Notificações por email no PIM

Privileged Identity Management (PIM) permite que você saiba quando eventos importantes ocorrem em sua organização do Azure Active Directory (Azure AD), como quando uma função é atribuída ou ativada. O Privileged Identity Management irá mantê-lo informado, enviando notificações de email a você e outros participantes. Adicionalmente, esses emails podem incluir links para tarefas relevantes como ativar ou renovar uma função. Este artigo descreve a aparência desses emails, quando são enviados e quem recebe os emails.

Endereço de email do remetente e linha do assunto

Os emails enviados do Privileged Identity Management para ambas as funções de recursos do Azure e Azure AD têm o seguinte endereço de email do remetente:

  • Endereço de email: azure-noreply@microsoft.com
  • Nome de exibição: Microsoft Azure

Esses emails incluem um prefixo PIM na linha de assunto. Veja um exemplo:

  • PIM: Alain Charon foi atribuído permanentemente à função de Leitor de Backup

Tempo de email para aprovações de ativação

Quando os usuários ativam sua função e a configuração de função necessita de aprovação, os aprovadores recebem dois emails para cada aprovação:

  • Solicitação para aprovar ou negar a solicitação de ativação do usuário (enviada pelo mecanismo de aprovação de solicitação)
  • A solicitação do usuário é aprovada (enviada pelo mecanismo de aprovação de solicitação)

Além disso, os administradores globais e de função com privilégios recebem um email para cada aprovação:

  • A função do usuário é ativada (enviada pelo Privileged Identity Management)

Os dois primeiros emails enviados pelo mecanismo de aprovação de solicitação podem atrasar. Atualmente, 90% dos emails levam de três a dez minutos, mas para 1% dos clientes, pode ser mais demorado, levando até quinze minutos.

Se uma solicitação de aprovação for aprovada no portal do Azure antes de o primeiro email ser enviado, o primeiro email não será disparado e outros aprovadores não serão notificados por email da solicitação de aprovação. Pode parecer que eles não receberam o email, mas esse é um comportamento esperado.

Notificações para as funções do Azure AD

O Privileged Identity Management envia emails quando os seguintes eventos ocorrem nas funções do Azure AD:

  • Quando uma ativação de função com privilégios está com aprovação pendente
  • Quando uma solicitação de ativação de função com privilégios é concluída
  • Quando o Privileged Identity Management do Azure AD está habilitado

Quem recebe esses e–mails para as funções do Microsoft Azure Active Directory depende da função, do evento e da configuração de notificações.

Usuário Ativação de função está pendente de aprovação A solicitação de ativação de função está concluída O PIM está habilitado
Administrador de funções com privilégios
(Ativado/Qualificado)
Sim
(somente se nenhum aprovador explícito for especificado)
Sim* Sim
Administrador de segurança
(Ativado/Qualificado)
Não Sim* Sim
Administrador global
(Ativado/Qualificado)
Não Sim* Sim

*Se a Configuração de Notificações estiver definida como Habilitar.

A seguir, é mostrado um email de exemplo enviado quando um usuário ativa uma função do Azure AD para a organização fictícia Contoso.

New Privileged Identity Management email for Azure AD roles

Email de resumo semanal Privileged Identity Management para funções do Azure AD

Um email de resumo semanal do Privileged Identity Management para funções do Azure AD é enviado para Administradores com Função com Privilégios, Administradores de Segurança e Administradores Globais que habilitaram o Privileged Identity Management. Esse email semanal fornece um instantâneo das atividades do Privileged Identity Management da semana, bem como atribuições de função com privilégios. É disponibilizado apenas para organizações do Azure AD na nuvem pública. Aqui está um exemplo de e-mail:

Weekly Privileged Identity Management digest email for Azure AD roles

O email inclui:

Tile Descrição
Usuários ativados Número de vezes que os usuários ativaram a função qualificada na organização.
Usuários tornados permanentes Número de vezes que usuários com uma atribuição qualificada tornam-se permanentes.
Atribuições de função no Privileged Identity Management Número de vezes que os usuários recebem uma função qualificada dentro do Privileged Identity Management.
Atribuições de função fora do PIM Número de vezes que os usuários recebem uma função permanente fora do Privileged Identity Management (dentro do Azure AD). Esse alerta e o email que o acompanha podem ser habilitados ou desabilitados abrindo as configurações de alerta.

A seção Visão geral das principais funções lista as cinco principais funções na organização com base no número total de administradores permanentes e qualificados para cada função. O link Executar ação abre Descoberta & insights, onde é possível converter em lotes os administradores permanentes em administradores qualificados.

Notificações para funções de recurso do Azure

O Privileged Identity Management enviará emails para Proprietários e Administradores de Acesso do Usuário quando os seguintes eventos ocorrerem nas funções de recursos do Azure:

  • Quando uma atribuição de função estiver com aprovação pendente
  • Quando uma função for atribuída
  • Quando uma função estiver prestes a expirar
  • Quando uma função for qualificada para estender
  • Quando uma função estiver sendo renovada por um usuário final
  • Quando uma solicitação de ativação de função for concluída

O Privileged Identity Management enviará emails para usuários finais quando os seguintes eventos ocorrerem nas funções de recursos do Azure:

  • Quando uma função for atribuída ao usuário
  • Quando a função de um usuário expirar
  • Quando a função do usuário for estendida
  • Quando a solicitação de ativação de função de um usuário for concluída

A seguir, é mostrado um email de exemplo enviado quando um usuário recebe uma função de recurso do Azure para a organização fictícia Contoso.

New Privileged Identity Management email for Azure resource roles

Notificações para grupos do Privileged Access

O Azure Active Directory Privileged Identity Management envia e–mails para Proprietários somente quando ocorrem os seguintes eventos para atribuições de grupo do Privileged Access:

  • Quando uma atribuição de função Proprietário ou Membro está pendente de aprovação
  • Quando uma função Proprietário ou Membro é atribuída
  • Quando uma função Proprietário ou Membro está prestes a expirar
  • Quando uma função Proprietário ou Membro é qualificada para estender
  • Quando uma função Proprietário ou Membro está sendo renovada por um usuário final
  • Quando uma solicitação de ativação de função Proprietário ou Membro é concluída

O Azure Active Directory Privileged Identity Management envia e–mails para usuários finais quando os seguintes eventos ocorrerem nas funções de recursos do Privileged Access:

  • Quando uma função Proprietário ou Membro é atribuída ao usuário
  • Quando uma função Proprietário ou Membro de um usuário expira
  • Quando uma função Proprietário ou Membro de um usuário é estendida
  • Quando uma solicitação de ativação de função de Proprietário ou de Membro de um usuário é concluída

Próximas etapas