Microsoft Entra ID Protection 通知
Microsoft Entra ID Protection 會傳送兩種自動化通知電子郵件,協助您管理使用者風險和風險偵測:
- 有風險使用者偵測到電子郵件
- 每週提要電子郵件
本文同時提供您這兩種通知電子郵件的概觀。
注意
我們不支援將電子郵件傳送給群組指派角色中的使用者。
重要
根據預設,如果使用者已設定有效的「電子郵件」或「備用電子郵件」,則會自動將使用者主動指派的全域管理員、安全性系統管理員或安全性讀取者角色新增至此清單。 如果使用者在 PIM 中註冊,以視需要提升為其中一個角色,他們必須在電子郵件傳送前完成提升,才會收到電子郵件。
有風險使用者偵測到電子郵件
若偵測到有風險的帳戶,Microsoft Entra ID Protection 會產生主旨為偵測到有風險的使用者的電子郵件警示來作為回應。 電子郵件包含 [標幟為有風險的使用者] 報告的連結。 作為最佳做法,您應該立即調查有風險的使用者。
此警示的設定可讓您指定要產生警示的使用者風險層級。 在使用者的風險層級達到您指定的程度時,就會產生電子郵件。 例如,若將原則設定為中等使用者風險的警示,而使用者的風險分數因為即時登入風險而轉變為中度風險,您將會收到「偵測到有風險的使用者」電子郵件。 如果使用者的後續風險偵測造成使用者風險層級計算成為指定的風險層級 (或更高層級),則在重新計算使用者風險分數後,您將會收到更多「偵測到有風險的使用者」電子郵件。 例如,假設您的設定值設為在中度風險時警示,如果使用者在 1 月 1 日移至中度風險,您便會收到電子郵件通知。 如果相同使用者在 1 月 5 日進行了另一次風險偵測,且經重新計算後使用者風險分數仍是「中等」,則您會收到另一封電子郵件通知。
如果使用者風險層級變更的時間比上次傳送的電子郵件還晚,則會傳送額外的電子郵件通知。 例如,使用者在 1 月 1 日上午 5 點登入,並沒有即時風險 (即不會因為登入而產生任何電子郵件)。 10 分鐘之後,上午 5:10,相同的使用者再次登入,並有高度即時風險,導致使用者風險層級移至高度,系統便會傳送電子郵件給您。 然後,在上午 5:15,原始登入 (上午 5 點) 的離線風險分數會因為離線風險處理而變成高風險。 因為第一次登入的時間早於已觸發電子郵件通知的第二次登入,所以系統不會傳送另一個標示為風險使用者的電子郵件。
為了避免電子郵件多載,您在 5 秒時段內只會收到一封電子郵件。 如果多個使用者在相同的 5 秒期間內轉變為指定的風險層級,我們將為所有這些使用者彙總資料並傳送一封電子郵件。
如果您的組織已啟用自我補救,如使用 Microsoft Entra ID Protection 的使用者體驗文章所述,可能會讓使用者在您有機會調查之前,先行補救其風險。 您可以在 [風險性使用者] 或[風險性登入] 報告中,將 [已補救] 新增至 [風險狀態] 篩選條件,藉此查看已補救的風險性使用者和風險性登入。
設定偵測到具風險使用者的警示
如果您是系統管理員,您可以設定:
- 觸發產生此電子郵件的使用者風險層級 - 依預設,風險層級設為「高」風險。
- 此電子郵件的收件者
- 或者,您可以在此處新增自訂電子郵件,定義的使用者必須具有適當的權限,才能檢視連結的報告。
在 Microsoft Entra 系統管理中心的 [保護] > [Identity Protection] > [偵測到有風險使用者的警示] 底下,設定有風險使用者的電子郵件。
每週提要電子郵件
每週摘要電子郵件包含新風險偵測的摘要。
包括:
- 偵測到新的風險性使用者
- 偵測到新的風險性登入 (即時)
- ID Protection 中相關報告的連結
設定每週摘要電子郵件
身為管理員,您可以開啟或關閉傳送每週摘要電子郵件的功能,並選擇指派的使用者來接收電子郵件。
在 Microsoft Entra 系統管理中心>[保護] > [Identity Protection] > [每週摘要] 中設定每週摘要電子郵件。