Microsoft Entra ID Protection-meddelanden

  • Artikel

Microsoft Entra ID Protection skickar två typer av automatiserade e-postmeddelanden som hjälper dig att hantera användarrisk- och riskidentifieringar:

  • Riskidentifiering via e-post till användare
  • Veckovisa e-postmeddelanden med sammandrag

Den här artikeln ger dig en översikt över båda e-postmeddelandena.

Kommentar

Vi har inte stöd för att skicka e-postmeddelanden till användare i grupptilldelade roller.

Viktigt!

Som standard läggs användare som aktivt har tilldelats roller som global administratör, säkerhetsadministratör eller säkerhetsläsare automatiskt till i den här listan om användaren har konfigurerat ett giltigt "e-postmeddelande" eller "Alternativ e-post". Om en användare har registrerats i PIM och upphöjts till en av de här rollerna på begäran får de bara e-postmeddelanden om de höjs upp när e-postmeddelandet skickas.

Riskidentifiering via e-post till användare

Som svar på ett identifierat konto i riskzonen genererar Microsoft Entra ID Protection en e-postavisering där användare i riskzonen identifieras som föremål. E-postmeddelandet innehåller en länk till de användare som har flaggats för riskrapporten . Du bör omedelbart undersöka användare som är i riskzonen.

Med konfigurationen för den här aviseringen kan du ange på vilken användarrisknivå du vill att aviseringen ska genereras. E-postmeddelandet genereras när användarens risknivå når det du har angett. Om du till exempel ställer in principen på avisering om medelhög användarrisk och användarens riskpoäng övergår till medelhög risk på grund av en inloggningsrisk i realtid, får du de användare som riskerar att identifieras via e-post. Om användaren har efterföljande riskidentifieringar som gör att beräkningen på användarrisknivå är den angivna risknivån (eller högre) får du fler e-postmeddelanden om riskidentifieringar när användarens riskpoäng beräknas om. Om en användare till exempel övergår till medelhög risk den 1 januari får du ett e-postmeddelande om inställningarna är inställda på avisering om medelhög risk. Om samma användare har en annan riskidentifiering den 5 januari och användarens riskpoäng beräknas om men fortfarande är medel får du ett nytt e-postmeddelande.

Ett extra e-postmeddelande skickas om den tid då ändringen av användarrisknivån är nyare än det senaste e-postmeddelandet som skickades. En användare loggar till exempel in den 1 januari kl. 05.00 och det finns ingen realtidsrisk (vilket innebär att inget e-postmeddelande genereras på grund av den inloggningen). 10 minuter senare, klockan 05:10, loggar samma användare in igen och har hög realtidsrisk, vilket gör att användarrisknivån övergår till hög och ett e-postmeddelande skickas. Klockan 05:15 ändras sedan offlineriskpoängen för den ursprungliga inloggningen kl. 05.00 till hög risk på grund av offlineriskbearbetning. En annan användare som flaggats för risk-e-post skulle inte skickas, eftersom tiden för den första inloggningen var före den andra inloggningen som redan utlöste ett e-postmeddelande.

För att förhindra överbelastning av e-postmeddelanden får du bara ett e-postmeddelande inom en tidsperiod på 5 sekunder. Om flera användare övergår till den angivna risknivån under samma tidsperiod på 5 sekunder aggregerar vi data och skickar ett e-postmeddelande för dem alla.

Om din organisation har aktiverat självreparation enligt beskrivningen i artikeln användarupplevelser med Microsoft Entra ID Protection finns det en chans att användaren kan åtgärda sina risker innan du har möjlighet att undersöka. Du kan se riskfyllda användare och riskfyllda inloggningar som redan har åtgärdats genom att lägga till Reparerad i risktillståndsfiltret i rapporterna Riskfyllda användare eller Riskfyllda inloggningar.

Konfigurera riskfyllda aviseringar för användare

Som administratör kan du ange:

  • Den användarrisknivå som utlöser genereringen av det här e-postmeddelandet – Som standard är risknivån inställd på "Hög" risk.
  • Mottagarna av det här e-postmeddelandet
    • Du kan också lägga till anpassad e-post här som användare har definierat måste ha rätt behörighet för att visa de länkade rapporterna.

Konfigurera användare i riskzonen via e-post i administrationscentret för Microsoft Entra under Skyddsidentitetsskydd>>Användare som är utsatta för risk identifierade aviseringar.

Veckovisa e-postmeddelanden med sammandrag

Det veckovisa sammanfattningsmeddelandet innehåller en sammanfattning av nya riskidentifieringar.
Den innehåller:

  • Nya riskfyllda användare har identifierats
  • Nya riskfyllda inloggningar har identifierats (i realtid)
  • Länkar till relaterade rapporter i Identity Protection

En skärmbild som visar ett exempel på ett veckovis sammanfattat e-postmeddelande.

Konfigurera e-post för veckosammandrag

Som administratör kan du växla mellan att skicka ett veckovis sammanfattat e-postmeddelande på eller av och välja de användare som har tilldelats att ta emot e-postmeddelandet.

Konfigurera veckovis sammanfattad e-post i Microsoft Entra administrationscenter>Protection>Identity Protection>Weekly digest.

Se även