Microsoft Entra ID-védelem értesítések
Microsoft Entra ID-védelem kétféle automatikus értesítési e-mailt küld a felhasználói kockázatok és kockázatészlelések kezeléséhez:
- Veszélyeztetett felhasználók észlelésére vonatkozó e-mail
- Heti összefoglaló e-mail
Ez a cikk áttekintést nyújt mindkét értesítési e-mailről.
Feljegyzés
Nem támogatjuk e-mailek küldését a csoporthoz rendelt szerepkörökben lévő felhasználóknak.
Veszélyeztetett felhasználók észlelésére vonatkozó e-mail
Az észlelt, veszélyben lévő fiókra válaszul Microsoft Entra ID-védelem e-mail-riasztást hoz létre, amely a veszélyeztetett felhasználókat tárgyként észleli. Az e-mail tartalmazza a kockázati jelentésként megjelölt felhasználókra mutató hivatkozást. Az ajánlott eljárás az, hogy vizsgálja ki a veszélyeztetett felhasználókat.
A riasztás konfigurációja lehetővé teszi, hogy megadhatja, hogy milyen felhasználói kockázati szinten hozza létre a riasztást. Az e-mail akkor jön létre, amikor a felhasználó kockázati szintje eléri a megadott értéket. Ha például úgy állítja be a szabályzatot, hogy közepes felhasználói kockázattal kapcsolatos riasztást küldjön, és a felhasználó John felhasználói kockázati pontszáma közepes kockázatúra változik valós idejű bejelentkezési kockázat miatt, akkor a kockázatnak kitett felhasználók e-maileket kapnak. Ha a felhasználó további kockázatészlelésekkel rendelkezik, amelyek miatt a felhasználói kockázati szint kiszámítása a megadott kockázati szint (vagy magasabb) lesz, akkor a felhasználói kockázati pontszám újraszámításakor több, a kockázatnak kitett felhasználó által észlelt e-mailt kap. Ha például egy felhasználó január 1-jén közepes kockázatúra változik, e-mailben értesítést kap, ha a beállítások közepes kockázattal kapcsolatos riasztásra vannak beállítva. Ha ugyanannak a felhasználónak január 5-én egy másik kockázatészlelése van, és a felhasználói kockázati pontszám újraszámításra kerül, de még mindig közepes, egy másik e-mail-értesítést kap.
A rendszer további e-mail-értesítést küld, ha a felhasználói kockázati szint változásának időpontja újabb, mint az utolsó elküldött e-mail. Egy felhasználó például január 1-jén 5 órakor jelentkezik be, és nincs valós idejű kockázat (ami azt jelenti, hogy a bejelentkezés miatt nem jön létre e-mail). 10 perccel később, 05:10-kor ugyanaz a felhasználó ismét bejelentkezik, és nagy valós idejű kockázattal rendelkezik, ami miatt a felhasználó kockázati szintje magasra vált, és e-mailt kell küldenie. Ezután 05:15-kor az eredeti bejelentkezés offline kockázati pontszáma 5:00-kor magas kockázatúra változik az offline kockázat feldolgozása miatt. A kockázatos e-mail-címként megjelölt másik felhasználó nem lesz elküldve, mivel az első bejelentkezés időpontja a második bejelentkezés előtt volt, amely már aktivált egy e-mail-értesítést.
Az e-mailek túlterhelésének megakadályozása érdekében csak egy e-mailt kap 5 másodpercen belül. Ha ugyanazon 5 másodperces időszak alatt több felhasználó is a megadott kockázati szintre lép, összesítjük az adatokat, és egy e-mailt küldünk mindegyiknek.
Ha a szervezet engedélyezte az önkiszolgáló szervizelést a cikkben leírtak szerint, a felhasználói élmények Microsoft Entra ID-védelem van esély arra, hogy a felhasználó orvosolja a kockázatot, mielőtt lehetősége lenne kivizsgálni. A kockázatos felhasználók és a kockázatos bejelentkezések már orvosolva vannak, ha a Kockázatos felhasználók vagy a Kockázatos bejelentkezési jelentésekben a "Szervizelt" állapotszűrőhözhozzáadja a "Szervizelt" elemet.
Veszélyben lévő felhasználók által észlelt riasztások konfigurálása
Rendszergazdaként az alábbiakat állíthatja be:
- Az e-mail generálását kiváltó felhasználói kockázati szint – Alapértelmezés szerint a kockázati szint "Magas" kockázatra van állítva.
- Az e-mail címzettjei – A Globális Rendszergazda istrator, a Biztonsági Rendszergazda istrator vagy a Biztonsági olvasó szerepkör felhasználói automatikusan felkerülnek a listára. Minden szerepkör első 20 tagjának igyekszünk e-mailt küldeni. Ha egy felhasználó úgy van regisztrálva a PIM-ben, hogy igény szerint ezen szerepkörök valamelyikébe lépjen, csak akkor kap e-maileket, ha az e-mail küldésekor az adott szerepkörrel rendelkezik.
- Ha szeretné, hozzáadhat egyéni e-maileket, a megadott felhasználóknak rendelkezniük kell a csatolt jelentések megtekintéséhez szükséges engedélyekkel.
Konfigurálja a veszélyeztetett felhasználók e-mailjeinek konfigurálását a Microsoft Entra felügyeleti központban a védelmi>identitásvédelmi>felhasználók által észlelt riasztások alatt.
Heti összefoglaló e-mail
A heti kivonatoló e-mail az új kockázatészlelések összegzését tartalmazza.
Tartalma:
- Új kockázatos felhasználókat észleltek
- Új kockázatos bejelentkezések észlelhetők (valós időben)
- Az Identity Protection kapcsolódó jelentéseire mutató hivatkozások
A Globális rendszergazda, Biztonsági rendszergazda vagy Biztonsági olvasó szerepkörrel rendelkező felhasználók automatikusan felkerülnek erre a listára. Minden szerepkör első 20 tagjának igyekszünk e-mailt küldeni. Ha egy felhasználó regisztrálva van a PIM-ben, hogy igény szerint emelje az egyik szerepkört, akkor csak akkor kap e-maileket, ha az e-mail küldésekor emelt szintűek
Heti kivonatoló e-mailek konfigurálása
Rendszergazdaként be- vagy kikapcsolhatja a heti kivonatos e-mailek küldését, és kiválaszthatja az e-mail fogadásához hozzárendelt felhasználókat.
Konfigurálja a heti kivonatoló e-maileket a Microsoft Entra Felügyeleti központ>Protection>Identity Protection>Heti kivonatában.