Delen via

Microsoft Entra ID Protection-meldingen

  • Artikel

Microsoft Entra ID Protection verzendt twee typen automatische e-mailberichten voor meldingen om u te helpen bij het beheren van gebruikersrisico- en risicodetecties:

  • E-mail over detectie van gebruikers in gevaar
  • Wekelijkse samenvattings-e-mail

Dit artikel bevat een overzicht van beide e-mailadressen voor meldingen.

Notitie

We bieden geen ondersteuning voor het verzenden van e-mailberichten naar gebruikers in rollen die aan een groep zijn toegewezen.

Belangrijk

Gebruikers die de rollen van Global Administrator, Security Administrator, of Security Reader hebben toegekend gekregen, worden standaard automatisch aan deze lijst toegevoegd, mits die gebruiker een geldig e-mailadres of alternatief e-mailadres heeft geconfigureerd. Als een gebruiker is ingeschreven bij Privileged Identity Management (PIM) om een van deze rollen op aanvraag uit te breiden, ze alleen e-mailberichten ontvangen als ze zijn verhoogd op het moment dat het e-mailbericht wordt verzonden.

E-mail voor gedetecteerde risicogebruikers

Als reactie op een gedetecteerd account dat risico loopt, genereert Microsoft Entra ID Protection een e-mailwaarschuwing met gebruikers die risico lopen gedetecteerd als onderwerp. Het e-mailbericht bevat een koppeling naar het rapport Gebruikers die voor risico zijn gemarkeerd. Als best practice moet u de gebruikers die risico lopen onmiddellijk onderzoeken.

Met de configuratie voor deze waarschuwing kunt u opgeven op welk gebruikersrisiconiveau u de waarschuwing wilt genereren. De e-mail wordt gegenereerd wanneer het risiconiveau van de gebruiker bereikt wat u hebt opgegeven. Als u bijvoorbeeld het beleid instelt op waarschuwingen over gemiddeld gebruikersrisico en de risicoscore van uw gebruiker verandert naar een gemiddeld risico vanwege een risico bij realtime aanmelding, ontvangt u een e-mailbericht over de gedetecteerde gebruikers die risico lopen. Als de gebruiker volgende risicodetecties heeft waardoor de berekening van het gebruikersrisiconiveau het opgegeven risiconiveau (of hoger) is, ontvangt u meer gebruikers met risico gedetecteerde e-mailberichten wanneer de gebruikersrisicoscore opnieuw wordt berekend. Als het risiconiveau van een gebruiker bijvoorbeeld op 1 januari overgaat naar gemiddeld risico, ontvangt u een e-mailmelding als uw instellingen zijn ingesteld op waarschuwing bij gemiddeld risico. Als dezelfde gebruiker op 5 januari een andere risicodetectie heeft en de gebruikersrisicoscore opnieuw wordt berekend, maar nog steeds gemiddeld is, ontvangt u een andere e-mailmelding.

Er wordt een extra e-mailmelding verzonden als het tijdstip waarop de wijziging in het gebruikersrisiconiveau recenter is dan het laatste e-mailbericht dat is verzonden. Een gebruiker meldt zich bijvoorbeeld aan op 1 januari om 5.00 uur en er is geen realtime risico (wat betekent dat er vanwege die aanmelding geen e-mail wordt gegenereerd). Tien minuten later, om 5:10 uur, meldt dezelfde gebruiker zich opnieuw aan en heeft nu een hoog realtime risico. Het risiconiveau van de gebruiker wordt verplaatst naar hoog en er wordt een e-mailbericht verzonden. Vervolgens verandert om 5:15 uur de offlinerisicoscore voor de oorspronkelijke aanmelding om 5:00 uur in een hoge risicoscore door de verwerking van offline risico's. Een andere e-mail in verband met een gebruiker die als risicovol is gemarkeerd, wordt niet verzonden, omdat het tijdstip van de eerste aanmelding plaatsvond vóór de tweede aanmelding, waarvoor al een e-mailmelding is geactiveerd.

Om een overbelasting van e-mailberichten te voorkomen, ontvangt u slechts één e-mail binnen een periode van 5 seconden. Als meerdere gebruikers zich tijdens dezelfde periode van vijf seconden naar het opgegeven risiconiveau verplaatsen, voegen we de gegevens samen en verzenden we één e-mail voor alle gebruikers.

Als uw organisatie zelfherstel heeft ingeschakeld zoals beschreven in het artikel, Gebruikerservaringen met Microsoft Entra ID Protection, is er een kans dat de gebruiker hun risico kan oplossen voordat u de mogelijkheid hebt om dit te onderzoeken. U kunt riskante gebruikers en riskante aanmeldingen zien die al zijn hersteld door Hersteld toe te voegen aan het Risicostatus filter in de rapporten Riskante gebruikers of Riskante aanmeldingen.

Configureer waarschuwingen voor gedetecteerde risicogebruikers

Als beheerder kunt u het volgende instellen:

  • Het gebruikersrisiconiveau dat het genereren van deze e-mail activeert: het risiconiveau is standaard ingesteld op "Hoog" risico.
  • De geadresseerden van dit e-mailbericht
    • Optioneel kunt u hier een aangepaste e-mail toevoegen; de gedefinieerde gebruikers moeten de juiste machtigingen hebben om de gekoppelde rapporten te bekijken.

Configureer de 'gebruikers met risico'-e-mail in het Microsoft Entra-beheercentrum onder Bescherming>Identiteitsbescherming>Waarschuwingen voor gebruikers met risico gedetecteerd.

Wekelijkse samenvattings-e-mail

De wekelijkse samenvattings-e-mail bevat een overzicht van nieuwe risicodetecties.
Deze bevat:

  • Nieuwe gedetecteerde gebruikers die risico lopen
  • Nieuwe gedetecteerde riskante aanmeldingen (in realtime)
  • Koppelingen naar de gerelateerde rapporten in ID Protection

Een schermopname met een voorbeeld van een wekelijkse samenvattings-e-mail.

Wekelijkse samenvattings-e-mail configureren

Als beheerder kunt u het verzenden van een wekelijkse samenvattings-e-mail in- of uitschakelen en de gebruikers kiezen die zijn toegewezen om de e-mail te ontvangen.

Configureer de wekelijkse samenvattingsemail in het Microsoft Entra-beheercentrum>Protection>Identity Protection>Wekelijkse samenvatting.

Zie ook