Notificaciones de Protección de id. de Microsoft Entra
Protección de id. de Microsoft Entra envía dos tipos de correos electrónicos de notificación automatizados para ayudarle a administrar el riesgo del usuario y las detecciones de riesgo:
- Correo electrónico de los usuarios en riesgo detectados
- Correo electrónico de resumen semanal
En este artículo se proporciona una introducción de ambos correos electrónicos de notificación.
Nota
No se admite el envío de correos electrónicos a los usuarios con roles asignados por grupos.
Importante
De manera predeterminada, los usuarios asignados activamente a los roles de Administrador global, Administrador de seguridad o Lector de seguridad se agregan automáticamente a esta lista si el usuario tiene configurado un "correo electrónico" o "correo electrónico alternativo" válidos. Si un usuario está inscrito en PIM para ascender a uno de estos roles previa petición, solo recibirá mensajes de correo electrónico si se asciende en el momento en que se envía el correo electrónico.
Correo electrónico de los usuarios en riesgo detectados
En respuesta a una cuenta detectada en riesgo, Protección de id. de Microsoft Entra genera una alerta de correo electrónico con el asunto Usuarios en riesgo detectados. El correo electrónico incluye un vínculo al informe Usuarios marcados como de riesgo. Como procedimiento recomendado, debería investigar inmediatamente los usuarios en peligro.
La configuración de esta alerta permite especificar a qué nivel de riesgo del usuario desea que se genere la alerta. El correo electrónico se generará cuando el nivel de riesgo del usuario alcance lo especificado. Por ejemplo, si establece la directiva para que alerte cuando el riesgo del usuario sea medio y la puntuación del riesgo pase a ser de riesgo medio debido a un riesgo de inicio de sesión en tiempo real, recibirá un correo electrónico en el que se indica que se han detectado usuarios en riesgo. Si el usuario tiene detecciones de riesgo posteriores que hacen que el cálculo de su nivel de riesgo sea el especificado (o superior), recibirá correos electrónicos de usuarios en riesgo detectados cuando se vuelva a calcular la puntuación del riesgo del usuario. Por ejemplo, si un usuario pasa a un riesgo medio el 1 de enero, recibirá una notificación por correo electrónico si la configuración está establecida para alertar sobre el riesgo medio. Si ese mismo usuario tiene otra detección de riesgos el 5 de enero y su puntuación de riesgo se vuelve a calcular pero sigue siendo de nivel medio, recibirá otra notificación por correo electrónico.
Se envia una notificación por correo electrónico adicional si la hora del cambio del nivel de riesgo del usuario es más reciente que el envío del último correo electrónico. Por ejemplo, un usuario inicia sesión el 1 de enero a las 5:00 y no hay ningún riesgo en tiempo real (lo que significa que no se generará ningún correo electrónico debido a ese inicio de sesión). Diez minutos después, a las 5:10, el mismo usuario vuelve a iniciar sesión y tiene un riesgo alto en tiempo real, lo que hace que su nivel de riesgo cambie a alto y se envíe un correo electrónico. Después, a las 5:15, la puntuación de riesgo sin conexión del inicio de sesión original de las 5:00 cambia a riesgo alto debido al procesamiento de riesgos sin conexión. No se le enviará un correo electrónico adicional al usuario para indicarle que ha sido marcado como de riesgo, ya que la hora del primer inicio de sesión era anterior al segundo que ya descendadenó una notificación por correo electrónico.
Para evitar una sobrecarga de correos electrónicos, solo recibirá un correo electrónico en un período de cinco segundos. Si varios usuarios pasan al nivel de riesgo especificado durante el mismo período de cinco segundos, agregaremos los datos y enviaremos un solo mensaje de correo electrónico para todos ellos.
Si su organización ha habilitado la corrección automática, como se describe en el artículo Experiencias de usuario con Protección de id. de Microsoft Entra, existe la posibilidad de que el usuario pueda corregir el riesgo antes de que usted tenga la oportunidad de investigar. Para ver los usuarios de riesgo y los inicios de sesión de riesgo que ya se han corregido, agregue Corregido al filtro Estado de riesgo en los informes Usuarios de riesgo o Inicios de sesión de riesgo.
Configuración de alertas detectadas sobre usuarios en riesgo
Como administrador, puede establecer:
- El nivel de riesgo de usuario que desencadena la generación de este correo electrónico: de manera predeterminada, el nivel de riesgo se establece en riesgo "Alto".
- Destinatarios del correo electrónico
- De manera opcional, puede agregar correo electrónico personalizado aquí. Los usuarios definidos deben tener los permisos adecuados para ver los informes vinculados.
Configure el correo electrónico de los usuarios en riesgo en el Centro de administración Microsoft Entra en Protección>Protección de id.>Alertas detectadas de usuarios en riesgo.
Correo electrónico de resumen semanal
El correo electrónico de resumen semanal contiene un resumen de nuevas detecciones de riesgo.
Incluye:
- Nuevos usuarios de riesgo detectados
- Nuevos inicios de sesión de riesgo detectados (en tiempo real)
- Vínculos a los informes relacionados en Protección de id.
Configuración de correo electrónico de resumen semanal
Como administrador, puede activar o desactivar el envío de un correo electrónico de resumen semanal y elegir a los usuarios asignados para recibirlo.
Configure el correo electrónico de resumen semanal en el Centro de administración Microsoft Entra>Protección>Protección de id.>Resumen semanal.