Notificações do Azure Active Directory Identity Protection

O Azure AD Identity Protection envia dois tipos de emails de notificação automatizados para ajudar você a gerenciar as detecções de risco e risco do usuário:

  • Email de usuários em risco detectado
  • Email de resumo semanal

Este artigo fornece uma visão geral de ambos os emails de notificação.

Não damos suporte ao envio de e-mails para usuários em funções atribuídas ao grupo.

Email de usuários em risco detectado

Em resposta a uma conta detectada em risco, o Azure AD Identity Protection gera um alerta de email com Usuários em risco detectado como assunto. O email inclui um link para o relatório Usuários sinalizados por risco. Como prática recomendada, você deve investigar imediatamente os usuários em risco.

A configuração para este alerta permite especificar em qual nível de risco de usuário você deseja que o alerta seja gerado. O email será gerado quando o nível de risco de usuário atingir o que você especificou. Por exemplo, se você definir a política para alertar sobre risco médio do usuário e a pontuação de risco do usuário João mudar para risco médio devido a um risco de entrada em tempo real, você receberá os e-mails detectados dos usuários em risco. Se o usuário tiver detecções de risco subsequentes que façam com que o cálculo do nível de risco do usuário seja o nível de risco especificado (ou superior), você receberá mais e-mails detectados de usuário em risco quando a pontuação de risco do usuário for recalculada. Por exemplo, se um usuário passar para risco médio em 1º de janeiro, você receberá uma notificação por e-mail se as configurações estiverem definidas para alertar sobre o risco médio. Se esse mesmo usuário tiver outra detecção de risco em 5 de janeiro também de risco médio e a pontuação do usuário for recalculada e ainda for média, você receberá outra notificação por e-mail.

No entanto, outra notificação de e-mail só será enviada se o horário em que a detecção de risco ocorreu (que causou a alteração no nível de risco do usuário) for mais recente do que o horário de envio do último e-mail. Por exemplo, um usuário faz logon em 1º de janeiro às 5h e não há risco em tempo real (o que significa que esse logon não gera nenhum e-mail). 10 minutos depois, às 5h10, o mesmo usuário entra novamente e tem alto risco em tempo real, fazendo com que o nível de risco do usuário seja movido para alto e que um e-mail seja enviado. Em seguida, às 5h15, a pontuação de risco offline da entrada original às 5h muda para risco alto devido ao processamento de risco offline. Outro e-mail de usuário sinalizado por risco não seria enviado, pois a hora da primeira entrada foi anterior à segunda entrada que já disparou uma notificação por e-mail.

Para evitar uma sobrecarga de e-mails, você receberá apenas um e-mail em um período de 5 segundos. Esse atraso significa que, se vários usuários mudarem para o nível de risco especificado durante o mesmo período de 5 segundos, agregaremos e enviaremos um e-mail para representar a alteração no nível de risco de todos eles.

Se a organização habilitou a autocorreção, conforme descrito no artigo, Experiências de usuário com Azure Active Directory Identity Protection há uma chance de que o usuário corrija o risco antes que você tenha a oportunidade de investigar. Você pode ver usuários suspeitos e entradas suspeitas que foram corrigidos adicionando "Remediado" ao filtro de Estado de risco nos relatórios de Usuários suspeitos ou de Entradas suspeitas.

Users at risk detected email

Configurar alertas de usuários em risco detectados

Como administrador, você pode definir:

  • O nível de risco de usuário que dispara a geração desse email – por padrão, o nível de risco é definido como "Alto".
  • Os destinatários deste email – os usuários nas funções de Administrador global, Administrador de segurança ou Leitor de segurança são adicionados automaticamente a essa lista. Tentamos enviar emails para os 20 primeiros membros de cada função. Se um usuário estiver registrado no PIM para elevar a uma dessas funções sob demanda, ele só receberá emails se estiver elevado no momento em que o email for enviado.
    • Opcionalmente, você pode Adicionar um email personalizado aqui. Os usuários definidos devem ter as permissões apropriadas para exibir os relatórios vinculados no portal do Azure.

Configure o email de usuários em risco no portal do Azure em Azure Active Directory>Segurança>Proteção de Identidade>Alertas de usuários em risco detectados.

Email de resumo semanal

O email de resumo semanal contém um resumo dos novos eventos de risco.
Ele inclui:

  • Novos usuários arriscados detectados
  • Novas entradas suspeitas detectadas (em tempo real)
  • Links para os relatórios relacionados no Identity Protection

Weekly digest email

Os usuários nas funções de Administrador global, Administrador de segurança ou Leitor de segurança são adicionados automaticamente a essa lista. Tentamos enviar emails para os 20 primeiros membros de cada função. Se um usuário estiver registrado no PIM para elevar a uma dessas funções sob demanda, ele só receberá emails se estiver elevado no momento em que o email for enviado

Configurar resumos semanais

Como administrador, você pode ativar ou desativar o envio de um email de resumo semanal e escolher os usuários que receberão o email.

Configure o email de resumo semanal no portal do Azure em Azure Active Directory>Segurança>Proteção de Identidade>Resumo semanal.

Confira também