Ochrona tożsamości Microsoft Entra wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, aby ułatwić zarządzanie ryzykiem użytkownika i wykrywaniem ryzyka:
Ten artykuł zawiera omówienie obu wiadomości e-mail z powiadomieniami.
Uwaga
Nie obsługujemy wysyłania wiadomości e-mail do użytkowników w rolach przypisanych do grupy.
Ważne
Domyślnie użytkownicy aktywnie przypisani role administratora globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń są automatycznie dodawane do tej listy, jeśli ten użytkownik ma skonfigurowany prawidłowy "adres e-mail" lub "Alternatywny adres e-mail". Jeśli użytkownik jest zarejestrowany w usłudze Privileged Identity Management (PIM) w celu podniesienia poziomu do jednej z tych ról na żądanie, otrzymają wiadomości e-mail tylko wtedy, gdy zostaną podniesione uprawnienia w momencie wysłania wiadomości e-mail.
E-mail z powiadomieniem o wykryciu użytkowników zagrożonych ryzykiem
W odpowiedzi na wykryte konto, które jest zagrożone, Ochrona tożsamości w Microsoft Entra generuje alert e-mail z tematem Wykryto użytkowników zagrożonych. Wiadomość e-mail zawiera link do raportu Użytkownicy oznaczeni jako ryzykowni. Najlepszym rozwiązaniem jest natychmiastowe zbadanie zagrożonych użytkowników.
Konfiguracja tego alertu umożliwia określenie, na jakim poziomie ryzyka użytkownika ma zostać wygenerowany alert. Wiadomość e-mail jest generowana, gdy poziom ryzyka użytkownika osiągnie określony poziom. Jeśli na przykład ustawisz zasady, aby otrzymywać alerty dotyczące średniego ryzyka związanego z użytkownikiem, a wskaźnik ryzyka użytkownika zmieni się na średni ze względu na realne zagrożenie związane z logowaniem, otrzymasz e-mail o wykrytych użytkownikach zagrożonych. Jeśli użytkownik ma kolejne wykrycia ryzyka, które powodują obliczenie poziomu ryzyka użytkownika na określony poziom ryzyka (lub wyższy), otrzymasz więcej wiadomości e-mail wykrytych przez użytkownika, gdy ocena ryzyka użytkownika zostanie ponownie obliczona. Jeśli na przykład użytkownik przeniesie się na średnie ryzyko 1 stycznia, otrzymasz powiadomienie e-mail, jeśli ustawienia zostaną ustawione na alerty dotyczące średniego ryzyka. Jeśli ten sam użytkownik ma inne wykrywanie ryzyka w dniu 5 stycznia, a wynik ryzyka użytkownika zostanie ponownie obliczony, ale nadal jest średni, otrzymasz kolejne powiadomienie e-mail.
Dodatkowe powiadomienie e-mail jest wysyłane, jeśli czas zmiany poziomu ryzyka użytkownika jest nowszy niż ostatnia wysłana wiadomość e-mail. Na przykład użytkownik loguje się 1 stycznia o 5:00 i nie ma ryzyka w czasie rzeczywistym (co oznacza, że żadna wiadomość e-mail nie zostanie wygenerowana z powodu tego logowania). 10 minut później, o 5:10, ten sam użytkownik ponownie się loguje i ma wysokie ryzyko w czasie rzeczywistym, co powoduje, że poziom ryzyka użytkownika wzrasta do wysokiego i automatycznie zostaje wysłana wiadomość e-mail. Następnie o 5:15, ocena ryzyka offline dla oryginalnego logowania o 5:00 zmienia się na wysokie ryzyko z powodu przetwarzania ryzyka offline. Innemu użytkownikowi oflagowanemu z powodu ryzyka nie zostanie wysłane powiadomienie e-mail, ponieważ czas pierwszego logowania był wcześniejszy niż drugiego, które już wyzwoliło powiadomienie.
Aby zapobiec przeciążeniu wiadomości e-mail, w ciągu 5-sekundowego okresu otrzymasz tylko jedną wiadomość e-mail. Jeśli wielu użytkowników przejdzie do określonego poziomu ryzyka w tym samym 5-sekundowym okresie, zagregujemy dane i wyślemy jedną wiadomość e-mail dla wszystkich z nich.
Jeśli Twoja organizacja włączyła samodzielne korygowanie zgodnie z opisem w artykule, doświadczenia użytkownika związane z Microsoft Entra ID Protection, istnieje prawdopodobieństwo, że użytkownik może skorygować swoje ryzyko przed uzyskaniem możliwości przyjrzenia się sprawie. Możesz zobaczyć ryzykownych użytkowników i ryzykowne logowania, które zostały już skorygowane poprzez dodanie Skorygowany do filtru Stan ryzyka w raportach Ryzykowni użytkownicy lub Ryzykowne logowania.
Konfigurowanie alertów dotyczących użytkowników zagrożonych
Jako administrator możesz ustawić następujące ustawienia:
Poziom ryzyka użytkownika, który wyzwala generowanie tej wiadomości e-mail — domyślnie poziom ryzyka jest ustawiony na wartość „Wysoki”.
Adresaci tej wiadomości e-mail
Opcjonalnie możesz dodać niestandardową pocztę e-mail w tym miejscu zdefiniowani użytkownicy muszą mieć odpowiednie uprawnienia do wyświetlania połączonych raportów.
Skonfiguruj e-mail powiadomień o wykrytych zagrożeniach dla użytkowników w centrum administracyjnym Microsoft Entra w sekcji Ochrona tożsamości, w obszarze Powiadomienia o wykrytych użytkownikach zagrożonych.
Wiadomość e-mail z podsumowaniem tygodniowym
Cotygodniowa wiadomość e-mail zawierająca podsumowanie nowych wykryć ryzyka.
Zawartość:
Wykryto nowych ryzykownych użytkowników
Wykryto nowe ryzykowne logowania (w czasie rzeczywistym)
Linki do powiązanych raportów w usłudze ID Protection
Skonfiguruj wiadomość e-mail z podsumowaniem tygodnia
Jako administrator możesz włączyć lub wyłączyć wysyłanie cotygodniowej wiadomości e-mail w formie podsumowania i wybrać użytkowników przypisanych do otrzymywania wiadomości e-mail.
Skonfiguruj cotygodniowy e-mail ze streszczeniem w centrum administracyjnym Microsoft Entra >Ochrona>Ochrona tożsamości>Skrót tygodniowy.
Ochrona tożsamości użytkownika przez monitorowanie ich użycia i wzorców logowania zapewni bezpieczne rozwiązanie w chmurze. Dowiedz się, jak projektować i implementować usługę Microsoft Entra Identity Protection.
