション グループ
サブスクリプションの共同作成者 サポートされています サポートされています サポートされています
リソース グループの共同作成者 サポートされています サポートされています 該当なし
アクション グループ リソースの共同作成者 サポートされています 該当なし 該当なし
Azure Monitor 共同作成者 サポートされています サポートされています 該当なし
カスタム ロール サポートされています サポートされています 適用なし

Note

期間ごとに実行できるテストの数は限られています。 状況に適用される制限を確認するには、「音声、SMS、電子メール、Azure App プッシュ通知、 Webhook 投稿のレート制限」 を参照してくださ。

ポータルでアクション グループを構成する場合は、共通のアラート スキーマをオプトインまたはオプトアウトできます。

アクション グループの管理

アクション グループを作成した後、ポータルで表示できます。

  1. [監視] ページで、[アラート] を選択します。

  2. [アクションの管理] を選択します。

  3. 管理するアクション グループを選択します。 次のようにすることができます。

    • アクションの追加、編集、または削除。
    • アクション グループの削除。

アクション固有の情報

次のセクションでは、アクション グループで構成できるさまざまなアクションと通知について説明します。

Note

アクションまたは通知の種類ごとの数値制限を確認するには、「監視のサブスクリプション サービスの制限」を参照してください。

Automation Runbook

Automation Runbook ペイロードの制限を確認するには、「Automation の 制限」を参照してください。

アクショングループごに制限された数の Runbook アクションを保持できます。

Azure アプリのプッシュ通知

Azure mobile app へのプッシュ通知を有効にするには、 mobile app を構成するときにアカウント ID として使用する電子メール アドレスを指定します。 Azure mobile app の詳細については、「Azure mobile app を入手する」を参照してください。

アクショングループごに制限された数の Azure app アクションを保持できます。

Email

電子メールのフィルタリングが適切に構成されていることを確認してください。 電子メールは、次の電子メール アドレスから送信されます。

  • azure-noreply@microsoft.com
  • azureemail-noreply@microsoft.com
  • alerts-noreply@mail.windowsazure.com

アクショングループごに制限された数の電子メール アクションを保持できます。 レート制限の詳細については、「音声、SMS、電子メール、Azure App プッシュ通知、および Webhook 投稿のレート制限」を参照してください。

電子メールの Azure Resource Manager のロール

このタイプの通知を使用すると、サブスクリプションのロールのメンバーに電子メールを送信できます。 電子メールは、ロールの Azure Active Directory (Azure AD) ユーザー メンバーにのみ送信されます。 電子メールは Azure AD グループまたはサービス プリンシパルに送信されません。

通知電子メールは、標準の電子メール アドレスにのみ送信されます。

メインの電子メールに通知が届かない場合は、次の手順を実行します。

  1. Azure portal で、Active Directory に移動します。

  2. 左側の [すべてのユーザー] を選択ます。 右側に、ユーザーの一覧が表示されます。

  3. 確認したい [メインの電子メール] ユーザーを選択します。

    Screenshot of the Azure portal All users page. On the left, All users is selected. Information about one user is visible but is indecipherable.

  4. ユーザー プロファイルで、[連絡先情報] にある 電子メール の値を確認します。 空白の場合:

    1. ページの上部にある [編集] を選択します。
    2. 電子メール アドレスを入力します。
    3. ページの最上部で [保存] を選択します。

    Screenshot of a user profile page in the Azure portal. The Edit button and the Email box are called out.

アクショングループごに制限された数の電子メール アクションを保持できます。 状況に適用される制限を確認するには、「音声、SMS、電子メール、Azure App プッシュ通知、 Webhook 投稿のレート制限」 を参照してくださ。

Azure Resource Manager の役割を設定する場合は、次のようになります。

  1. "User" 型のエンティティをロールに割り当てます。
  2. サブスクリプション レベルで割り当てを行います。
  3. Azure AD プロファイル でユーザーの電子メール アドレスが構成されていることを確認します。

Note

顧客がサブスクリプションに新しい Azure Resource Manager ロールを追加した後、通知の受信を開始するまでに最大 24 時間かかる場合があります。

Event Hubs

Event Hubs アクションは、通知を Event Hubs に発行します。 Event Hubs の詳細については、「Azure Event Hubs - ビッグ データ ストリーミング プラットフォームとイベント インジェスト サービス」 を参照してください。 イベント受信者からアラート通知ストリームをサブスクライブできます。

関数

Functions を使用するアクションは、Functions 内の既存の HTTP トリガー エンドポイントを呼び出します。 Functions の詳細については、「Azure Functions」を参照してください。 要求を処理するには、エンドポイントで HTTP POST 動詞を処理する必要があります。

関数アクションを定義すると、関数の HTTP トリガーエンドポイントとアクセスキーがアクション定義に保存されます (https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key> など)。 関数のアクセス キーを変更する場合は、アクション グループで関数アクションを削除して再作成する必要があります。

アクショングループごに制限された数の関数アクションを保持できます。

ITSM

ITSM アクションには ITSM 接続が必要です。 ITSM 接続の作成方法については、「 ITSM 統合」 を参照してください。

アクショングループごに制限された数の ITSM アクションを保持できます。

Logic Apps

アクショングループごに制限された数の Logic Apps アクションを保持できます。

セキュリティで保護された Webhook

セキュリティで保護された Webhook アクションを使用する場合、Azure AD を使用して、アクション グループと保護された Web API (Webhook エンドポイント) 間の接続をセキュリティで保護できます。 Azure AD アプリケーションとサービス プリンシパルの概要については、Microsoft ID プラットフォーム (v2.0) の概要に関するページを参照してください。 次の手順に従って、セキュリティで保護された Webhook 機能を利用します。

Note

webhook アクションを使用する場合、ターゲット Webhook エンドポイントは、さまざまなアラートソースが出力する、さまざまな JSON ペイロードを処理できる必要があります。 Webhook エンドポイントが特定のスキーマ (Microsoft Teams スキーマなど) を必要とする場合は、Logic Apps アクションを使用して、ターゲット Webhook の想定に合わせてアラート スキーマを変換する必要があります。

  1. 保護された Web API 用の Azure AD アプリケーションを作成します。 詳細については、「保護された Web API: アプリの登録」 を参照してください。 デーモン アプリによって呼び出されるように保護された API を構成し、委任されたアクセス許可ではなく、アプリケーションのアクセス許可を公開します。 これらのアクセス許可の詳細については、「Web API がサービスまたはデーモン アプリによって呼び出された場合」 を参照してください。

    Note

    V2.0 アクセス・トークンを受け入れるように保護された Web API を構成します。 この設定の詳細については、「Azure Active Directory アプリ マニフェスト」を 参照してください。

  2. アクション グループが Azure AD アプリケーションを使用できるようにするには、次の手順にフォローする PowerShell スクリプトを使用します。

    Note

    このスクリプトを実行するには、Azure AD アプリケーション管理者ロールが割り当てられている必要があります。

    1. PowerShell スクリプトの Connect-AzureAD 呼び出しを変更して、Azure AD テナント ID を使用します。
    2. PowerShell スクリプトの $myAzureADApplicationObjectId 変数を変更して、Azure AD アプリケーションのオブジェクト ID を使用します。
    3. 変更したスクリプトを実行します。

    Note

    アクション グループでセキュリティで保護された Webhook アクションを作成または変更できるようにするには、Azure AD アプリケーションの 所有者ロール をサービス原則に割り当てる必要があります。

  3. セキュリティで保護された Webhook アクションを構成します。

    1. スクリプト内の $myApp.ObjectId 値をコピーします。
    2. Webhook アクション定義の [オブジェクト ID] ボックスに、コピーした値を入力します。

    Screenshot of the Secured Webhook dialog box in the Azure portal. The Object ID box is visible.

Secure Webhook PowerShell スクリプト

Connect-AzureAD -TenantId "<provide your Azure AD tenant ID here>"

# Define your Azure AD application's ObjectId.
$myAzureADApplicationObjectId = "<the Object ID of your Azure AD Application>"

# Define the action group Azure AD AppId.
$actionGroupsAppId = "461e8683-5575-4561-ac7f-899cc907d62a"

# Define the name of the new role that gets added to your Azure AD application.
$actionGroupRoleName = "ActionGroupsSecureWebhook"

# Create an application role with the given name and description.
Function CreateAppRole([string] $Name, [string] $Description)
{
    $appRole = New-Object Microsoft.Open.AzureAD.Model.AppRole
    $appRole.AllowedMemberTypes = New-Object System.Collections.Generic.List[string]
    $appRole.AllowedMemberTypes.Add("Application");
    $appRole.DisplayName = $Name
    $appRole.Id = New-Guid
    $appRole.IsEnabled = $true
    $appRole.Description = $Description
    $appRole.Value = $Name;
    return $appRole
}

# Get your Azure AD application, its roles, and its service principal.
$myApp = Get-AzureADApplication -ObjectId $myAzureADApplicationObjectId
$myAppRoles = $myApp.AppRoles
$actionGroupsSP = Get-AzureADServicePrincipal -Filter ("appId eq '" + $actionGroupsAppId + "'")

Write-Host "App Roles before addition of new role.."
Write-Host $myAppRoles

# Create the role if it doesn't exist.
if ($myAppRoles -match "ActionGroupsSecureWebhook")
{
    Write-Host "The Action Group role is already defined.`n"
}
else
{
    $myServicePrincipal = Get-AzureADServicePrincipal -Filter ("appId eq '" + $myApp.AppId + "'")

    # Add the new role to the Azure AD application.
    $newRole = CreateAppRole -Name $actionGroupRoleName -Description "This is a role for Action Group to join"
    $myAppRoles.Add($newRole)
    Set-AzureADApplication -ObjectId $myApp.ObjectId -AppRoles $myAppRoles
}

# Create the service principal if it doesn't exist.
if ($actionGroupsSP -match "AzNS AAD Webhook")
{
    Write-Host "The Service principal is already defined.`n"
}
else
{
    # Create a service principal for the action group Azure AD application and add it to the role.
    $actionGroupsSP = New-AzureADServicePrincipal -AppId $actionGroupsAppId
}

New-AzureADServiceAppRoleAssignment -Id $myApp.AppRoles[0].Id -ResourceId $myServicePrincipal.ObjectId -ObjectId $actionGroupsSP.ObjectId -PrincipalId $actionGroupsSP.ObjectId

Write-Host "My Azure AD Application (ObjectId): " + $myApp.ObjectId
Write-Host "My Azure AD Application's Roles"
Write-Host $myApp.AppRoles

sms

レート制限の詳細については、「音声、SMS、電子メール、Azure App プッシュ通知、および Webhook 投稿のレート制限」を参照してください。

アクション グループでの SMS 通知の使用に関する重要な情報については、「アクション グループでの SMS アラートの動作」 を参照してください。

アクショングループごに制限された数の SMS アクションを保持できます。

Note

Azure portal で国/地域コードを選択できない場合、SMS は国/地域ではサポートされていません。 国/地域コードが利用できない場合は、アイデアを共有するで国/地域を追加するために投票できます。 その間、回避策として、お住まいの国/地域でサポートを提供するサードパーティの SMS プロバイダーに Webhook を呼び出すようにアクショングループを構成します。

サポートされている国/地域の価格の詳細については、「Azure Monitor の価格」を参照してください。

SMS 通知がサポートされている国

国番号
61 オーストラリア
43 オーストリア
32 ベルギー
55 ブラジル
1 カナダ
56 チリ
86 中国
420 チェコ共和国
45 デンマーク
372 エストニア
358 フィンランド
33 フランス
49 ドイツ
852 香港特別行政区
91 インド
353 アイルランド
972 イスラエル
39 イタリア
81 日本
352 ルクセンブルク
60 マレーシア
52 メキシコ
31 オランダ
64 ニュージーランド
47 ノルウェー
351 ポルトガル
1 プエルトリコ
40 ルーマニア
7 ロシア
65 シンガポール
27 南アフリカ
82 韓国
34 スペイン
41 スイス
886 台湾
971 UAE
44 イギリス
1 アメリカ合衆国

音声

レート制限に関する重要な情報については、「音声、SMS、電子メール、Azure App プッシュ通知、 Webhook 投稿のレート制限」を参照してください。

アクショングループごに制限された数の音声アクションを保持できます。

Note

Azure portal で国/地域コードを選択できない場合、音声通話はご利用の国/地域ではサポートされていません。 国/地域コードが利用できない場合は、アイデアを共有するで国/地域を追加するために投票できます。 その間、回避策として、お住まいの国/地域でサポートを提供するサードパーティの音声通話プロバイダーに Webhook を呼び出すようにアクション グループを構成します。

アクション グループが音声通知を現在サポートしている国番号は、米国の場合 +1 のみです。

サポートされている国/地域の価格の詳細については、「Azure Monitor の価格」を参照してください。

Webhook

Note

webhook アクションを使用する場合、ターゲット Webhook エンドポイントは、さまざまなアラートソースが出力する、さまざまな JSON ペイロードを処理できる必要があります。 Webhook エンドポイントが特定のスキーマ (Microsoft Teams スキーマなど) を必要とする場合は、Logic Apps アクションを使用して、ターゲット Webhook の想定に合わせてアラート スキーマを変換する必要があります。

Webhook アクショングループは、次の規則を使用します。

  • Webhook 呼び出しは最大 3 回試行されます。

  • 最初の呼び出しでは、応答が返るまで 10 秒間待機します。

  • 2 回目と 3 回目の試行では、応答が返るまで 30 秒間待機します。

  • 呼び出しは、以下のいずれかの条件が満たされた場合に再試行されます。

    • タイムアウト期間内に応答を受信しません。
    • 次のいずれかの HTTP 状態コードが返されます: 408、429、503、または 504。
  • Webhook を呼び出そうとする試みが 3 回失敗した場合、アクション グループは 15 分間エンドポイントを呼び出しません。

送信元 IP アドレスの範囲については、「アクション グループの IP アドレス」を参照してください。

次のステップ