Notifiche tramite posta elettronica in PIM
Privileged Identity Management (PIM) consente di sapere quando si verificano eventi importanti nell'organizzazione di Microsoft Entra, ad esempio quando viene assegnato o attivato un ruolo. Privileged Identity Management consente di informare l'utente inviando notifiche tramite posta elettronica di altri partecipanti. I messaggi di posta elettronica possono includere collegamenti ad attività importanti, quali l'attivazione o il rinnovo di un ruolo. Questo articolo descrive l'aspetto dei messaggi di posta elettronica, quando vengono inviati e chi li riceve.
Nota
Un evento in Privileged Identity Management può generare notifiche inviate tramite posta elettronica a più destinatari: assegnatari, responsabili approvazione o amministratori. Il numero massimo di notifiche inviate per un evento è 1000. Se il numero di destinatari supera 1000, solo i primi 1.000 destinatari ricevono una notifica tramite posta elettronica. Ciò non impedisce ad altri assegnatari, amministratori o responsabili delle approvazioni di usare le loro autorizzazioni in Microsoft Entra ID e Privileged Identity Management.
Indirizzo e-mail del mittente e riga dell'oggetto
I messaggi di posta elettronica inviati da Privileged Identity Management per l'ID Microsoft Entra e i ruoli delle risorse di Azure hanno l'indirizzo di posta elettronica del mittente seguente:
- Indirizzo di posta elettronica: MSSecurity-noreply@microsoft.com
- Nome visualizzato: Microsoft Security
Importante
l'oggetto azure-noreply@microsoft.com è stato deprecato e non deve più inviare notifiche tramite posta elettronica PIM
Questi messaggi di posta elettronica includono un prefisso PIM nella riga dell'oggetto. Ecco un esempio:
- PIM: Alain Charon è stato assegnato in modo permanente al ruolo lettore di backup
Tempistica dei messaggi di posta elettronica per le approvazioni dell'attivazione
Quando gli utenti attivano il proprio ruolo e l'impostazione del ruolo richiede l'approvazione, i responsabili approvazione ricevono due messaggi di posta elettronica per ogni approvazione:
- Richiedere di approvare o negare la richiesta di attivazione dell'utente (inviata dal motore di approvazione della richiesta)
- La richiesta dell'utente viene approvata (inviata dal motore di approvazione della richiesta)
Inoltre, gli amministratori globali e gli amministratori del ruolo con privilegi ricevono un messaggio di posta elettronica per ogni approvazione:
- Il ruolo dell'utente viene attivato (inviato da Privileged Identity Management)
I primi due messaggi di posta elettronica inviati dal motore di approvazione della richiesta possono essere ritardati. Attualmente, 90% di messaggi di posta elettronica richiedono da tre a 10 minuti, ma per 1% i clienti possono essere più lunghi, fino a 15 minuti.
Se una richiesta di approvazione viene approvata nel portale di Azure prima dell'invio del primo messaggio di posta elettronica, il primo messaggio di posta elettronica non viene attivato e altri responsabili approvazione non ricevono notifiche tramite posta elettronica della richiesta di approvazione. Potrebbe sembrare come se non ricevessero un messaggio di posta elettronica, ma si tratta del comportamento previsto.
Notifiche per i ruoli di Microsoft Entra
Privileged Identity Management invia messaggi di posta elettronica quando si verificano gli eventi seguenti per i ruoli di Microsoft Entra:
- Quando l'attivazione di un ruolo con privilegi è in attesa di approvazione
- Quando la richiesta di attivazione di un ruolo con privilegi viene completata
- Quando Microsoft Entra Privileged Identity Management è abilitato
Chi riceve questi messaggi di posta elettronica per i ruoli di Microsoft Entra dipende dal ruolo, dall'evento e dall'impostazione delle notifiche.
| Utente | Attivazione del ruolo in attesa di approvazione | Richiesta di attivazione del ruolo completata | PIM è abilitato |
|---|---|---|---|
| Amministratore ruolo con privilegi (attivato) |
Sì (solo se non sono specificati responsabili approvazione espliciti) |
Sì* | Sì |
| Amministratore della sicurezza (attivato) |
No | Sì* | Sì |
| Amministratore globale (attivato) |
No | Sì* | Sì |
* Se l'impostazione Notifiche è impostata su Abilita.
Di seguito viene illustrato un esempio di messaggio di posta elettronica inviato quando un utente attiva un ruolo Microsoft Entra per l'organizzazione fittizia Contoso.
E-mail digest settimanale di Privileged Identity Management per i ruoli di Microsoft Entra
Un messaggio di riepilogo settimanale di Privileged Identity Management per i ruoli di Microsoft Entra viene inviato agli amministratori dei ruoli con privilegi, agli amministratori della sicurezza e agli amministratori globali che hanno abilitato Privileged Identity Management. Questo messaggio di posta elettronica settimanale fornisce uno snapshot delle attività di Privileged Identity Management della settimana e delle assegnazioni di ruoli privilegiati. È disponibile solo per le organizzazioni di Microsoft Entra sul cloud pubblico. Di seguito è illustrato un messaggio di posta elettronica di esempio:
Il messaggio di posta elettronica include:
| Riquadro | Descrizione |
|---|---|
| Users activated (Utenti attivati) | Numero di volte in cui gli utenti hanno attivato il proprio ruolo idoneo all'interno dell'organizzazione. |
| Users made permanent (Utenti resi permanenti) | Numero di volte per cui un utente con un'assegnazione idonea viene reso permanente. |
| Assegnazioni di ruolo in Privileged Identity Management | Numero di volte in cui agli utenti viene assegnato un ruolo idoneo in Privileged Identity Management. |
| Role assignments outside of PIM (Assegnazioni di ruoli all'esterno di PIM) | Numero di volte in cui agli utenti viene assegnato un ruolo permanente all'esterno di Privileged Identity Management (all'interno di Microsoft Entra ID). Questo avviso e il messaggio di posta elettronica a fianco possono essere abilitati o disabilitati aprendo le impostazioni di avviso. |
La sezione Panoramica dei ruoli principali elenca i primi cinque ruoli dell'organizzazione in base al numero totale di amministratori permanenti e idonei per ogni ruolo. Il collegamento Esegui azione apre Discovery & Insights in cui è possibile convertire amministratori permanenti in amministratori idonei in batch.
Notifiche per i ruoli delle risorse di Azure
Nota
In PIM, un proprietario idoneo è un utente con accesso JIT con privilegi per eseguire determinate attività per la gestione dei gruppi, che possono essere attivati quando necessario. Questo è diverso da un proprietario permanente , che ha accesso continuo per gestire i gruppi. Per altre informazioni sulla proprietà JIT di un gruppo, vedere Assegnare l'idoneità per un gruppo in Privileged Identity Management.
I proprietari del gruppo possono gestire il gruppo, inclusi l'aggiunta o la rimozione di membri, il rinnovo dei gruppi che stanno per scadere e l'approvazione delle richieste di partecipazione al gruppo. PIM invia messaggi di posta elettronica a proprietari permanenti , proprietari idonei e amministratori di Accesso utenti quando si verificano gli eventi seguenti per i ruoli delle risorse di Azure:
- Quando un'assegnazione di ruolo è in attesa di approvazione
- Quando un ruolo viene assegnato
- Quando un ruolo sta per scadere
- Quando un ruolo è idoneo per l'estensione
- Quando un ruolo viene rinnovato da un utente finale
- Quando una richiesta di attivazione del ruolo viene completata
Privileged Identity Management invia messaggi di posta elettronica agli utenti finali quando si verificano gli eventi seguenti per i ruoli delle risorse di Azure:
- Quando viene assegnato un ruolo all'utente
- Quando un ruolo utente è scaduto
- Quando un ruolo utente è stato esteso
- Quando la richiesta di attivazione del ruolo di un utente viene completata
Di seguito viene riportato un esempio di messaggio di posta elettronica inviato quando a un utente viene assegnato un ruolo di risorsa di Azure per l'organizzazione fittizia Contoso.
Notifiche per PIM per i gruppi
Privileged Identity Management invia messaggi di posta elettronica a proprietari permanenti solo quando si verificano gli eventi seguenti per le assegnazioni pim per i gruppi:
- Quando un'assegnazione di ruolo proprietario o membro è in attesa di approvazione
- Quando viene assegnato un ruolo Proprietario o Membro
- Quando un ruolo proprietario o membro scade presto
- Quando un ruolo proprietario o membro è idoneo per l'estensione
- Quando un ruolo proprietario o membro viene rinnovato da un utente finale
- Quando viene completata una richiesta di attivazione del ruolo proprietario o membro
Privileged Identity Management invia messaggi di posta elettronica agli utenti finali quando si verificano gli eventi seguenti per PIM per le assegnazioni di ruolo gruppi:
- Quando un ruolo Proprietario o Membro viene assegnato all'utente
- Quando il ruolo Proprietario o Membro di un utente è scaduto
- Quando un utente è un ruolo proprietario o membro viene esteso
- Quando viene completata la richiesta di attivazione di un ruolo proprietario o membro di un utente