PIM での電子メール通知
Privileged Identity Management (PIM) を使うと、Microsoft Entra 組織で、ロールが割り当てられたり、アクティブ化されたりした場合などの重要なイベントがいつ発生したかを知ることができます。 Privileged Identity Management では、自分やその他の参加者に電子メール通知が送信されるため、常に最新情報を取得できます。 これらの電子メールには、関連するタスク (ロールのアクティブ化や更新など) へのリンクが含まれる場合もあります。 この記事では、これらの電子メールがどのように表示されるかや、それらがいつ誰に送信されるのかについて説明します。
Note
Privileged Identity Management の 1 つのイベントで、複数の受信者 (担当者、承認者、管理者) 宛の電子メール通知を生成できます。 1 つのイベントごとに送信できる通知の最大数は 1000 です。 受信者の数が 1000 を超える場合は、最初の 1000 人の受信者のみが電子メール通知を受け取ります。 これにより、他の担当者、管理者、または承認者が Microsoft Entra ID および Privileged Identity Management のアクセス許可を使用できなくなることはありません。
送信者の電子メール アドレスと件名行
Microsoft Entra ID と Azure リソースの両方のロールに関して Privileged Identity Management から送信される電子メールには、次の送信者メール アドレスが含まれています。
- メール アドレス: azure-noreply@microsoft.com
- 表示名:Microsoft Azure
これらの電子メールの件名行には、PIM というプレフィックスが付けられます。 次に例を示します。
- PIM:Alain Charon にバックアップ リーダー ロールが永続的に割り当てられました
アクティブ化承認の電子メールのタイミング
ユーザーが各自のロールをアクティブにし、ロールの設定で承認が必要な場合、承認者は承認ごとに次の 2 通の電子メールを受け取ります。
- ユーザーのアクティブ化要求を承認または拒否する要求 (要求承認エンジンによって送信されます)
- ユーザーの要求が承認された (要求承認エンジンによって送信されます)
また、グローバル管理者と特権ロール管理者は、各承認で次の電子メールを受信します。
- ユーザーのロールがアクティブ化された (Privileged Identity Management によって送信されます)
要求承認エンジンによって送信される最初の 2 つの電子メールは、遅延する場合があります。 現在、電子メールの 90% は 3 分から 10 分かかりますが、1% のお客様についてはもっと長く、最大で 15 分ほどになることがあります。
最初の電子メールが送信される前に Azure portal で承認要求が承認されると、最初の電子メールはトリガーされなくなり、他の承認者が承認要求の電子メールで通知されることはありません。 他の承認者に電子メールが届かないように見えるかもしれませんが、想定されている動作です。
Microsoft Entra ロールの通知
Privileged Identity Management は、Microsoft Entra ロールに関して次のイベントが発生したときに電子メールを送信します。
- 特権ロールのアクティブ化が承認待ちのとき
- 特権ロールのアクティブ化要求が完了したとき
- Microsoft Entra Privileged Identity Management が有効になったとき
Microsoft Entra ロールに対するこれらの電子メールをどのユーザーが受信するかは、ロール、イベント、通知設定によって決まります。
| User | ロールのアクティブ化が承認待ち | ロールのアクティブ化要求が完了した | PIM が有効になった |
|---|---|---|---|
| 特権ロール管理者(アクティブ化) | はい (明示的な承認者が指定されていない場合のみ) | はい* | はい |
| セキュリティ管理者(アクティブ化) | いいえ | はい* | はい |
| グローバル管理者(アクティブ化) | いいえ | はい* | はい |
* 通知設定が有資格に設定されている場合。
ユーザーが架空の Contoso 組織の Microsoft Entra ロールをアクティブ化したときに送信される電子メールの例を次に示します。
Microsoft Entra ロールに関する週間 Privileged Identity Management ダイジェスト電子メール
Microsoft Entra ロールに関する週間 Privileged Identity Management サマリー電子メールは、Privileged Identity Management が有効になっている特権ロール管理者、セキュリティ管理者、およびグローバル管理者に送信されます。 この週間電子メールは、その週の Privileged Identity Management アクティビティのスナップショットのほか、特権ロールの割り当てを提供します。 これは、パブリック クラウド上の Microsoft Entra 組織に対してのみ使用できます。 電子メールの例を次に示します。
電子メールに含まれるもの:
| タイル | 説明 |
|---|---|
| [Users activated](アクティブ化されたユーザー) | 組織内でユーザーの有資格ロールがアクティブ化された回数です。 |
| [Users made permanent](永続化されたユーザー) | 有資格割り当てを持つユーザーが永続化された回数です。 |
| Privileged Identity Management でのロールの割り当て | Privileged Identity Management の内部でユーザーに資格のあるロールが割り当てられた回数。 |
| [Role assignments outside of PIM](PIM の外部でのロール割り当て) | Privileged Identity Management の外部 (Microsoft Entra ID の内部) でユーザーに永続的なロールが割り当てられた回数。 このアラートと付属する電子メールはアラート設定を開くことで有効にしたり、無効にしたりできます。 |
[Overview of your top roles](上位ロールの概要) セクションには、各ロールの永続管理者と有資格管理者の合計数に基づいて、組織内の上位 5 つのロールが一覧表示されます。 [アクションの実行] リンクをクリックすると、[検出と分析情報] が開き、そこから永続管理者を有資格管理者に一括変換することができます。
Azure リソース ロール向けの通知
Privileged Identity Management は、Azure リソース ロールに関して次のイベントが発生したときに所有者とユーザー アクセス管理者に電子メールを送信します。
- ロールの割り当てが承認待ちのとき
- ロールが割り当てられたとき
- ロールの期限切れが近づいているとき
- ロールが延長資格を得たとき
- エンド ユーザーによってロールが更新されたとき
- ロールのアクティブ化要求が完了したとき
Privileged Identity Management は、Azure リソース ロールに関して次のイベントが発生したときにエンド ユーザーに電子メールを送信します。
- ユーザーにロールが割り当てられたとき
- ユーザーのロールが期限切れになったとき
- ユーザーのロールが延長されたとき
- ユーザーのロールのアクティブ化要求が完了したとき
ユーザーに架空の Contoso 組織の Azure リソース ロールが割り当てられたときに送信される電子メールの例を次に示します。
グループの PIM の通知
グループの PIM の割り当てで次のイベントが発生した場合にのみ、Privileged Identity Management によって所有者にメールが送信されます。
- 所有者ロールまたはメンバー ロールの割り当てが承認待ちのとき
- 所有者ロールまたはメンバー ロールが割り当てられたとき
- 所有者ロールまたはメンバー ロールの期限切れが近づいているとき
- 所有者ロールまたはメンバー ロールが延長資格を得たとき
- 所有者ロールまたはメンバー ロールがエンド ユーザーによって更新されたとき
- 所有者ロールまたはメンバー ロールのアクティブ化要求が完了したとき
グループの PIM のロールの割り当てで次のイベントが発生した場合、Privileged Identity Management によってエンド ユーザーにメールが送信されます。
- ユーザーに所有者ロールまたはメンバー ロールが割り当てられたとき
- ユーザーの所有者ロールまたはメンバー ロールの有効期限が切れたとき
- ユーザーの所有者ロールまたはメンバー ロールの有効期限が延長されたとき
- ユーザーの所有者ロールまたはメンバー ロールのアクティブ化要求が完了したとき