Notifications de protection de l'identifiant Microsoft Entra

Microsoft Entra ID Protection envoie deux types d'e-mails de notification automatisés pour vous aider à gérer les risques utilisateur et les détections de risques :

  • Utilisateurs à risque détectés e-mail
  • E-mail de synthèse hebdomadaire

Cet article vous offre une vue d’ensemble des deux e-mails de notification.

Notes

Nous ne prenons pas en charge l’envoi d’e-mails aux utilisateurs ayant des rôles attribués par groupe.

E-mail Utilisateurs à risque détectés

En réponse à un compte à risque détecté, Microsoft Entra ID Protection génère une alerte par courrier électronique avec les utilisateurs à risque détectés comme sujet. L'e-mail comprend un lien vers les utilisateurs signalés pour le rapport de risque. En guise de bonne pratique, vous devez examiner immédiatement les utilisateurs à risque.

La configuration de cette alerte vous permet de spécifier à quel niveau de risque de l’utilisateur vous souhaitez que l’alerte soit générée. L’e-mail est généré lorsque le niveau de risque de l’utilisateur atteint le seuil que vous avez spécifié. Ainsi, si vous définissez une stratégie afin que le système envoie des alertes en cas de risque moyen pour l’utilisateur et que le score de risque de l’utilisateur de John atteint ce niveau de risque en raison d’une connexion en temps réel, vous recevrez un e-mail Utilisateurs à risque détectés. Si l’utilisateur fait l’objet de détections de risque ultérieures qui font que le calcul du niveau de risque de l’utilisateur correspond (ou est supérieur) au niveau de risque spécifié, vous recevrez d’autres e-mails Utilisateurs à risque détectés lorsque le score de risque de l’utilisateur sera recalculé. Par exemple, si un utilisateur passe à un risque moyen le 1er janvier, vous recevrez une notification par e-mail si vos paramètres sont réglés de manière à vous alerter en cas de risque moyen. Si ce même utilisateur fait l’objet d’une autre détection de risque le 5 janvier et que le score de risque de l’utilisateur est recalculé, mais reste moyen, vous recevrez une autre notification par e-mail.

Une nouvelle notification par e-mail sera envoyée si le moment de la modification du niveau de risque de l’utilisateur) est plus récent que celui où le dernier e-mail a été envoyé. Par exemple, un utilisateur se connecte le 1er janvier à 5 h et il n’y a aucun risque en temps réel (c’est-à-dire qu’aucun e-mail n’est généré en raison de cette connexion). Dix minutes plus tard, à 5 h 10, le même utilisateur se connecte à nouveau et présente alors un risque en temps réel élevé, ce qui amène le niveau de risque de l’utilisateur à passer à un niveau élevé et entraîne l’envoi d’un e-mail. Puis, à 5 h 15, le score de risque hors connexion pour la connexion d’origine à 5 h passe à un risque élevé en raison du traitement des risques hors connexion. Un autre e-mail Utilisateur signalé à risque n’est pas envoyé, car l’heure de la première connexion est antérieure à la deuxième connexion à l’origine de la notification par e-mail.

Pour empêcher une surcharge d’e-mails, vous ne recevrez qu’un seul e-mail dans un délai de cinq secondes. Si plusieurs utilisateurs passent au niveau de risque spécifié au cours de la même période de cinq secondes, nous regrouperons les données et enverrons un seul e-mail pour toutes.

Si votre organisation a activé l’auto-correction comme décrit dans l’article Expériences des utilisateurs avec la Protection des ID Microsoft Entra, il est possible que l’utilisateur corrige son risque avant que vous ayez la possibilité de procéder à un examen. Vous pouvez voir les utilisateurs à risque et les connexions risquées qui ont déjà été corrigées en ajoutant « Corrigé » au filtre État du risque dans les rapports Utilisateurs à risque ou Connexions risquées.

A screenshot showing a sample users at risk detected email.

Configurer les alertes Utilisateurs à risque détectés

En tant qu’administrateur, vous pouvez définir les éléments suivants :

  • Le niveau de risque de l’utilisateur qui déclenche la génération de cet e-mail : par défaut, le niveau de risque est défini sur « Élevé ».
  • Les destinataires de cet e-mail : les utilisateurs des rôles Administrateur général, Administrateur de la sécurité ou Lecteur de sécurité sont automatiquement ajoutés à cette liste. Nous tentons d’envoyer des e-mails aux 20 premiers membres de chaque rôle. Si un utilisateur est inscrit dans PIM pour s’élever à l’un de ces rôles à la demande, il recevra uniquement les e-mails s’il est élevé au moment où l’e-mail est envoyé.
    • Si vous le souhaitez, vous pouvez ajouter un e-mail personnalisé ici. Les utilisateurs définis doivent disposer des autorisations appropriées pour afficher les rapports mis en lien.

Configurez l’e-mail des utilisateurs à risque dans le centre d’administration Microsoft Entra sous Protection>Identity Protection>Alertes Utilisateurs à risque détectés.

E-mail de synthèse hebdomadaire

L’e-mail de synthèse hebdomadaire contient un récapitulatif des nouvelles détections de risques.
Il inclut :

  • Nouveaux utilisateurs à risque détectés
  • Nouvelles connexions à risque détectées (en temps réel)
  • Des liens vers les rapports connexes dans Identity Protection

A screenshot showing a sample weekly digest email.

Les utilisateurs titulaires des rôles Administrateur général, Administrateur de la sécurité ou Lecteur de sécurité sont automatiquement ajoutés à cette liste. Nous tentons d’envoyer des e-mails aux 20 premiers membres de chaque rôle. Si un utilisateur est inscrit dans PIM pour s’élever à l’un de ces rôles à la demande, il recevra uniquement les e-mails s’il est élevé au moment où l’e-mail est envoyé

Configurer un courrier de synthèse hebdomadaire

En tant qu’administrateur, vous pouvez activer ou désactiver l’envoi d’un courrier de synthèse hebdomadaire et choisir les utilisateurs affectés à la réception de celui-ci.

Configurez l’e-mail de synthèse hebdomadaire dans le centre d’administration Microsoft Entra>Protection>Identity Protection>Synthèse hebdomadaire.

Voir aussi