powiadomienia Ochrona tożsamości Microsoft Entra

  • Artykuł

Ochrona tożsamości Microsoft Entra wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, aby ułatwić zarządzanie ryzykiem użytkownika i wykrywaniem ryzyka:

  • Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników
  • Wiadomość e-mail z podsumowaniem tygodniowym

Ten artykuł zawiera omówienie obu wiadomości e-mail z powiadomieniami.

Uwaga

Nie obsługujemy wysyłania wiadomości e-mail do użytkowników w rolach przypisanych do grupy.

Ważne

Domyślnie użytkownicy aktywnie przypisani globalny Administracja istrator, Administracja istrator zabezpieczeń lub role czytelnika zabezpieczeń są automatycznie dodawane do tej listy, jeśli ten użytkownik ma skonfigurowany prawidłowy "adres e-mail" lub "Alternatywny adres e-mail". Jeśli użytkownik został zarejestrowany w usłudze PIM na potrzeby podwyższania jego uprawnień do jednej z tych ról na żądanie, otrzyma on wiadomość e-mail tylko wtedy, gdy ma podwyższone uprawnienia w chwili wysłania tej wiadomości.

Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników

W odpowiedzi na wykryte konto na ryzyko Ochrona tożsamości Microsoft Entra generuje alert e-mail z informacją o wykrytym ryzyku przez użytkowników jako temat. Wiadomość e-mail zawiera link do raportu Użytkownicy oflagowani w celu uzyskania ryzyka. Najlepszym rozwiązaniem jest natychmiastowe zbadanie zagrożonych użytkowników.

Konfiguracja tego alertu umożliwia określenie, na jakim poziomie ryzyka użytkownika ma zostać wygenerowany alert. Wiadomość e-mail jest generowana, gdy poziom ryzyka użytkownika osiągnie określony poziom. Jeśli na przykład ustawisz zasady, aby otrzymywać alerty dotyczące średniego ryzyka związanego z użytkownikiem, a wskaźnik ryzyka użytkownika zostanie przeniesiony na średnie ryzyko ze względu na ryzyko logowania w czasie rzeczywistym, otrzymasz wiadomość e-mail wykrytą przez użytkowników. Jeśli użytkownik ma kolejne wykrycia ryzyka, które powodują obliczenie poziomu ryzyka użytkownika na określony poziom ryzyka (lub wyższy), otrzymasz więcej wiadomości e-mail wykrytych przez użytkownika, gdy ocena ryzyka użytkownika zostanie ponownie obliczona. Jeśli na przykład użytkownik przeniesie się na średnie ryzyko 1 stycznia, otrzymasz powiadomienie e-mail, jeśli ustawienia zostaną ustawione na alerty dotyczące średniego ryzyka. Jeśli ten sam użytkownik ma inne wykrywanie ryzyka w dniu 5 stycznia, a wynik ryzyka użytkownika zostanie ponownie obliczony, ale nadal jest średni, otrzymasz kolejne powiadomienie e-mail.

Dodatkowe powiadomienie e-mail jest wysyłane, jeśli czas zmiany poziomu ryzyka użytkownika jest nowszy niż ostatnia wysłana wiadomość e-mail. Na przykład użytkownik loguje się 1 stycznia o 5:00 i nie ma ryzyka w czasie rzeczywistym (co oznacza, że żadna wiadomość e-mail nie zostanie wygenerowana z powodu tego logowania). 10 minut później, o 5:10, ten sam użytkownik loguje się ponownie i ma duże ryzyko w czasie rzeczywistym, powodując poziom ryzyka użytkownika, aby przejść do wysokiego i wysłać wiadomość e-mail. Następnie o 5:15, ocena ryzyka offline dla oryginalnego logowania o 5:00 zmienia się na wysokie ryzyko z powodu przetwarzania ryzyka offline. Inny użytkownik oflagowany pod kątem ryzykownej poczty e-mail nie zostanie wysłany, ponieważ czas pierwszego logowania był przed drugim logowaniem, które już wyzwoliło powiadomienie e-mail.

Aby zapobiec przeciążeniu wiadomości e-mail, w ciągu 5-sekundowego okresu otrzymasz tylko jedną wiadomość e-mail. Jeśli wielu użytkowników przejdzie do określonego poziomu ryzyka w tym samym 5-sekundowym okresie, zagregujemy dane i wyślemy jedną wiadomość e-mail dla wszystkich z nich.

Jeśli Twoja organizacja włączyła samodzielne korygowanie zgodnie z opisem w artykule, środowisko użytkownika z Ochrona tożsamości Microsoft Entra istnieje prawdopodobieństwo, że użytkownik może skorygować swoje ryzyko przed uzyskaniem możliwości zbadania. Możesz zobaczyć ryzykownych użytkowników i ryzykownych logowań, które zostały już skorygowane przez dodanie skorygowanego do filtru Stan ryzyka w raportach Ryzykownych użytkowników lub Ryzykownych logowań .

Zrzut ekranu przedstawiający przykładowych użytkowników zagrożonych wiadomościami e-mail.

Konfigurowanie użytkowników zagrożonych wykrytych alertów

Jako administrator możesz ustawić następujące ustawienia:

  • Poziom ryzyka użytkownika, który wyzwala generowanie tej wiadomości e-mail — domyślnie poziom ryzyka jest ustawiony na "Wysokie".
  • Adresaci tej wiadomości e-mail
    • Opcjonalnie możesz dodać niestandardową pocztę e-mail w tym miejscu zdefiniowani użytkownicy muszą mieć odpowiednie uprawnienia do wyświetlania połączonych raportów.

Skonfiguruj wiadomości e-mail użytkowników zagrożonych w centrum administracyjnym firmy Microsoft w obszarze Ochrona użytkowników usługi>Identity Protection>zagrożonych wykrytych alertów.

Wiadomość e-mail z podsumowaniem tygodniowym

Cotygodniowa wiadomość e-mail zawierająca podsumowanie nowych wykryć ryzyka.
Zawartość:

  • Wykryto nowych ryzykownych użytkowników
  • Wykryto nowe ryzykowne logowania (w czasie rzeczywistym)
  • Linki do powiązanych raportów w usłudze Identity Protection

Zrzut ekranu przedstawiający przykładową wiadomość e-mail z podsumowaniem tygodniowym.

Konfigurowanie wiadomości e-mail szyfrowane co tydzień

Jako administrator możesz przełączyć wysyłanie cotygodniowej wiadomości e-mail szyfrowanych i wybrać użytkowników przypisanych do odbierania wiadomości e-mail.

Skonfiguruj cotygodniowe wiadomości e-mail szyfrowane w ramach tygodniowego skrótu usługi Microsoft Entra Admin Center>Protection Identity>Protection.>

Zobacz też