Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ochrona tożsamości Microsoft Entra wysyła dwa typy automatycznych wiadomości e-mail z powiadomieniami, aby ułatwić zarządzanie ryzykiem użytkownika i wykrywaniem ryzyka:
- Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników
- Wiadomość e-mail z podsumowaniem tygodniowym
Ten artykuł zawiera omówienie obu wiadomości e-mail z powiadomieniami.
Uwaga
Nie obsługujemy wysyłania wiadomości e-mail do użytkowników w rolach przypisanych do grupy.
Ważne
Domyślnie użytkownicy aktywnie przypisani role administratora globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń są automatycznie dodawane do tej listy, jeśli ten użytkownik ma skonfigurowany prawidłowy "adres e-mail" lub "Alternatywny adres e-mail". Jeśli użytkownik jest zarejestrowany w usłudze Privileged Identity Management (PIM) w celu podniesienia poziomu do jednej z tych ról na żądanie, otrzyma tylko wiadomości e-mail, jeśli zostaną podniesione w momencie wysłania wiadomości e-mail.
Wiadomość e-mail dotycząca wykrycia zagrożonych użytkowników
W odpowiedzi na wykrycie zagrożonego konta, usługa Microsoft Entra ID Protection generuje alert e-mail z tematem Wykryto zagrożonych użytkowników. Wiadomość e-mail zawiera link do raportu Użytkownicy oznaczeni jako ryzykowni. Najlepszym rozwiązaniem jest natychmiastowe zbadanie zagrożonych użytkowników.
Konfiguracja tego alertu umożliwia określenie, na jakim poziomie ryzyka użytkownika ma zostać wygenerowany alert. Wiadomość e-mail jest generowana, gdy poziom ryzyka użytkownika osiągnie określony poziom. Jeśli na przykład ustawisz zasady, aby otrzymywać alerty dotyczące średniego ryzyka związanego z użytkownikiem, a wskaźnik ryzyka użytkownika zmieni się na średni ze względu na realne zagrożenie związane z logowaniem, otrzymasz e-mail o wykrytych użytkownikach zagrożonych. Jeśli użytkownik ma kolejne wykrycia ryzyka, które powodują obliczenie poziomu ryzyka użytkownika na określony poziom ryzyka (lub wyższy), otrzymasz więcej wiadomości e-mail wykrytych przez użytkownika, gdy ocena ryzyka użytkownika zostanie ponownie obliczona. Jeśli na przykład użytkownik przeniesie się na średnie ryzyko 1 stycznia, otrzymasz powiadomienie e-mail, jeśli ustawienia zostaną ustawione na alerty dotyczące średniego ryzyka. Jeśli ten sam użytkownik ma inne wykrywanie ryzyka w dniu 5 stycznia, a wynik ryzyka użytkownika zostanie ponownie obliczony, ale nadal jest średni, otrzymasz kolejne powiadomienie e-mail.
Dodatkowe powiadomienie e-mail jest wysyłane, jeśli czas zmiany poziomu ryzyka użytkownika jest nowszy niż ostatnia wysłana wiadomość e-mail. Na przykład użytkownik loguje się 1 stycznia o 5:00 i nie ma ryzyka w czasie rzeczywistym (co oznacza, że żadna wiadomość e-mail nie zostanie wygenerowana z powodu tego logowania). 10 minut później, o 5:10, ten sam użytkownik ponownie się loguje i ma wysokie ryzyko w czasie rzeczywistym, co powoduje, że poziom ryzyka użytkownika wzrasta do wysokiego i automatycznie zostaje wysłana wiadomość e-mail. Następnie o 5:15, ocena ryzyka offline dla oryginalnego logowania o 5:00 zmienia się na wysokie ryzyko z powodu przetwarzania ryzyka offline. Innemu użytkownikowi oflagowanemu z powodu ryzyka nie zostanie wysłane powiadomienie e-mail, ponieważ czas pierwszego logowania był wcześniejszy niż drugiego, które już wyzwoliło powiadomienie.
Aby zapobiec przeciążeniu wiadomości e-mail, w ciągu 5-sekundowego okresu otrzymasz tylko jedną wiadomość e-mail. Jeśli wielu użytkowników przejdzie do określonego poziomu ryzyka w tym samym 5-sekundowym okresie, zagregujemy dane i wyślemy jedną wiadomość e-mail dla wszystkich z nich.
Jeśli Twoja organizacja włączyła samodzielne korygowanie zgodnie z opisem w artykule Doświadczenia użytkownika z ochroną ID Microsoft Entra, istnieje szansa, że użytkownik może samodzielnie zredukować swoje ryzyko, zanim zdążysz je zbadać. Możesz zobaczyć ryzykownych użytkowników i ryzykowne logowania, które zostały już skorygowane, dodając Skorygowane do filtru Stan ryzyka w raportach Ryzykowni użytkownicy lub Ryzykowne logowania.
Konfigurowanie alertów dotyczących użytkowników zagrożonych
Jako administrator możesz ustawić następujące ustawienia:
- Poziom ryzyka użytkownika, który wyzwala generowanie tej wiadomości e-mail — domyślnie poziom ryzyka jest ustawiony na "Wysokie".
-
Adresaci tej wiadomości e-mail
- Opcjonalnie możesz dodać niestandardową pocztę e-mail w tym miejscu zdefiniowani użytkownicy muszą mieć odpowiednie uprawnienia do wyświetlania połączonych raportów.
Skonfiguruj e-mail dla użytkowników zagrożonych w centrum administracyjnym Microsoft Entra w sekcji Ochrona tożsamości>Pulpit nawigacyjny>Alerty wykrytych użytkowników zagrożonych.
Wiadomość e-mail z podsumowaniem tygodniowym
Cotygodniowa wiadomość e-mail zawierająca podsumowanie nowych wykryć ryzyka.
Zawartość:
- Wykryto nowych ryzykownych użytkowników
- Wykryto nowe ryzykowne logowania (w czasie rzeczywistym)
- Linki do powiązanych raportów w usłudze ID Protection
Skonfiguruj wiadomość e-mail z podsumowaniem tygodnia
Jako administrator możesz włączyć lub wyłączyć wysyłanie cotygodniowej wiadomości e-mail w formie podsumowania i wybrać użytkowników przypisanych do otrzymywania wiadomości e-mail.
Skonfiguruj tygodniową wiadomość e-mail z podsumowaniem w centrum administracyjnym Microsoft Entra, na pulpicie nawigacyjnym ochrony ID w sekcji tygodniowego podsumowania.