Microsoft Entra ID Protection-meldingen

Microsoft Entra ID Protection verzendt twee typen automatische e-mailberichten voor meldingen om u te helpen bij het beheren van gebruikersrisico- en risicodetecties:

  • E-mail over detectie van gebruikers die risico lopen
  • Wekelijkse samenvattings-e-mail

Dit artikel bevat een overzicht van beide e-mailadressen voor meldingen.

Notitie

We bieden geen ondersteuning voor het verzenden van e-mailberichten naar gebruikers in rollen die aan een groep zijn toegewezen.

E-mail over detectie van gebruikers die risico lopen

Als reactie op een gedetecteerd account dat risico loopt, genereert Microsoft Entra ID Protection een e-mailwaarschuwing met gebruikers die risico lopen gedetecteerd als onderwerp. Het e-mailbericht bevat een koppeling naar het rapport Gebruikers die voor risico zijn gemarkeerd. Als best practice moet u de gebruikers die risico lopen onmiddellijk onderzoeken.

Met de configuratie voor deze waarschuwing kunt u opgeven op welk gebruikersrisiconiveau u de waarschuwing wilt genereren. De e-mail wordt gegenereerd wanneer het risiconiveau van de gebruiker bereikt wat u hebt opgegeven. Als u bijvoorbeeld het beleid instelt op waarschuwingen over gemiddeld gebruikersrisico en de gebruikersrisicoscore van uw gebruiker wordt verplaatst naar gemiddeld risico vanwege een realtime aanmeldingsrisico, ontvangt u de gedetecteerde e-mail van de gebruikers die risico lopen. Als de gebruiker volgende risicodetecties heeft waardoor de berekening van het gebruikersrisiconiveau het opgegeven risiconiveau (of hoger) is, ontvangt u meer gebruikers met risico gedetecteerde e-mailberichten wanneer de gebruikersrisicoscore opnieuw wordt berekend. Als het risiconiveau van een gebruiker bijvoorbeeld op 1 januari overgaat naar gemiddeld risico, ontvangt u een e-mailmelding als uw instellingen zijn ingesteld op waarschuwing bij gemiddeld risico. Als dezelfde gebruiker op 5 januari een andere risicodetectie heeft en de gebruikersrisicoscore opnieuw wordt berekend, maar nog steeds gemiddeld is, ontvangt u een andere e-mailmelding.

Er wordt een extra e-mailmelding verzonden als het tijdstip waarop de wijziging in het gebruikersrisiconiveau recenter is dan het laatste e-mailbericht dat is verzonden. Een gebruiker meldt zich bijvoorbeeld aan op 1 januari om 5.00 uur en er is geen realtime risico (wat betekent dat er vanwege die aanmelding geen e-mail wordt gegenereerd). Tien minuten later, om 5:10 uur, meldt dezelfde gebruiker zich opnieuw aan en heeft nu een hoog realtime risico. Het risiconiveau van de gebruiker wordt verplaatst naar hoog en er wordt een e-mailbericht verzonden. Vervolgens verandert om 5:15 uur de offlinerisicoscore voor de oorspronkelijke aanmelding om 5:00 uur in hoog risico vanwege offlinerisicoverwerking. Een andere e-mail in verband met een gebruiker die als risicovol is gemarkeerd, wordt niet verzonden, omdat het tijdstip van de eerste aanmelding plaatsvond vóór de tweede aanmelding, waarvoor al een e-mailmelding is geactiveerd.

Om een overbelasting van e-mailberichten te voorkomen, ontvangt u slechts één e-mail binnen een periode van 5 seconden. Als meerdere gebruikers zich tijdens dezelfde periode van vijf seconden naar het opgegeven risiconiveau verplaatsen, voegen we de gegevens samen en verzenden we één e-mail voor alle gebruikers.

Als uw organisatie zelfherstel heeft ingeschakeld zoals beschreven in het artikel, is er een kans dat gebruikerservaringen met Microsoft Entra ID Protection hun risico kunnen oplossen voordat u de mogelijkheid hebt om dit te onderzoeken. U kunt riskante gebruikers en riskante aanmeldingen zien die al zijn hersteld door 'Hersteld' toe te voegen aan het filter Risicostatus in de rapporten Riskante gebruikers of Riskante aanmeldingen .

A screenshot showing a sample users at risk detected email.

Waarschuwingen configureren over gedetecteerde gebruikers die risico lopen

Als beheerder kunt u het volgende instellen:

  • Het gebruikersrisiconiveau dat het genereren van deze e-mail activeert: het risiconiveau is standaard ingesteld op Hoog.
  • De geadresseerden van dit e-mailbericht: gebruikers in de rollen Globale Beheer istrator, Beveiliging Beheer istrator of Beveiligingslezer worden automatisch toegevoegd aan deze lijst. Er wordt geprobeerd e-mails te verzenden naar de eerste 20 leden van elke rol. Als een gebruiker is ingeschreven bij PIM om op aanvraag de verhoogde bevoegdheden van een van deze rollen te krijgen, ontvangt de gebruiker de e-mails alleen wanneer die verhoogde bevoegdheden actief zijn op het moment dat de e-mail wordt verzonden.
    • U kunt eventueel aangepaste e-mail toevoegen die gebruikers hier hebben gedefinieerd, moeten over de juiste machtigingen beschikken om de gekoppelde rapporten weer te geven.

Configureer de gebruikers met risico-e-mail in het Microsoft Entra-beheercentrum onder Beveiligingsidentiteitsbeveiligingsgebruikers>>die risico lopen gedetecteerde waarschuwingen.

Wekelijkse samenvattings-e-mail

De wekelijkse samenvattings-e-mail bevat een overzicht van nieuwe risicodetecties.
Deze bevat:

  • Nieuwe gedetecteerde gebruikers die risico lopen
  • Nieuwe gedetecteerde riskante aanmeldingen (in realtime)
  • Koppelingen naar de gerelateerde rapporten in Identity Protection

A screenshot showing a sample weekly digest email.

Gebruikers met de rol Globale beheerder, Beveiligingsbeheerder of Beveiligingslezer worden automatisch toegevoegd aan deze lijst. Er wordt geprobeerd e-mails te verzenden naar de eerste 20 leden van elke rol. Als een gebruiker is ingeschreven bij PIM om op aanvraag de verhoogde bevoegdheden van een van deze rollen te krijgen, ontvangt de gebruiker de e-mails alleen wanneer die verhoogde bevoegdheden actief zijn op het moment dat de e-mail wordt verzonden

Wekelijkse samenvattings-e-mail configureren

Als beheerder kunt u het verzenden van een wekelijkse samenvattings-e-mail in- of uitschakelen en de gebruikers kiezen die zijn toegewezen om de e-mail te ontvangen.

Configureer de wekelijkse samenvattings-e-mail in het Microsoft Entra-beheercentrum>Protection Identity>Protection>Wekelijkse samenvatting.

Zie ook