E-mailová oznámení v PIM
Privileged Identity Management (PIM) vás informuje o tom, kdy ve vaší organizaci Microsoft Entra dojde k důležitým událostem, například při přiřazení nebo aktivaci role. Privileged Identity Management vás informuje odesláním e-mailových oznámení ostatním účastníkům. Tyto e-maily můžou obsahovat také odkazy na relevantní úkoly, jako je aktivace nebo obnovení role. Tento článek popisuje, jak tyto e-maily vypadají, kdy se odesílají a kdo je obdrží.
Poznámka:
Jedna událost v Privileged Identity Management může generovat e-mailová oznámení více příjemcům – přiřaďte je, schvalovatelé nebo správci. Maximální počet oznámení odeslaných za jednu událost je 1 000. Pokud počet příjemců překročí 1 000 – obdrží e-mailové oznámení jenom prvních 1 000 příjemců. Nezabráníte tomu, aby jiní přiřazení, správci ani schvalovatelé používali svá oprávnění v Microsoft Entra ID a Privileged Identity Management.
E-mailová adresa odesílatele a řádek předmětu
E-maily odeslané ze služby Privileged Identity Management pro id Microsoft Entra i role prostředků Azure mají následující e-mailovou adresu odesílatele:
- E-mailová adresa: MSSecurity-noreply@microsoft.com
- Zobrazovaný název: Microsoft Security
Důležité
Tato azure-noreply@microsoft.com funkce je zastaralá a už by neměla posílat e-mailová oznámení PIM.
Tyto e-maily obsahují předponu PIM v řádku předmětu. Tady je příklad:
- PIM: Alain Charon měl trvale přiřazenou roli Čtenář zálohování.
Načasování e-mailů týkajících se schválení aktivace
Když uživatelé aktivují svou roli a nastavení role vyžaduje schválení, schvalovatelé obdrží pro každé schválení dva e-maily:
- Žádost o schválení nebo zamítnutí žádosti o aktivaci uživatele (odeslaná modulem schválení žádosti)
- Žádost uživatele je schválena (odeslána modulem schválení žádosti).
Globální správci a správci privilegovaných rolí také obdrží e-mail pro každé schválení:
- Aktivuje se role uživatele (odesílaná službou Privileged Identity Management).
První dva e-maily odeslané modulem schválení žádosti mohou být zpožděny. V současné době trvá 90 % e-mailů tři až deset minut, ale u 1 % zákazníků může trvat až patnáct minut.
Pokud se žádost o schválení schválí na webu Azure Portal před odesláním prvního e-mailu, první e-mail se už neaktivuje a ostatní schvalovatelé nebudou upozorněni e-mailem na žádost o schválení. Může se zdát, že nedostali e-mail, ale jedná se o očekávané chování.
Oznámení pro role Microsoft Entra
Privileged Identity Management odesílá e-maily, když dojde k následujícím událostem pro role Microsoft Entra:
- Když aktivace privilegované role čeká na schválení
- Po dokončení žádosti o aktivaci privilegované role
- Když je povolená služba Microsoft Entra Privileged Identity Management
Kdo obdrží tyto e-maily pro role Microsoft Entra, závisí na vaší roli, události a nastavení oznámení.
| Uživatelská | Aktivace role čeká na schválení | Žádost o aktivaci role je dokončena. | PiM je povolené |
|---|---|---|---|
| Správce privilegovaných rolí (aktivováno) |
Ano (pouze pokud nejsou zadáni explicitní schvalovatelé) |
Ano* | Ano |
| Správce zabezpečení (aktivováno) |
No | Ano* | Ano |
| Globální správce (aktivováno) |
No | Ano* | Ano |
* Pokud je nastavení Oznámení nastaveno na Povolit.
Následující příklad ukazuje příklad e-mailu, který se odešle, když uživatel aktivuje roli Microsoft Entra pro fiktivní organizaci Contoso.
E-mail s týdenním přehledem služby Privileged Identity Management pro role Microsoft Entra
Týdenní souhrnný e-mail služby Privileged Identity Management pro role Microsoft Entra se odešle správcům privilegovaných rolí, správcům zabezpečení a globálním správcům, kteří povolili Privileged Identity Management. Tento týdenní e-mail poskytuje snímek aktivit Privileged Identity Management pro tento týden i přiřazení privilegovaných rolí. Je k dispozici pouze pro organizace Microsoft Entra ve veřejném cloudu. Tady je příklad e-mailu:
E-mail zahrnuje:
| Dlaždice | Popis |
|---|---|
| Uživatelé aktivovaní | Počet, kolikrát uživatelé aktivovali svou oprávněnou roli v organizaci |
| Uživatelé udělali trvalé | Počet uživatelů s oprávněným přiřazením je trvalý. |
| Přiřazení rolí ve službě Privileged Identity Management | Kolikrát mají uživatelé přiřazenou oprávněnou roli v rámci Privileged Identity Management. |
| Přiřazení rolí mimo PIM | Kolikrát mají uživatelé přiřazenou trvalou roli mimo Privileged Identity Management (uvnitř Microsoft Entra ID). Toto upozornění a doprovodný e-mail je možné povolit nebo zakázat otevřením nastavení upozornění. |
V části Přehled hlavních rolí je uvedeno pět hlavních rolí ve vaší organizaci na základě celkového počtu trvalých a oprávněných správců pro každou roli. Odkaz Provést akci otevře zjišťování a přehledy , kde můžete převést trvalé správce na oprávněné správce v dávkách.
Oznámení pro role prostředků Azure
Poznámka:
V PIM je oprávněným vlastníkem osoba, která má udělený privilegovaný přístup za běhu (JIT) k provádění určitých úloh pro správu skupin, které je možné v případě potřeby aktivovat. To se liší od trvalého vlastníka, který má průběžný přístup ke správě skupin. Další informace o vlastnictví JIT skupiny najdete v tématu Přiřazení způsobilosti pro skupinu ve službě Privileged Identity Management.
U údržby skupin má vlastník možnost spravovat skupinu, včetně přidávání nebo odebírání členů, obnovování skupin, jejichž platnost brzy vyprší, a schvalování žádostí o připojení ke skupině. PIM odesílá e-maily trvalým vlastníkům, oprávněným vlastníkům a správcům uživatelských přístupů, když dojde k následujícím událostem pro role prostředků Azure:
- Když přiřazení role čeká na schválení
- Při přiřazení role
- Kdy brzy vyprší platnost role
- Pokud má role nárok na rozšíření
- Při obnovování role koncovým uživatelem
- Po dokončení žádosti o aktivaci role
Privileged Identity Management odesílá koncovým uživatelům e-maily, když dojde k následujícím událostem pro role prostředků Azure:
- Při přiřazení role uživateli
- Po vypršení platnosti role uživatele
- Při rozšíření role uživatele
- Po dokončení žádosti o aktivaci role uživatele
Následující příklad ukazuje příklad e-mailu, který se odešle, když má uživatel přiřazenou roli prostředku Azure pro fiktivní organizaci Contoso.
Oznámení pro PIM pro skupiny
Privileged Identity Management odesílá e-maily trvalým vlastníkům pouze v případě, že u přiřazení skupin dojde k následujícím událostem:
- Když přiřazení role vlastníka nebo člena čeká na schválení
- Při přiřazení role vlastníka nebo člena
- Kdy brzy vyprší platnost role vlastníka nebo člena
- Pokud má role vlastníka nebo člena nárok na rozšíření
- Při prodloužení role vlastníka nebo člena koncovým uživatelem
- Po dokončení žádosti o aktivaci role vlastníka nebo člena
Privileged Identity Management odesílá koncovým uživatelům e-maily, když dojde k následujícím událostem PIM pro přiřazení rolí skupin:
- Při přiřazení role vlastníka nebo člena uživateli
- Když vyprší platnost role vlastníka nebo člena uživatele
- Když se prodlouží role vlastníka nebo člena uživatele
- Po dokončení žádosti o aktivaci role vlastníka nebo člena uživatele