Microsoft Entra ID Protection の通知

  • [アーティクル]

Microsoft Entra ID Protection では、ユーザー リスクとリスク検出の管理に役立つ以下の 2 種類の自動通知メールを送信します。

  • リスクにさらされているユーザーの検出メール
  • 週間ダイジェスト電子メール

この記事では、両方の通知メールの概要を説明します。

Note

グループに割り当てられたロールに含まれているユーザーへの電子メールの送信はサポートされていません。

重要

既定では、全体管理者、セキュリティ管理者、またはセキュリティ閲覧者ロールがアクティブに割り当てられているユーザーは、有効な "電子メール" または "連絡用メール" がそのユーザーに構成されている場合、この一覧に自動的に追加されます。 ユーザーがこれらのロールのいずれかにオンデマンドで昇格するように PIM に登録されている場合は、メールが送信される時点で昇格されている場合にのみメールを受け取ります

危険な状態のユーザーが検出された電子メール

検出されたリスクのあるアカウントに対して、Microsoft Entra ID Protection ではリスクのあるユーザーが検出されたという件名のメール アラートを生成します。 メールには、リスクのフラグが設定されたユーザー レポートへのリンクが含まれます。 ベスト プラクティスとして、危険な状態のユーザーをすぐに調べる必要があります。

このアラートを構成すると、アラートを生成するユーザー リスク レベルを指定できます。 ユーザーのリスク レベルが、指定されたものに達するとメールが生成されます。 たとえば、ユーザー リスクが中になったら警告を出すようにポリシーを設定していて、ユーザーのリスク スコアが、リアルタイム サインイン リスクが原因で中リスクに移行した場合は、危険な状態のユーザーが検出されたというメールを受信します。 このユーザーに対して後続のリスク検出が行われ、それによってユーザー リスク レベルの計算が、指定されたリスク レベル (またはそれ以上) になった場合は、ユーザー リスク スコアが再計算されたときに、危険な状態のユーザーが検出されたという追加のメールを受け取ります。 たとえば、ユーザーが 1 月 1 日に中リスクに移行すると、中リスクのときに警告を出すように設定されている場合は、メール通知を受け取ります。 次に、同じユーザーに対して 1 月 5 日に新たなリスク検出が行われて、ユーザー リスク スコアが再計算され、それでもまだ中だった場合は、新たなメール通知を受け取ります。

ユーザー リスク レベルの変更が最後のメールが送信されたときよりも最近である場合、追加のメール通知が送信されます。 たとえば、1 月 1 日の午前 5 時にユーザーがサインインし、リアルタイム リスクがないとします (つまり、そのサインインが原因でメールが生成されることはありません)。 10 分後の午前 5:10 に、同じユーザーがもう一度サインインし、リアルタイム リスクが高くなり、それによってユーザー リスク レベルが高に移行し、メールが送信されます。 その後、午前 5:15 に、午前 5 時に行われた元のサインインのオフライン リスク スコアが、オフライン リスク処理により高リスクに変わります。 最初のサインインの時刻は、既にメール通知をトリガーした 2 回目のサインインより前だったので、ユーザーにリスクのフラグが立てられたというもう 1 通のメールは送信されません。

メールの過負荷を防ぐために、メールを受信するのは、5 秒間に 1 通のみとなります。 指定されたリスク レベルへ移行したユーザーが同じ 5 秒間に複数いた場合、データが集約され、全員に 1 通の電子メールが送信されます。

Microsoft Entra ID Protection のユーザー エクスペリエンス」の記事で説明されているように、組織で自己修復を有効にしている場合は、調査を行う前に、ユーザーが自分のリスクを修復できる可能性があります。 既に修復されている危険なユーザーや危険なサインインを確認するには、危険なユーザーまたは危険なサインインのいずれかのレポートの [リスクの状態] フィルターに "修復済み" を追加します。

危険な状態のサンプル ユーザーが検出されたというメールを示すスクリーンショット。

"リスクのあるユーザーが検出された警告" を構成する

管理者は以下を設定することができます。

  • このメールの生成をトリガーするユーザー リスク レベル - 既定では、リスク レベルは "高" リスクに設定されます。
  • この電子メールの受信者
    • 必要に応じて、[ここでカスタム メールを追加する] ことができます。定義されているユーザーがリンク レポートを表示するには適切なアクセス許可が必要です。

危険な状態のユーザーの電子メールは、Microsoft Entra 管理センター[保護]>[Identity Protection]>[危険な状態のユーザーが検出されたアラート] で構成します。

週間ダイジェスト電子メール

週間ダイジェスト電子メールには、新しいリスク検出の概要が含まれます。
次の情報が含まれます。

  • 新しい危険なユーザーが検出されました
  • 新しい危険なサインインが検出されました (リアルタイムで)
  • Identity Protection の関連するレポートへのリンク

週次ダイジェスト メールのサンプルを示すスクリーンショット。

週刊ダイジェストの電子メールを構成する

管理者は、週刊ダイジェストの電子メールの送信を有効にしたり無効にしたりできるほか、メールの受信者として割り当てるユーザーを選択することができます。

週間ダイジェストの電子メールは、Microsoft Entra 管理センター>[保護]>[Identity Protection]>[週間ダイジェスト] で構成します。

関連項目