Powiadomienia usługi Azure Active Directory Identity Protection

Usługa Azure AD Identity Protection wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, aby ułatwić zarządzanie ryzykiem i wykrywaniem ryzyka związanego z użytkownikiem:

  • Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników
  • Wiadomość e-mail z podsumowaniem tygodniowym

Ten artykuł zawiera omówienie obu wiadomości e-mail z powiadomieniami.

Nie obsługujemy wysyłania wiadomości e-mail do użytkowników w rolach przypisanych do grupy.

Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników

W odpowiedzi na wykryte konto na ryzyko Azure AD Identity Protection generuje alert e-mail z informacją o wykrytym pod względem użytkownikach. Wiadomość e-mail zawiera link do raportu Użytkownicy oflagowani w związku z ryzykiem . Najlepszym rozwiązaniem jest natychmiastowe zbadanie zagrożonych użytkowników.

Konfiguracja tego alertu umożliwia określenie, na jakim poziomie ryzyka użytkownika ma zostać wygenerowany alert. Wiadomość e-mail zostanie wygenerowana, gdy poziom ryzyka użytkownika osiągnie określony poziom. Jeśli na przykład ustawisz zasady, aby otrzymywać alerty dotyczące średniego ryzyka związanego z użytkownikiem, a wskaźnik ryzyka użytkownika Johna zostanie przeniesiony na średnie ryzyko związane z logowaniem w czasie rzeczywistym, otrzymasz od użytkowników zagrożonych wiadomości e-mail. Jeśli użytkownik ma kolejne wykrycia ryzyka, które powodują obliczenie poziomu ryzyka użytkownika na określony poziom ryzyka (lub wyższy), otrzymasz więcej użytkowników zagrożonych wykrytych wiadomości e-mail, gdy wynik ryzyka użytkownika zostanie ponownie obliczony. Jeśli na przykład użytkownik przejdzie do średniego ryzyka 1 stycznia, otrzymasz powiadomienie e-mail, jeśli ustawienia zostaną ustawione na alerty dotyczące średniego ryzyka. Jeśli ten sam użytkownik ma kolejne wykrywanie ryzyka 5 stycznia, które jest również średnim ryzykiem, a ocena ryzyka użytkownika zostanie ponownie obliczona i będzie nadal średnia, otrzymasz kolejne powiadomienie e-mail.

Jednak dodatkowe powiadomienie e-mail będzie wysyłane tylko wtedy, gdy czas wykrycia ryzyka (który spowodował zmianę poziomu ryzyka użytkownika) jest nowszy niż w przypadku wysłania ostatniej wiadomości e-mail. Na przykład użytkownik loguje się 1 stycznia o 5:00 i nie ma ryzyka w czasie rzeczywistym (co oznacza, że nie zostanie wygenerowana żadna wiadomość e-mail z powodu tego logowania). 10 minut później, o godzinie 5:10, ten sam użytkownik loguje się ponownie i ma duże ryzyko w czasie rzeczywistym, co powoduje przejście na wysoki poziom ryzyka użytkownika i wysłanie wiadomości e-mail. Następnie, o 5:15, ocena ryzyka offline dla oryginalnego logowania o 5:00 zmienia się na wysokie ryzyko z powodu przetwarzania ryzyka offline. Inny użytkownik oflagowany pod kątem ryzyka wiadomości e-mail nie zostanie wysłany, ponieważ czas pierwszego logowania był przed drugim logowaniem, które wyzwoliło już powiadomienie e-mail.

Aby zapobiec przeciążeniu wiadomości e-mail, otrzymasz tylko jedną wiadomość e-mail w ciągu 5 sekund. To opóźnienie oznacza, że jeśli wielu użytkowników przejdzie do określonego poziomu ryzyka w tym samym 5-sekundowym okresie, zagregujemy i wyślemy jedną wiadomość e-mail reprezentującą zmianę poziomu ryzyka dla wszystkich użytkowników.

Jeśli Twoja organizacja włączyła samodzielne korygowanie zgodnie z opisem w artykule, środowiska użytkownika z usługą Azure AD Identity Protection mogą mieć szansę, że użytkownik może skorygować swoje ryzyko przed uzyskaniem możliwości zbadania. Możesz zobaczyć ryzykownych użytkowników i ryzykownych logowań, które zostały skorygowane, dodając "Skorygowane" do filtru Stan ryzyka w raportach Ryzykownych użytkowników lub Ryzykownych logowań .

Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników

Konfigurowanie alertów wykrytych przez użytkowników zagrożonych

Jako administrator możesz ustawić następujące ustawienia:

  • Poziom ryzyka użytkownika, który wyzwala generowanie tej wiadomości e-mail — domyślnie poziom ryzyka jest ustawiony na "Wysokie".
  • Adresaci tej wiadomości e-mail — użytkownicy w rolach Administrator globalny, Administrator zabezpieczeń lub Czytelnik zabezpieczeń są automatycznie dodawani do tej listy. Podejmujemy próbę wysłania wiadomości e-mail do pierwszych 20 członków każdej roli. Jeśli użytkownik został zarejestrowany w usłudze PIM na potrzeby podwyższania jego uprawnień do jednej z tych ról na żądanie, otrzyma on wiadomość e-mail tylko wtedy, gdy ma podwyższone uprawnienia w chwili wysłania tej wiadomości.
    • Opcjonalnie możesz dodać niestandardową pocztę e-mail w tym miejscu zdefiniowani użytkownicy muszą mieć odpowiednie uprawnienia do wyświetlania połączonych raportów w Azure Portal.

Skonfiguruj wiadomości e-mail użytkowników zagrożonych w Azure Portal w obszarze Użytkownicy usługi Azure Active Directory>Security>Identity Protection>zagrożonych wykrytych alertów.

Wiadomość e-mail z podsumowaniem tygodniowym

Wiadomość e-mail z podsumowaniem tygodniowego skrótu zawiera podsumowanie nowych wykryć ryzyka.
Obejmuje ona:

  • Wykryto nowych ryzykownych użytkowników
  • Wykryto nowe ryzykowne logowania (w czasie rzeczywistym)
  • Linki do powiązanych raportów w usłudze Identity Protection

Wiadomość e-mail z podsumowaniem tygodniowym

Użytkownicy w rolach Administrator globalny, Administrator zabezpieczeń lub Czytelnik zabezpieczeń są automatycznie dodawani do tej listy. Podejmujemy próbę wysłania wiadomości e-mail do pierwszych 20 członków każdej roli. Jeśli użytkownik jest zarejestrowany w usłudze PIM w celu podniesienia poziomu do jednej z tych ról na żądanie, otrzyma tylko wiadomości e-mail, jeśli zostaną podniesione w momencie wysłania wiadomości e-mail

Konfigurowanie wiadomości e-mail z podsumowaniem tygodniowym

Jako administrator możesz przełączyć wysyłanie cotygodniowej wiadomości e-mail z podsumowaniem i wybrać użytkowników przypisanych do odbierania wiadomości e-mail.

Skonfiguruj wiadomość e-mail z podsumowaniem tygodniowym w Azure Portal w obszarzeCotygodniowe podsumowanieusługi Azure Active Directory>Security>Identity Protection>.

Zobacz też