Notificações da Proteção da ID do Microsoft Entra

  • Artigo

A Proteção de ID do Microsoft Entra envia dois tipos de emails de notificação automatizados para ajudá-lo a gerenciar o risco do usuário e as detecções de risco:

  • Email detectado dos usuários em risco
  • Email de resumo semanal

Este artigo fornece uma visão geral de ambos os emails de notificação.

Observação

Não damos suporte ao envio de e-mails para usuários em funções atribuídas ao grupo.

Importante

Por padrão, usuários com as funções Administrador global, Administrador da segurança ou Leitor de segurança atribuídas ativamente serão adicionados automaticamente a esta lista se eles tiverem um "Email" ou "Email alternativo" válido configurado. Se um usuário estiver registrado no PIM para elevar a uma dessas funções sob demanda, ele só receberá emails se estiver elevado no momento em que o email for enviado.

Email de usuários em risco detectado

Em resposta a uma conta em risco detectada, a Proteção de ID do Microsoft Entra gera um alerta de email com Usuários em risco detectados como assunto. O email inclui um link para o relatório Usuários sinalizados como risco. Como prática recomendada, você deve investigar imediatamente os usuários em risco.

A configuração para este alerta permite especificar em qual nível de risco de usuário você deseja que o alerta seja gerado. O email é gerado quando o nível de risco de usuário atingir o que você especificou. Por exemplo, se você definir a política para alertar sobre o risco médio do usuário e a pontuação de risco do usuário passar para um risco médio devido a um risco de entrada em tempo real, você receberá o email de que foram detectados usuários em risco. Se o usuário tiver detecções de risco subsequentes que façam com que o cálculo do nível de risco do usuário seja o nível de risco especificado (ou superior), você receberá mais e-mails detectados de usuário em risco quando a pontuação de risco do usuário for recalculada. Por exemplo, se um usuário passar para risco médio em 1º de janeiro, você receberá uma notificação por e-mail se as configurações estiverem definidas para alertar sobre o risco médio. Se esse mesmo usuário tiver outra detecção de risco em 5 de janeiro e a pontuação do usuário for recalculada mas ainda for média, você receberá outra notificação por e-mail.

Uma notificação de e-mail extra é enviada se o horário em que a detecção de risco ocorreu for mais recente do que o horário de envio do último e-mail. Por exemplo, um usuário faz logon em 1º de janeiro às 5h e não há risco em tempo real (o que significa que esse logon não gera nenhum e-mail). 10 minutos depois, às 5h10, o mesmo usuário entra novamente e tem alto risco em tempo real, fazendo com que o nível de risco do usuário seja movido para alto e que um e-mail seja enviado. Em seguida, às 5h15, a pontuação de risco offline da entrada original às 5h muda para risco alto devido ao processamento de risco offline. Outro e-mail de usuário sinalizado por risco não seria enviado, pois a hora da primeira entrada foi anterior à segunda entrada que já disparou uma notificação por e-mail.

Para evitar uma sobrecarga de e-mails, você receberá apenas um e-mail em um período de 5 segundos. Se vários usuários mudarem para o nível de risco especificado durante o mesmo período de 5 segundos, Nós agregamos os dados enviamos um e-mail para todos eles.

Se sua organização habilitou a autocorreção, conforme descrito no artigo, Experiências de usuário com Proteção de ID do Microsoft Entra há uma chance de que o usuário corrija o risco antes que você tenha a oportunidade de investigar. É possível ver usuários suspeitos e entradas suspeitas que já foram corrigidos adicionando Corrigido ao filtro de Estado de risco nos relatórios de Usuários suspeitos ou Entradas suspeitas.

Uma captura de tela mostrando um email de exemplo de usuários em risco.

Configurar alertas de usuários em risco detectados

Como administrador, você pode definir:

  • O nível de risco de usuário que dispara a geração desse email – por padrão, o nível de risco é definido como "Alto".
  • Os destinatários deste email
    • Opcionalmente, você pode Adicionar um email personalizado aqui os usuários definidos devem ter as permissões apropriadas para exibir os relatórios vinculados.

Configure o email dos usuários em risco no Centro de administração do Microsoft Entra em Proteção>Proteção de Identidade>Os usuários em risco detectaram alertas.

Email de resumo semanal

O email de resumo semanal contém um resumo dos novos eventos de risco.
Ele inclui:

  • Novos usuários arriscados detectados
  • Novas entradas suspeitas detectadas (em tempo real)
  • Links para os relatórios relacionados no Identity Protection

Uma captura de tela mostrando um exemplo de email de resumo semanal.

Configurar resumos semanais

Como administrador, você pode ativar ou desativar o envio de um email de resumo semanal e escolher os usuários que receberão o email.

Configure o email de resumo semanal no Centro de administração do Microsoft Entra>Proteção>Proteção de identidade>Resumo semanal.

Confira também