Notificações por e-mail no PIM
O Privileged Identity Management (PIM) permite que você saiba quando eventos importantes ocorrem em sua organização do Microsoft Entra, como quando uma função é atribuída ou ativada. O Privileged Identity Management mantém você informado enviando notificações por e-mail a você e a outros participantes. Esses e-mails também podem incluir links para tarefas relevantes, como ativar ou renovar uma função. Este artigo descreve a aparência desses e-mails, quando são enviados e quem os recebe.
Nota
Um evento no Privileged Identity Management pode gerar notificações por e-mail para vários destinatários – cessionários, aprovadores ou administradores. O número máximo de notificações enviadas por um evento é de 1000. Se o número de destinatários exceder 1000 – apenas os primeiros 1000 destinatários receberão uma notificação por e-mail. Isso não impede que outros cessionários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.
Endereço de e-mail do remetente e linha de assunto
Os emails enviados do Privileged Identity Management para as funções de recursos do Microsoft Entra ID e do Azure têm o seguinte endereço de email do remetente:
- Endereço de e-mail: MSSecurity-noreply@microsoft.com
- Nome para exibição: Microsoft Security
Importante
O azure-noreply@microsoft.com foi preterido e não deve mais enviar notificações por e-mail do PIM
Esses e-mails incluem um prefixo PIM na linha de assunto. Eis um exemplo:
- PIM: Alain Charon recebeu permanentemente a função de Leitor de Backup
Tempo do e-mail para aprovações de ativação
Quando os usuários ativam sua função e a configuração de função requer aprovação, os aprovadores recebem dois e-mails para cada aprovação:
- Solicitação para aprovar ou negar a solicitação de ativação do usuário (enviada pelo mecanismo de aprovação de solicitação)
- A solicitação do usuário é aprovada (enviada pelo mecanismo de aprovação da solicitação)
Além disso, os Administradores Globais e os Administradores de Função Privilegiada recebem um e-mail para cada aprovação:
- A função do usuário é ativada (enviada pelo Privileged Identity Management)
Os dois primeiros e-mails enviados pelo mecanismo de aprovação de solicitação podem ser atrasados. Atualmente, 90% dos e-mails levam de três a dez minutos, mas para 1% dos clientes pode ser mais longo, até quinze minutos.
Se uma solicitação de aprovação for aprovada no portal do Azure antes do primeiro email ser enviado, o primeiro email não será mais acionado e outros aprovadores não serão notificados por email sobre a solicitação de aprovação. Pode parecer que eles não receberam um e-mail, mas é o comportamento esperado.
Notificações para funções do Microsoft Entra
O Privileged Identity Management envia e-mails quando ocorrem os seguintes eventos para funções do Microsoft Entra:
- Quando uma ativação de função privilegiada está pendente de aprovação
- Quando uma solicitação de ativação de função privilegiada é concluída
- Quando o Microsoft Entra Privileged Identity Management está habilitado
Quem recebe esses e-mails para funções do Microsoft Entra depende da sua função, do evento e da configuração de notificações.
| User | A ativação da função está pendente de aprovação | A solicitação de ativação de função foi concluída | O PIM está ativado |
|---|---|---|---|
| Administrador de função privilegiada( ativado) |
Sim (apenas se não forem especificados aprovadores explícitos) |
Sim* | Sim |
| Administrador de segurança (ativado) |
Não | Sim* | Sim |
| Administrador Global(Ativado) |
Não | Sim* | Sim |
* Se a configuração Notificações estiver definida como Ativar.
A seguir mostra um exemplo de email que é enviado quando um usuário ativa uma função do Microsoft Entra para a organização fictícia da Contoso.
E-mail de resumo do Privileged Identity Management semanal para funções do Microsoft Entra
Um email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra é enviado para Administradores de Função Privilegiada, Administradores de Segurança e Administradores Globais que habilitaram o Gerenciamento de Identidades Privilegiadas. Este e-mail semanal fornece um instantâneo das atividades do Privileged Identity Management para a semana, bem como atribuições de funções privilegiadas. Ele só está disponível para organizações do Microsoft Entra na nuvem pública. Aqui está um exemplo de e-mail:
O e-mail inclui:
| Mosaico | Description |
|---|---|
| Usuários ativados | Número de vezes que os usuários ativaram sua função qualificada dentro da organização. |
| Utilizadores tornados permanentes | Número de vezes que os usuários com uma atribuição qualificada se tornam permanentes. |
| Atribuições de função no Privileged Identity Management | Número de vezes que os usuários recebem uma função qualificada dentro do Privileged Identity Management. |
| Atribuições de função fora do PIM | Número de vezes que os usuários recebem uma função permanente fora do Privileged Identity Management (dentro do Microsoft Entra ID). Este alerta e o e-mail que o acompanha podem ser ativados ou desativados abrindo as configurações de alerta. |
A seção Visão geral das principais funções lista as cinco principais funções em sua organização com base no número total de administradores permanentes e qualificados para cada função. O link Agir abre o Discovery & Insights , onde você pode converter administradores permanentes em administradores qualificados em lotes.
Notificações para funções de recursos do Azure
Nota
No PIM, um Proprietário elegível é alguém a quem foi concedido acesso privilegiado just-in-time (JIT) para executar determinadas tarefas de gestão de grupos, que podem ser ativadas quando necessário. Isso é diferente de um proprietário permanente , que tem acesso contínuo para gerenciar grupos. Para obter mais informações sobre a propriedade JIT de um grupo, consulte Atribuir elegibilidade para um grupo no Privileged Identity Management.
Para manter grupos, o proprietário tem a capacidade de gerenciar o grupo, incluindo adicionar ou remover membros, renovar grupos que estão prestes a expirar e aprovar solicitações para ingressar no grupo. O PIM envia emails para Proprietários permanentes , Proprietários qualificados e Administradores de Acesso de Usuário quando ocorrem os seguintes eventos para funções de recursos do Azure:
- Quando uma atribuição de função está pendente de aprovação
- Quando uma função é atribuída
- Quando uma função está prestes a expirar
- Quando uma função é elegível para extensão
- Quando uma função está sendo renovada por um usuário final
- Quando uma solicitação de ativação de função é concluída
O Privileged Identity Management envia emails para usuários finais quando os seguintes eventos ocorrem para funções de recurso do Azure:
- Quando uma função é atribuída ao usuário
- Quando a função de um usuário expirou
- Quando a função de um usuário é estendida
- Quando a solicitação de ativação de função de um usuário é concluída
A seguir mostra um exemplo de email que é enviado quando um usuário recebe uma função de recurso do Azure para a organização fictícia da Contoso.
Notificações para PIM para Grupos
O Privileged Identity Management envia e-mails para Proprietários permanentes somente quando os seguintes eventos ocorrem para atribuições do PIM for Groups:
- Quando uma atribuição de função de Proprietário ou Membro está pendente de aprovação
- Quando uma função de Proprietário ou Membro é atribuída
- Quando uma função de Proprietário ou Membro está prestes a expirar
- Quando uma função de Proprietário ou Membro é elegível para extensão
- Quando uma função de Proprietário ou Membro está sendo renovada por um usuário final
- Quando uma solicitação de ativação de função de Proprietário ou Membro é concluída
O Privileged Identity Management envia e-mails aos usuários finais quando ocorrem os seguintes eventos para atribuições de função do PIM for Groups:
- Quando uma função de Proprietário ou Membro é atribuída ao usuário
- Quando a função de Proprietário ou Membro de um usuário expirou
- Quando a função de Proprietário ou Membro de um usuário é estendida
- Quando uma solicitação de ativação de função de Proprietário ou Membro de um usuário é concluída