Compartir vía


Notificaciones de protección de Microsoft Entra ID

Microsoft Entra ID Protection envía dos tipos de correos electrónicos de notificación automatizados para ayudarle a administrar el riesgo del usuario y las detecciones de riesgo:

  • Usuarios en riesgo detectados por correo electrónico
  • Correo electrónico de resumen semanal

En este artículo se proporciona una introducción de ambos correos electrónicos de notificación.

Nota

No se admite el envío de correos electrónicos a los usuarios con roles asignados por grupos.

Importante

De forma predeterminada, los usuarios asignados activamente a los roles de Administrador global, Administrador de seguridad o Lector de seguridad se agregan automáticamente a esta lista si el usuario tiene configurado un "correo electrónico" o "correo electrónico alternativo" válidos. Si un usuario está inscrito en PIM para subir a uno de estos roles previa petición, solo recibirá mensajes de correo electrónico si se sube en el momento en que se envía el correo electrónico.

Correo electrónico de los usuarios en riesgo detectados

En respuesta a una cuenta detectada en riesgo, Microsoft Entra ID Protection genera una alerta de correo electrónico con el asunto Usuarios en riesgo detectados. El correo electrónico incluye un vínculo al informe Usuarios marcados como de riesgo. Como práctica recomendada, debería investigar inmediatamente los usuarios en peligro.

La configuración de esta alerta permite especificar a qué nivel de riesgo del usuario desea que se genere la alerta. El correo electrónico se generará cuando el nivel de riesgo del usuario alcance lo que haya especificado. Por ejemplo, si establece la directiva para que alerte cuando el riesgo del usuario sea medio y la puntuación del riesgo pasa a ser de riesgo medio debido a un riesgo de inicio de sesión en tiempo real, recibirá un correo electrónico en el que se indica que se han detectado usuarios en riesgo. Si el usuario tiene detecciones de riesgo posteriores que hacen que el cálculo de su nivel de riesgo sea el especificado (o superior), recibirá correos electrónicos de usuarios en riesgo detectados cuando se vuelva a calcular la puntuación del riesgo del usuario. Por ejemplo, si un usuario pasa a un riesgo medio el 1 de enero, recibirá una notificación por correo electrónico si la configuración está establecida para alertar sobre el riesgo medio. Si ese mismo usuario tiene otra detección de riesgos el 5 de enero y su puntuación de riesgo se vuelve a calcular pero sigue siendo de nivel medio, recibirá otra notificación por correo electrónico.

Se envia una notificación por correo electrónico adicional si la hora del cambio del nivel de riesgo del usuario es más reciente que el envío del último correo electrónico. Por ejemplo, un usuario inicia sesión el 1 de enero a las 5:00 y no hay ningún riesgo en tiempo real (lo que significa que no se generará ningún correo electrónico debido a ese inicio de sesión). Diez minutos después, a las 5:10, el mismo usuario vuelve a iniciar sesión y tiene un riesgo alto en tiempo real, lo que hace que su nivel de riesgo cambie a alto y se envíe un correo electrónico. Después, a las 5:15, la puntuación de riesgo sin conexión para el inicio de sesión original de las 5:00 cambia a riesgo alto debido al procesamiento de riesgos sin conexión. No se enviará un correo electrónico adicional de usuario marcado como de riesgo, ya que el primer inicio de sesión ha sido anterior al segundo que ya ha desencadenado una notificación por correo electrónico.

Para evitar una sobrecarga de correos electrónicos, solo recibirá un correo electrónico en un período de cinco segundos. Si varios usuarios pasan al nivel de riesgo especificado durante el mismo período de cinco segundos, agregamos los datos y se enviará un solo mensaje de correo electrónico para todos ellos.

Si su organización ha habilitado la corrección automática, como se describe en el artículo Experiencias de usuario con Protección de id. de Microsoft Entra, existe la posibilidad de que el usuario pueda corregir el riesgo antes de que usted tenga la oportunidad de investigar. Para ver los usuarios de riesgo y los inicios de sesión de riesgo que ya se han corregido, agregue Corregido al filtro Estado de riesgo en los informes Usuarios de riesgo o Inicios de sesión de riesgo.

Configuración de alertas detectadas sobre usuarios en riesgo

Como administrador, puede establecer:

  • El nivel de riesgo de usuario que desencadena la generación de este correo electrónico: de manera predeterminada, el nivel de riesgo se establece en riesgo "Alto".
  • Destinatarios del correo electrónico
    • Opcionalmente, puede agregar correo electrónico personalizado aquí. Los usuarios definidos deben tener los permisos adecuados para ver los informes vinculados.

Configure el correo electrónico de los usuarios en riesgo en el Centro de administración de Microsoft Entra en Protección>Protección de identidad>Alertas detectadas de usuarios en riesgo.

Correo electrónico de resumen semanal

El correo electrónico de resumen semanal contiene un sumario de nuevas detecciones de riesgo.
Incluye:

  • Se detectaron nuevos usuarios de riesgo
  • Nuevos inicios de sesión de riesgo detectados (en tiempo real)
  • Vínculos a los informes relacionados en Protección de id.

Captura de pantalla que muestra un correo electrónico con el resumen semanal de ejemplo.

Configuración de correo electrónico de resumen semanal

Como administrador, puede activar o desactivar el envío de un correo electrónico de resumen semanal y elegir a los usuarios asignados para recibir el correo electrónico.

Configure el correo electrónico de resumen semanal en el Centro de administrador de Microsoft Entra>Protección>Protección de identidad>Hash semanal.

Consulte también