Поделиться через

Уведомления Microsoft Entra — Защита идентификационных данных

  • Статья

Защита идентификации Microsoft Entra отправляет два типа автоматических уведомлений электронной почты, которые помогут вам управлять рисками пользователей и обнаружением рисков:

  • Пользователи в группе риска обнаружили электронную почту
  • Еженедельный дайджест электронной почты

В этой статье рассматриваются оба уведомления по электронной почте.

Примечание.

Мы не поддерживаем отправку сообщений электронной почты пользователям в назначаемых группами ролях.

Внимание

По умолчанию пользователи, активно назначенные на роли Глобального администратора, Администратора безопасности или Читателя безопасности, автоматически добавляются в этот список, если у этого пользователя настроен допустимый адрес "Электронная почта" или "Альтернативный адрес электронной почты". Если пользователь зарегистрирован в привилегированном управлении удостоверениями (PIM), чтобы повысить уровень до одной из этих ролей по запросу, они получат только сообщения электронной почты, если они повышены во время отправки сообщения электронной почты.

Пользователи в группе риска обнаружили электронную почту

В ответ на обнаружение учетной записи, подверженной риску, Защита идентификации Microsoft Entra создает электронное письмо с темой Обнаружены пользователи, подверженные риску. Электронное письмо содержит ссылку на отчет Пользователи, отмеченные как опасные. Рекомендуется немедленно исследовать пользователей, которым грозит опасность.

В конфигурации этого оповещения можно указать уровень риска, на котором оно будет создаваться. Сообщение электронной почты создается, когда уровень риска пользователя достигает указанного вами уровня риска. Например, если политика настроена на оповещение о среднем уровне риска для пользователя, и оценка риска пользователя возрастает до среднего уровня из-за риска входа в систему в режиме реального времени, вы получите уведомление по электронной почте о пользователях, находящихся в зоне риска. Если у пользователя есть последующие обнаружения рисков, которые приводят к вычислению уровня риска пользователя на заданном уровне (или выше), вы получите больше уведомлений о пользователях, находящихся в зоне риска, когда оценка риска пользователя пересчитывается. Например, если оценка риска пользователя выйдет на средний уровень 1 января, вы получите уведомление по электронной почте при условии, что настроено информирование о достижении среднего уровня риска. Если этот же пользователь получает зафиксированный случай риска 5 января, и оценка уровня риска пользователя пересчитывается, но остаётся средней, вы получите ещё одно уведомление по электронной почте.

Дополнительное уведомление по электронной почте отправляется, если время изменения уровня риска пользователя более позднее, чем последнее уведомление на электронную почту. Предположим, например, что пользователь входит 1 января в 5:00, и риск в реальном времени не фиксируется (это означает, что из-за этого входа электронное уведомление отправлено не будет). Через десять минут, в 5:10, тот же пользователь снова заходит в систему с высоким уровнем риска в реальном времени, вследствие чего уровень риска пользователя становится высоким, и отправляется электронное письмо. Затем в 5:15 показатель риска для первоначального входа в систему (в 5:00) меняется на высокий вследствие автономной обработки рисков. Ещё одному пользователю уведомление по электронной почте, связанное с риском, не будет отправлено, так как первый вход был совершен до второго входа, который уже вызвал отправку уведомления по электронной почте.

Чтобы предотвратить перегрузку электронной почты, вы получаете только одну электронную почту в течение 5-секундного периода. Если несколько пользователей перемещаются на указанный уровень риска в течение одного и того же 5-секундного периода времени, мы агрегируем данные и отправим одну электронную почту для всех этих пользователей.

Если ваша организация включила самостоятельное исправление, как описано в статье, возможно, взаимодействие с пользователем в системе Microsoft Entra ID Protection, есть вероятность того, что пользователь может устранить свой риск, прежде чем у вас появится возможность его исследовать. Вы можете увидеть рискованных пользователей и рискованные входы, которые уже были исправлены, добавив исправление в фильтр состояния риска в отчетах о рискованных пользователях или рискованных входах.

Настройка оповещений об обнаружении пользователей, совершающих рискованные действия

Как администратор вы можете настроить:

  • Уровень риска пользователя, который запускает генерацию этого письма. По умолчанию уровень риска установлен на "Высокий".
  • Получатели этого сообщения электронной почты
    • При необходимости можно добавить настраиваемую электронную почту здесь , определенные пользователи должны иметь соответствующие разрешения для просмотра связанных отчетов.

Настройте оповещения по электронной почте для пользователей, подверженных риску, в Центре администрирования Microsoft Entra в разделе "Защита" — "Защита идентификации" — "Оповещения о пользователях, подверженных риску".

Еженедельный дайджест электронной почты

В электронном сообщении еженедельного дайджеста содержится сводка новых обнаружений риска.
Сюда входят:

  • Обнаружены новые пользователи, совершающие рискованные действия
  • обнаруженные новые рискованные входы (в режиме реального времени);
  • Ссылки на связанные отчеты в системе ID Protection

Снимок экрана: пример еженедельного дайджеста электронной почты.

Настройка еженедельного дайджеста электронной почты

Как администратор вы можете отключить отправку еженедельных дайджестов по электронной почте, а также выбрать их получателей.

Настройте еженедельный дайджест электронной почты в Центре администрирования Microsoft Entra в разделе Защита идентификации, Еженедельный дайджест.

См. также