Microsoft Entra ID-védelem értesítések

Microsoft Entra ID-védelem kétféle automatikus értesítési e-mailt küld a felhasználói kockázatok és kockázatészlelések kezeléséhez:

  • Veszélyeztetett felhasználók észlelésére vonatkozó e-mail
  • Heti összefoglaló e-mail

Ez a cikk áttekintést nyújt mindkét értesítési e-mailről.

Feljegyzés

Nem támogatjuk e-mailek küldését a csoporthoz rendelt szerepkörökben lévő felhasználóknak.

Veszélyeztetett felhasználók észlelésére vonatkozó e-mail

Az észlelt, veszélyben lévő fiókra válaszul Microsoft Entra ID-védelem e-mail-riasztást hoz létre, amely a veszélyeztetett felhasználókat tárgyként észleli. Az e-mail tartalmazza a kockázati jelentésként megjelölt felhasználókra mutató hivatkozást. Az ajánlott eljárás az, hogy vizsgálja ki a veszélyeztetett felhasználókat.

A riasztás konfigurációja lehetővé teszi, hogy megadhatja, hogy milyen felhasználói kockázati szinten hozza létre a riasztást. Az e-mail akkor jön létre, amikor a felhasználó kockázati szintje eléri a megadott értéket. Ha például úgy állítja be a szabályzatot, hogy közepes felhasználói kockázattal kapcsolatos riasztást küldjön, és a felhasználó John felhasználói kockázati pontszáma közepes kockázatúra változik valós idejű bejelentkezési kockázat miatt, akkor a kockázatnak kitett felhasználók e-maileket kapnak. Ha a felhasználó további kockázatészlelésekkel rendelkezik, amelyek miatt a felhasználói kockázati szint kiszámítása a megadott kockázati szint (vagy magasabb) lesz, akkor a felhasználói kockázati pontszám újraszámításakor több, a kockázatnak kitett felhasználó által észlelt e-mailt kap. Ha például egy felhasználó január 1-jén közepes kockázatúra változik, e-mailben értesítést kap, ha a beállítások közepes kockázattal kapcsolatos riasztásra vannak beállítva. Ha ugyanannak a felhasználónak január 5-én egy másik kockázatészlelése van, és a felhasználói kockázati pontszám újraszámításra kerül, de még mindig közepes, egy másik e-mail-értesítést kap.

A rendszer további e-mail-értesítést küld, ha a felhasználói kockázati szint változásának időpontja újabb, mint az utolsó elküldött e-mail. Egy felhasználó például január 1-jén 5 órakor jelentkezik be, és nincs valós idejű kockázat (ami azt jelenti, hogy a bejelentkezés miatt nem jön létre e-mail). 10 perccel később, 05:10-kor ugyanaz a felhasználó ismét bejelentkezik, és nagy valós idejű kockázattal rendelkezik, ami miatt a felhasználó kockázati szintje magasra vált, és e-mailt kell küldenie. Ezután 05:15-kor az eredeti bejelentkezés offline kockázati pontszáma 5:00-kor magas kockázatúra változik az offline kockázat feldolgozása miatt. A kockázatos e-mail-címként megjelölt másik felhasználó nem lesz elküldve, mivel az első bejelentkezés időpontja a második bejelentkezés előtt volt, amely már aktivált egy e-mail-értesítést.

Az e-mailek túlterhelésének megakadályozása érdekében csak egy e-mailt kap 5 másodpercen belül. Ha ugyanazon 5 másodperces időszak alatt több felhasználó is a megadott kockázati szintre lép, összesítjük az adatokat, és egy e-mailt küldünk mindegyiknek.

Ha a szervezet engedélyezte az önkiszolgáló szervizelést a cikkben leírtak szerint, a felhasználói élmények Microsoft Entra ID-védelem van esély arra, hogy a felhasználó orvosolja a kockázatot, mielőtt lehetősége lenne kivizsgálni. A kockázatos felhasználók és a kockázatos bejelentkezések már orvosolva vannak, ha a Kockázatos felhasználók vagy a Kockázatos bejelentkezési jelentésekben a "Szervizelt" állapotszűrőhözhozzáadja a "Szervizelt" elemet.

A screenshot showing a sample users at risk detected email.

Veszélyben lévő felhasználók által észlelt riasztások konfigurálása

Rendszergazdaként az alábbiakat állíthatja be:

  • Az e-mail generálását kiváltó felhasználói kockázati szint – Alapértelmezés szerint a kockázati szint "Magas" kockázatra van állítva.
  • Az e-mail címzettjei – A Globális Rendszergazda istrator, a Biztonsági Rendszergazda istrator vagy a Biztonsági olvasó szerepkör felhasználói automatikusan felkerülnek a listára. Minden szerepkör első 20 tagjának igyekszünk e-mailt küldeni. Ha egy felhasználó úgy van regisztrálva a PIM-ben, hogy igény szerint ezen szerepkörök valamelyikébe lépjen, csak akkor kap e-maileket, ha az e-mail küldésekor az adott szerepkörrel rendelkezik.
    • Ha szeretné, hozzáadhat egyéni e-maileket, a megadott felhasználóknak rendelkezniük kell a csatolt jelentések megtekintéséhez szükséges engedélyekkel.

Konfigurálja a veszélyeztetett felhasználók e-mailjeinek konfigurálását a Microsoft Entra felügyeleti központban a védelmi>identitásvédelmi>felhasználók által észlelt riasztások alatt.

Heti összefoglaló e-mail

A heti kivonatoló e-mail az új kockázatészlelések összegzését tartalmazza.
Tartalma:

  • Új kockázatos felhasználókat észleltek
  • Új kockázatos bejelentkezések észlelhetők (valós időben)
  • Az Identity Protection kapcsolódó jelentéseire mutató hivatkozások

A screenshot showing a sample weekly digest email.

A Globális rendszergazda, Biztonsági rendszergazda vagy Biztonsági olvasó szerepkörrel rendelkező felhasználók automatikusan felkerülnek erre a listára. Minden szerepkör első 20 tagjának igyekszünk e-mailt küldeni. Ha egy felhasználó regisztrálva van a PIM-ben, hogy igény szerint emelje az egyik szerepkört, akkor csak akkor kap e-maileket, ha az e-mail küldésekor emelt szintűek

Heti kivonatoló e-mailek konfigurálása

Rendszergazdaként be- vagy kikapcsolhatja a heti kivonatos e-mailek küldését, és kiválaszthatja az e-mail fogadásához hozzárendelt felhasználókat.

Konfigurálja a heti kivonatoló e-maileket a Microsoft Entra Felügyeleti központ>Protection>Identity Protection>Heti kivonatában.

Lásd még