Partage via


Notifications par e-mail dans PIM

Privileged Identity Management (PIM) vous informe quand des événements importants se produisent dans votre organisation Microsoft Entra, par exemple l’attribution ou l’activation d’un rôle. Pour vous tenir informé, Privileged Identity Management envoie des notifications par e-mail qui sont adressées à vous et à d’autres participants. Ces e-mails peuvent également inclure des liens vers des tâches appropriées, comme l’activation ou le renouvellement d’un rôle. Cet article décrit à quoi ressemblent ces e-mails, quand ils sont envoyés et qui les reçoit.

Notes

Un événement dans Privileged Identity Management peut générer des Notifications par e-mail vers plusieurs destinataires : les destinataires, les approbateurs ou les administrateurs. Le nombre maximal de notifications envoyées par événement est de 1 000. Si le nombre de destinataires dépasse 1 000, seuls les 1 000 premiers destinataires reçoivent une notification par e-mail. Cela n’empêche pas d’autres responsables, administrateurs ou approbateurs d’utiliser leurs autorisations dans Microsoft Entra ID et Privileged Identity Management.

Adresse e-mail de l’expéditeur et ligne Objet

L’adresse de l’expéditeur des e-mails envoyés par Privileged Identity Management pour les rôles de ressources Microsoft Entra ID et Azure est la suivante :

  • Adresse e-mail : MSSecurity-noreply@microsoft.com
  • Nom d’affichage : Sécurité Microsoft

Important

Le message azure-noreply@microsoft.com a été déconseillé et ne doit plus envoyer aucune notification PIM par e-mail

Ces e-mails incluent un préfixe PIM dans la ligne Objet. Voici un exemple :

  • PIM : Le rôle Lecteur de sauvegarde a été définitivement attribué à Alain Charon

Chronologie des e-mails pour les approbations d’activation

Lorsque des utilisateurs activent leur rôle et que le paramètre de rôle nécessite une approbation, les approbateurs reçoivent deux e-mails pour chaque approbation :

  • Demande d’approbation ou de refus de la demande d’activation de l’utilisateur (envoyée par le moteur d’approbation des demandes)
  • La demande de l’utilisateur est approuvée (envoyée par le moteur d’approbation des demandes)

En outre, les Administrateurs généraux et les Administrateurs de rôle privilégié reçoivent un e-mail pour chaque approbation :

  • Le rôle de l’utilisateur est activé (envoyé par Privileged Identity Management)

Les deux premiers e-mails envoyés par le moteur d’approbation des demandes peuvent être retardés. Actuellement, 90 % des e-mails prennent entre trois et dix minutes, mais pour 1 % des clients, ce délai peut s’avérer plus long, jusqu’à quinze minutes.

Si une demande d’approbation est approuvée dans le portail Azure avant l’envoi du premier e-mail, le premier e-mail n’est plus déclenché et les autres approbateurs ne sont pas avertis par e-mail de la demande d’approbation. Cela peut donner l’impression qu’ils n’ont pas reçu d’e-mail, mais c’est le comportement attendu.

Notifications pour les rôles Microsoft Entra

Privileged Identity Management envoie des e-mails quand les événements suivants se produisent pour des rôles Microsoft Entra :

  • Quand l’activation d’un rôle privilégié est en attente d’approbation
  • Quand une demande d’activation de rôle privilégié est approuvée
  • Quand Microsoft Entra Privileged Identity Management est activé

Les destinataires de ces e-mails pour les rôles Microsoft Entra varient selon votre rôle, l’événement et le paramètre de notification.

Utilisateur Une activation d’un rôle est en attente d’approbation Une demande d’activation de rôle est terminée PIM est activé
Administrateur de rôle privilégié
(Activé)
Oui
(uniquement si aucun approbateur explicite n’est spécifié)
Oui* Oui
Administrateur de la sécurité
(Activé)
Non Oui* Oui
Administrateur général
(Activé)
Non Oui* Oui

* Si le paramètre Notifications a la valeur Activer.

L’exemple suivant montre un exemple d’e-mail envoyé lorsqu’un utilisateur active un rôle privilégié Microsoft Entra pour l’entreprise fictive Contoso.

Capture d’écran montrant le nouvel e-mail sur Privileged Identity Management pour les rôles Microsoft Entra.

Courriel hebdomadaire sur Privileged Identity Management pour les rôles Microsoft Entra

Un e-mail Privileged Identity Management récapitulatif pour les rôles Microsoft Entra est envoyé chaque semaine aux administrateurs de rôles privilégiés, administrateurs de sécurité et administrateurs généraux qui ont activé Privileged Identity Management. Cet e-mail hebdomadaire fournit un instantané des activités Privileged Identity Management pour la semaine, ainsi que les attributions de rôles privilégiés. Il est uniquement disponible pour les organisations Microsoft Entra sur le cloud public. Voici un exemple d’e-mail :

Capture d’écran montrant l’e-mail de synthèse hebdomadaire sur Privileged Identity Management pour les rôles Microsoft Entra.

Cet e-mail comprend :

Vignette Description
Utilisateurs activés Nombre de fois que les utilisateurs ont activé leur rôle éligible au sein de l’organisation.
Utilisateurs devenus permanents Nombre de fois que les utilisateurs avec une attribution éligible sont devenus permanents.
Attributions de rôle dans Privileged Identity Management Nombre de fois que les utilisateurs se voient attribuer un rôle éligible dans Privileged Identity Management.
Attributions de rôles en dehors de PIM Nombre de fois que les utilisateurs se voient attribuer un rôle permanent en dehors de Privileged Identity Management (dans Microsoft Entra ID). Cette alerte et l’e-mail qui l’accompagne peuvent être activés ou désactivés en ouvrant les paramètres d’alerte.

La vue d’ensemble des rôles principaux liste les cinq rôles principaux de votre organisation en fonction du nombre total d’administrateurs permanents et éligibles pour chaque rôle. Le lien Entreprendre une action ouvre Discovery & Insights où vous pouvez convertir des administrateurs permanents en administrateurs éligibles par lots.

Notifications pour les rôles de ressources Azure

Remarque

Dans PIM, un propriétaire éligible est une personne disposant d’un accès privilégié juste-à-temps (JIT) pour effectuer certaines tâches de gestion des groupes, qui peuvent être activées si nécessaire. C’est différent d’un propriétaire permanent, qui a accès en continu à la gestion des groupes. Pour plus d’informations sur la propriété JIT d’un groupe, consultez Affecter l’éligibilité d’un groupe dans Privileged Identity Management.

Pour la maintenance des groupes, le propriétaire a la possibilité de gérer le groupe, y compris l’ajout ou la suppression de membres, le renouvellement de groupes sur le point d’expirer et l’approbation des demandes d’adhésion au groupe. PIM envoie des e-mails aux propriétaires permanents, aux propriétaires éligibles et administrateurs de l’accès utilisateur quand les événements suivants se produisent pour les rôles de ressources Azure :

  • Quand une attribution de rôle est en attente d’approbation
  • Quand un rôle est attribué
  • Quand un rôle va bientôt expirer
  • Quand un rôle peut être étendu
  • Quand un rôle est renouvelé par un utilisateur final
  • Quand une demande d’activation de rôle est terminée

Privileged Identity Management envoie des e-mails aux utilisateurs finals quand les événements suivants se produisent pour les rôles de ressources Azure :

  • Quand un rôle est attribué à l’utilisateur
  • Quand le rôle d’un utilisateur a expiré
  • Quand le rôle d’un utilisateur est étendu
  • Quand la demande d’activation de rôle d’un utilisateur est terminée

L’exemple suivant montre un exemple d’e-mail envoyé quand un utilisateur se voit attribuer un rôle de ressource Azure pour l’organisation fictive Contoso.

Capture d’écran montrant le nouvel e-mail sur Privileged Identity Management pour les rôles de ressources Azure.

Notifications pour PIM pour les groupes

Privileged Identity Management envoie des e-mails aux propriétaires permanents uniquement lorsque les événements suivants se produisent pour les attributions PIM pour les groupes :

  • lorsqu’une attribution de rôle de propriétaire ou de membre est en attente d’approbation
  • lorsqu’un rôle de propriétaire ou de membre est attribué
  • lorsqu’un rôle de propriétaire ou de membre est sur le point d’expirer
  • lorsqu’un rôle de propriétaire ou de membre est éligible pour une extension
  • lorsqu’un rôle de propriétaire ou de membre est renouvelé par l’utilisateur final
  • lorsqu’une requête d’activation de rôle de propriétaire ou de membre est terminée

Privileged Identity Management envoie des e-mails aux utilisateurs finaux uniquement lorsque les événements suivants se produisent pour les attributions PIM pour les groupes :

  • lorsqu’un rôle de propriétaire ou de membre est attribué à un utilisateur
  • lorsque le rôle de propriétaire ou de membre d’un utilisateur a expiré
  • lorsque le rôle de propriétaire ou de membre d’un utilisateur a été étendu
  • lorsque la requête d’activation de rôle de propriétaire ou de membre d’un utilisateur est terminée

Étapes suivantes