Microsoft Entra ID 保护通知
Microsoft Entra ID 保护会发送两类自动生成的通知电子邮件,帮助你管理用户风险和风险检测:
- 检测到风险用户的电子邮件
- 每周摘要电子邮件
本文概述了两种通知电子邮件。
注意
我们不支持向具有组分配角色的用户发送电子邮件。
重要
默认情况下,如果用户配置了有效的“电子邮件”或“备用电子邮件”,则会自动将用户主动分配的全局管理员、安全管理员或安全读取者角色添加到此列表中。 如果某位用户在 PIM 中注册以根据需要提升到这些角色之一,那么只有他们在发送电子邮件之前已完成提升,才会收到电子邮件。
检测到有风险的用户电子邮件
当检测到帐户存在风险时,Microsoft Entra ID 保护会生成主题为“检测到有风险的用户”的警报电子邮件。 电子邮件包含“已标记为存在风险的用户”报告的链接。 建议立即调查有风险的用户。
此警报的配置允许你指定要生成警报的用户风险级别。 当用户的风险级别达到指定级别时,将生成电子邮件。 例如,如果将策略设置为在中等用户风险上发出警报,并且由于实时登录风险而导致用户的风险评分变为中等风险,则将收到有关检测到的有风险用户的电子邮件。 如果用户的后续风险检测导致该用户的风险级别计算达到指定的风险级别(或更高),则在重新计算用户风险分数后,你将收到检测到有风险的用户的更多电子邮件。 例如,如果某位用户在 1 月 1 日转变为中等风险,那么如果你的设置设为针对中等风险发出警报,则你将收到电子邮件通知。 如果同一用户在 1 月 5 日进行了另一次风险检测,且用户风险分数经重新计算后仍为中等,则你会收到另一封电子邮件通知。
如果用户风险级别变化的时间比上次发送电子邮件的时间更新,则会发送额外的电子邮件通知。 例如,用户在 1 月 1 日凌晨 5 点登录,并且没有实时风险(这意味着不会由于此次登录操作而生成电子邮件)。 10 分钟后,在凌晨 5:10,同一用户再次登录,实时风险高,导致用户风险级别达到高风险级别,则会发送电子邮件。 然后,在凌晨 5:15,由于脱机风险处理,凌晨 5:00 进行的原始登录的脱机风险分数更改为高风险。 这时不会发送标记其他用户存在风险的电子邮件,因为第一次登录的时间在第二次登录之前,而第二次登录已经触发了电子邮件通知。
为防止电子邮件过载,在 5 秒时间段内只会收到一封电子邮件。 如果多个用户在同一 5 秒时间段内转变为指定的风险级别,我们将为所有这些用户聚合数据并发送一封电子邮件。
如果组织已启用自修正功能(如 Microsoft Entra ID 保护的用户体验一文中所述),那么在你有机会调查之前,用户有机会修正其风险。 在“风险用户”或“风险登录”报告中的“风险状态”筛选器中添加“已修正”,即可查看已修正的风险用户和风险登录。
配置检测到有风险用户的警报
管理员可以设置:
- 触发生成此电子邮件的用户风险级别 - 默认情况下,此风险级别设置为“高”风险。
- 此电子邮件的收件人
- 或者,可以在此处添加自定义电子邮件,定义的用户必须具有适当的权限才能查看链接报表。
在 Microsoft Entra 管理中心的“保护”>“标识保护”>“检测到风险用户警报”下配置风险用户电子邮件。
每周摘要电子邮件
每周摘要电子邮件中包含新风险检测的摘要。
其中包括:
- 检测到新的有风险用户
- 检测到新的有风险登录(实时)
- 指向“标识保护”中相关报告的链接
配置每周摘要电子邮件
作为管理员,可以打开或关闭每周摘要电子邮件,然后选择分配的接收该电子邮件的用户。
在 Microsoft Entra 管理中心>“保护”>“标识保护”>“每周摘要”中配置每周摘要电子邮件。