Oznámení microsoft Entra ID Protection

  • Článek

Microsoft Entra ID Protection odesílá dva typy automatizovaných e-mailů s oznámeními, které vám pomůžou se správou rizik uživatelů a detekcí rizik:

  • E-mail s detekovanými ohroženými uživateli
  • E-mail s týdenním přehledem

Tento článek obsahuje přehled obou e-mailů s oznámeními.

Poznámka:

Nepodporujeme posílání e-mailů uživatelům v rolích přiřazených skupinou.

Důležité

Ve výchozím nastavení se do tohoto seznamu automaticky přiřazují role Globální Správa istrator, Security Správa istrator nebo Security Reader, pokud má daný uživatel nakonfigurovaný platný e-mail nebo alternativní e-mail. Pokud je uživatel zaregistrovaný v PIM s možností zvýšení oprávnění na jednu z těchto rolí na vyžádání, bude dostávat tyto e-maily jenom v případě, že jsou jeho oprávnění v době odeslání e-mailu zvýšená.

E-mail s detekovanými ohroženými uživateli

V reakci na zjištěný účet v ohrožení microsoft Entra ID Protection generuje e-mailové upozornění s rizikovými uživateli zjištěnými jako předmět. E-mail obsahuje odkaz na sestavu Uživatelé označená příznakem rizika . Osvědčeným postupem je ohrožené uživatelé okamžitě prozkoumat.

Konfigurace pro tuto výstrahu umožňuje určit, na jaké úrovni rizika uživatele chcete výstrahu vygenerovat. E-mail se vygeneruje, když úroveň rizika uživatele dosáhne zadané úrovně. Pokud například nastavíte zásadu tak, aby upozorňovala na střední riziko uživatele a rizikové skóre uživatele se kvůli riziku přihlášení v reálném čase přesune na střední riziko, obdržíte zjištěné e-maily s rizikem uživatelů. Pokud má uživatel následné detekce rizik, které způsobují, že výpočet na úrovni rizika uživatele je zadanou úrovní rizika (nebo vyšší), obdržíte při přepočtu rizikového skóre uživatele e-maily s větším rizikem uživatele. Pokud se například uživatel přesune na střední riziko 1. ledna, obdržíte e-mailové oznámení, pokud je vaše nastavení nastaveno na upozornění na střední riziko. Pokud má stejný uživatel další detekci rizik 5. ledna a skóre rizika uživatele se přepočítá, ale je stále střední, dostanete další e-mailové oznámení.

Pokud je čas změny na úrovni rizika uživatele novější než poslední odeslaná e-mailová zpráva, odešle se e-mailové oznámení navíc. Uživatel se například přihlásí 1. ledna na 5:00 a neexistuje žádné riziko v reálném čase (to znamená, že by se kvůli přihlášení nevygeneroval žádný e-mail). 10 minut později, v 5:10, se stejný uživatel znovu přihlásí a má vysoké riziko v reálném čase, což způsobí, že se úroveň rizika uživatele přesune na vysokou úroveň a odešle se e-mail. Pak se v 5:15 změní skóre rizika offline pro původní přihlášení na 5 AM na vysoké riziko kvůli zpracování offline rizika. Jiný uživatel označený příznakem rizikového e-mailu by se neposílal, protože čas prvního přihlášení byl před druhým přihlášením, který už aktivoval e-mailové oznámení.

Pokud chcete zabránit přetížení e-mailů, dostanete do 5sekundového časového období jenom jeden e-mail. Pokud se během stejného 5sekundového časového období přesune více uživatelů na zadanou úroveň rizika, agregujeme data a pošleme jim jeden e-mail.

Pokud vaše organizace povolila samoobslužnou nápravu, jak je popsáno v článku, uživatelské zkušenosti s Microsoft Entra ID Protection mají šanci, že uživatel může napravit své riziko dříve, než budete mít příležitost prozkoumat. Můžete zobrazit rizikové uživatele a rizikové přihlášení, které už byly opravovány přidáním nápravy do filtru stav rizika v sestavách rizikových uživatelů nebo rizikových přihlášení.

Konfigurace rizikových výstrah uživatelů

Jako správce můžete nastavit:

  • Úroveň rizika uživatele, která aktivuje generování tohoto e-mailu – ve výchozím nastavení je úroveň rizika nastavená na Vysoké.
  • Příjemci tohoto e-mailu
    • Volitelně můžete sem přidat vlastní e-maily, které uživatelé definovali, musí mít příslušná oprávnění k zobrazení propojených sestav.

Nakonfigurujte ohrožené e-maily v Centru pro správu Microsoft Entra v části Uživatelé ochrany>Identity Protection>s rizikem zjištěná upozornění.

E-mail s týdenním přehledem

Týdenní e-mail s hodnotou hash obsahuje souhrn nových detekcí rizik.
Patří mezi ně:

  • Detekováni noví rizikoví uživatelé
  • Zjistila se nová riziková přihlášení (v reálném čase)
  • Odkazy na související sestavy ve službě Identity Protection

Snímek obrazovky znázorňující ukázkový týdenní e-mail s hodnotou hash

Konfigurace týdenního e-mailu s hodnotou hash

Jako správce můžete zapnout nebo vypnout odesílání týdenního e-mailu s hodnotou digest a zvolit uživatele, kteří mají přiřazené e-maily.

Nakonfigurujte týdenní digest e-mail v týdenním přehledu Identity Protection>>v Centru>pro správu Microsoft Entra.

Viz také