Udostępnij za pośrednictwem

powiadomienia Ochrona tożsamości Microsoft Entra

  • Artykuł

Ochrona tożsamości Microsoft Entra wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, aby ułatwić zarządzanie ryzykiem użytkownika i wykrywaniem ryzyka:

  • Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników
  • Wiadomość e-mail z podsumowaniem tygodniowym

Ten artykuł zawiera omówienie obu wiadomości e-mail z powiadomieniami.

Uwaga

Nie obsługujemy wysyłania wiadomości e-mail do użytkowników w rolach przypisanych do grupy.

Ważne

Domyślnie użytkownicy aktywnie przypisani role administratora globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń są automatycznie dodawane do tej listy, jeśli ten użytkownik ma skonfigurowany prawidłowy "adres e-mail" lub "Alternatywny adres e-mail". Jeśli użytkownik został zarejestrowany w usłudze PIM na potrzeby podwyższania jego uprawnień do jednej z tych ról na żądanie, otrzyma on wiadomość e-mail tylko wtedy, gdy ma podwyższone uprawnienia w chwili wysłania tej wiadomości.

Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników

W odpowiedzi na wykryte konto na ryzyko Ochrona tożsamości Microsoft Entra generuje alert e-mail z informacją o wykrytym ryzyku przez użytkowników jako temat. Wiadomość e-mail zawiera link do raportu Użytkownicy oflagowani w celu uzyskania ryzyka. Najlepszym rozwiązaniem jest natychmiastowe zbadanie zagrożonych użytkowników.

Konfiguracja tego alertu umożliwia określenie, na jakim poziomie ryzyka użytkownika ma zostać wygenerowany alert. Wiadomość e-mail jest generowana, gdy poziom ryzyka użytkownika osiągnie określony poziom. Jeśli na przykład ustawisz zasady, aby otrzymywać alerty dotyczące średniego ryzyka związanego z użytkownikiem, a wskaźnik ryzyka użytkownika zostanie przeniesiony na średnie ryzyko ze względu na ryzyko logowania w czasie rzeczywistym, otrzymasz wiadomość e-mail wykrytą przez użytkowników. Jeśli użytkownik ma kolejne wykrycia ryzyka, które powodują obliczenie poziomu ryzyka użytkownika na określony poziom ryzyka (lub wyższy), otrzymasz więcej wiadomości e-mail wykrytych przez użytkownika, gdy ocena ryzyka użytkownika zostanie ponownie obliczona. Jeśli na przykład użytkownik przeniesie się na średnie ryzyko 1 stycznia, otrzymasz powiadomienie e-mail, jeśli ustawienia zostaną ustawione na alerty dotyczące średniego ryzyka. Jeśli ten sam użytkownik ma inne wykrywanie ryzyka w dniu 5 stycznia, a wynik ryzyka użytkownika zostanie ponownie obliczony, ale nadal jest średni, otrzymasz kolejne powiadomienie e-mail.

Dodatkowe powiadomienie e-mail jest wysyłane, jeśli czas zmiany poziomu ryzyka użytkownika jest nowszy niż ostatnia wysłana wiadomość e-mail. Na przykład użytkownik loguje się 1 stycznia o 5:00 i nie ma ryzyka w czasie rzeczywistym (co oznacza, że żadna wiadomość e-mail nie zostanie wygenerowana z powodu tego logowania). 10 minut później, o 5:10, ten sam użytkownik loguje się ponownie i ma duże ryzyko w czasie rzeczywistym, powodując poziom ryzyka użytkownika, aby przejść do wysokiego i wysłać wiadomość e-mail. Następnie o 5:15, ocena ryzyka offline dla oryginalnego logowania o 5:00 zmienia się na wysokie ryzyko z powodu przetwarzania ryzyka offline. Inny użytkownik oflagowany pod kątem ryzykownej poczty e-mail nie zostanie wysłany, ponieważ czas pierwszego logowania był przed drugim logowaniem, które już wyzwoliło powiadomienie e-mail.

Aby zapobiec przeciążeniu wiadomości e-mail, w ciągu 5-sekundowego okresu otrzymasz tylko jedną wiadomość e-mail. Jeśli wielu użytkowników przejdzie do określonego poziomu ryzyka w tym samym 5-sekundowym okresie, zagregujemy dane i wyślemy jedną wiadomość e-mail dla wszystkich z nich.

Jeśli Twoja organizacja włączyła samodzielne korygowanie zgodnie z opisem w artykule, środowisko użytkownika z Ochrona tożsamości Microsoft Entra istnieje prawdopodobieństwo, że użytkownik może skorygować swoje ryzyko przed uzyskaniem możliwości zbadania. Możesz zobaczyć ryzykownych użytkowników i ryzykownych logowań, które zostały już skorygowane przez dodanie skorygowanego do filtru Stan ryzyka w raportach Ryzykownych użytkowników lub Ryzykownych logowań .

Konfigurowanie użytkowników zagrożonych wykrytych alertów

Jako administrator możesz ustawić następujące ustawienia:

  • Poziom ryzyka użytkownika, który wyzwala generowanie tej wiadomości e-mail — domyślnie poziom ryzyka jest ustawiony na wartość „Wysoki”.
  • Adresaci tej wiadomości e-mail
    • Opcjonalnie możesz dodać niestandardową pocztę e-mail w tym miejscu zdefiniowani użytkownicy muszą mieć odpowiednie uprawnienia do wyświetlania połączonych raportów.

Skonfiguruj wiadomości e-mail użytkowników zagrożonych w centrum administracyjnym firmy Microsoft w obszarze Ochrona użytkowników usługi>Identity Protection>zagrożonych wykrytych alertów.

Wiadomość e-mail z podsumowaniem tygodniowym

Cotygodniowa wiadomość e-mail zawierająca podsumowanie nowych wykryć ryzyka.
Zawartość:

  • Wykryto nowych ryzykownych użytkowników
  • Wykryto nowe ryzykowne logowania (w czasie rzeczywistym)
  • Linki do powiązanych raportów w usłudze ID Protection

Zrzut ekranu przedstawiający przykładową wiadomość e-mail z podsumowaniem tygodniowym.

Konfigurowanie wiadomości e-mail szyfrowane co tydzień

Jako administrator możesz przełączyć wysyłanie cotygodniowej wiadomości e-mail szyfrowanych i wybrać użytkowników przypisanych do odbierania wiadomości e-mail.

Skonfiguruj cotygodniowe wiadomości e-mail szyfrowane w ramach tygodniowego skrótu usługi Microsoft Entra Admin Center>Protection Identity>Protection.>

Zobacz też