Partekatu honen bidez:


Notificaciones por correo electrónico en PIM

Privileged Identity Management (PIM) le permite saber cuándo se producen eventos importantes en la organización de Microsoft Entra, como el momento en que se asigna o se activa un rol. Privileged Identity Management le mantiene informado mediante el envío de notificaciones de correo electrónico, a usted y a otros participantes. Estos mensajes de correo electrónico también podrían incluir vínculos a tareas pertinentes, tales como la activación o renovación de un rol. En este artículo se describe el aspecto de estos correos electrónicos, cuándo se envían y quién los recibe.

Nota

Un evento de Privileged Identity Management puede generar notificaciones por correo electrónico a varios destinatarios: usuarios asignados, aprobadores o administradores. El número máximo de notificaciones enviadas por evento es 1000. Si el número de destinatarios superase los 1000, solo los primeros 1000 destinatarios recibirán una notificación por correo electrónico. Esto no impedirá que otros usuarios asignados, administradores o aprobadores usen sus permisos en Microsoft Entra ID y Privileged Identity Management.

Dirección de correo electrónico del remitente y línea de asunto

Los correos electrónicos enviados desde Privileged Identity Management tanto para Microsoft Entra ID como para los roles de recursos de Azure tienen la siguiente dirección de correo electrónico del remitente:

  • Dirección de correo electrónico: MSSecurity-noreply@microsoft.com
  • Nombre para mostrar: Seguridad de Microsoft

Importante

El azure-noreply@microsoft.com ha quedado en desuso y ya no debe enviar notificaciones por correo electrónico de PIM

Estos mensajes de correo electrónico incluyen un prefijo PIM en la línea de asunto. Este es un ejemplo:

  • PIM: a Alain Charon se le ha asignado el rol de lector de copias de seguridad de forma permanente

Temporización del correo electrónico en las aprobaciones de activación

Cuando los usuarios activan su rol y la configuración de roles requieren aprobación, los aprobadores reciben dos correos electrónicos para cada aprobación:

  • Solicitud para aprobar o denegar la solicitud de activación del usuario (enviada por el motor de aprobación de solicitudes)
  • Se ha aprobado la solicitud del usuario (enviada por el motor de aprobación de solicitudes)

Además, los administradores globales y los administradores de roles con privilegios reciben un correo electrónico para cada aprobación:

  • Se ha activado el rol del usuario (enviado por Privileged Identity Management)

Los dos primeros correos electrónicos enviados por el motor de aprobación de solicitudes pueden enviarse con retraso. Actualmente, el 90 % de los mensajes de correo electrónico tardan entre tres y diez minutos, pero en un 1 % de los clientes este tiempo puede alargarse hasta quince minutos.

Si se acepta una solicitud de aprobación en Azure Portal antes de que se envíe el primer correo electrónico, este ya no se desencadenará y los demás aprobadores ya no recibirán por correo electrónico la solicitud de aprobación. Puede parecer que no han recibido un correo electrónico, pero es el comportamiento esperado.

Notificaciones para roles de Microsoft Entra

Privileged Identity Management envía mensajes de correo electrónico cuando se producen los eventos siguientes para roles de Microsoft Entra:

  • Cuando una activación de roles con privilegios está pendiente de aprobación
  • Cuando se completa una solicitud de activación de roles con privilegios
  • Cuando está habilitada Microsoft Entra Privileged Identity Management

El destinatario de estos correos electrónicos para roles de Microsoft Entra depende del rol que tenga, el evento y el valor de las notificaciones.

User La activación de roles está pendiente de aprobación La solicitud de activación de roles está completa PIM está habilitado
Administrador de roles con privilegios
(activado)

(solo si no se especifican aprobadores explícitos)
Sí*
Administrador de seguridad
(activado)
No Sí*
Administrador global
(activado)
No Sí*

* Si el parámetro Notificaciones se establece en Habilitar.

El siguiente ejemplo muestra un correo electrónico que se envía cuando un usuario activa un rol con privilegios para la organización ficticia de Contoso.

Captura de pantalla que muestra el nuevo correo electrónico de Privileged Identity Management para roles de Microsoft Entra.

Correo electrónico con el resumen semanal de Privileged Identity Management para los roles de Microsoft Entra

Se envía un correo electrónico semanal con el resumen de Privileged Identity Management para los roles de Microsoft Entra a los administradores de roles con privilegios, los administradores de seguridad y los administradores globales que han habilitado Privileged Identity Management. Este correo electrónico semanal proporciona una instantánea de las actividades de Privileged Identity Management para la semana, así como las asignaciones de roles con privilegios. Solo está disponible para las organizaciones de Microsoft Entra en la nube pública. Este es un ejemplo de correo electrónico:

Captura de pantalla que muestra el correo electrónico de resumen semanal de Privileged Identity Management para roles de Microsoft Entra.

En el correo electrónico se incluye lo siguiente:

Icono Descripción
Users activated (Activaciones de usuarios) Número de veces que los usuarios activaron su rol apto dentro de la organización.
Users made permanent (Usuarios convertidos en permanentes) Número de veces que los usuarios con una asignación apta se hicieron permanentes.
Asignaciones de roles en Privileged Identity Management Número de veces que los usuarios recibieron un rol apto dentro de Privileged Identity Management.
Role assignments outside of PIM (Asignaciones de roles fuera de PIM) Número de veces que a los usuarios se les asigna un rol permanente fuera de Privileged Identity Management (dentro de Microsoft Entra ID). Esta alerta y el correo electrónico que la acompaña pueden habilitarse o deshabilitarse abriendo la configuración de alertas.

En la sección Información general de los roles principales figuran los cinco principales roles en la organización según el número total de administradores permanentes y aptos para cada rol. El vínculo Realizar acción abre Detección e información donde puede convertir administradores permanentes en administradores aptos en lotes.

Notificaciones para roles de recursos de Azure

Nota:

En PIM, un propietario apto es alguien a quien se le ha concedido acceso con privilegios de tipo Just-In-Time (JIT) para realizar determinadas tareas de administración de grupos y que se puede activar cuando sea necesario. No es lo mismo que un propietario permanente, que tiene acceso continuo para administrar grupos. Para obtener más información sobre la propiedad JIT de un grupo, consulte Asignación de la idoneidad de un grupo en Privileged Identity Management.

En el caso del mantenimiento de grupos, el propietario puede administrar el grupo, lo que incluye agregar o quitar miembros, renovar los grupos que están a punto de expirar y aprobar las solicitudes para unirse al grupo. PIM envía mensajes de correo electrónico a los propietarios permanentes y aptos y a los administradores de acceso de usuarios cuando se producen los siguientes eventos para los roles de recursos de Azure:

  • Cuando una asignación de roles está pendiente de aprobación
  • Cuando se asigna un rol
  • Cuando un rol está a punto de expirar
  • Cuando un rol se puede ampliar
  • Cuando un rol se está renovando por un usuario final
  • Cuando se completa una solicitud de activación de rol

Privileged Identity Management envía mensajes de correo electrónico a los usuarios finales cuando se producen los siguientes eventos para los roles de recursos de Azure:

  • Cuando se asigna un rol al usuario
  • Cuando expira un rol del usuario
  • Cuando se amplía un rol del usuario
  • Cuando se completa una solicitud de activación de rol del usuario

Este es un correo electrónico de ejemplo que se envía cuando se asigna a un usuario un rol de recursos de Azure para la organización ficticia Contoso.

Captura de pantalla que muestra el nuevo correo electrónico de Privileged Identity Management para los roles de recursos de Azure.

Notificaciones de PIM para grupos

Privileged Identity Management envía correos electrónicos a los propietarios permanentes solo cuando se producen los siguientes eventos para las asignaciones de PIM para grupos:

  • Cuando una asignación de roles de propietario o miembro está pendiente de aprobación
  • Cuando se asigna un rol de propietario o miembro
  • Cuando un rol de propietario o miembro está a punto de expirar
  • Cuando un rol de propietario o miembro se puede ampliar
  • Cuando un usuario final renueva un rol de propietario o miembro
  • Cuando se completa una solicitud de activación de rol de propietario o miembro

Privileged Identity Management envía correos electrónicos a los usuarios finales cuando se producen los siguientes eventos para las asignaciones de roles de PIM para grupos:

  • Cuando se asigna un rol de propietario o miembro al usuario
  • Cuando el rol de propietario o miembro de un usuario ha expirado
  • Cuando se amplía el rol de propietario o miembro de un usuario
  • Cuando se completa una solicitud de activación de rol de propietario o miembro de un usuario

Pasos siguientes