Notificações por email no PIM
O Privileged Identity Management (PIM) permite que você saiba quando eventos importantes ocorrem em sua organização do Microsoft Entra, como quando uma função é atribuída ou ativada. O Privileged Identity Management irá mantê-lo informado, enviando notificações de email a você e outros participantes. Adicionalmente, esses emails podem incluir links para tarefas relevantes como ativar ou renovar uma função. Este artigo descreve a aparência desses emails, quando são enviados e quem recebe os emails.
Observação
Um evento no Privileged Identity Management pode gerar notificações por email para vários destinatários: destinatários, aprovadores ou administradores. O número máximo de notificações enviadas por evento é 1.000. Se o número de destinatários for superior a 1.000, somente os primeiros 1.000 destinatários receberão uma notificação por email. Isso não impede que outros destinatários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.
Endereço de email do remetente e linha do assunto
Os emails enviados do Privileged Identity Management para ambas as funções de recursos do Azure e Microsoft Entra ID têm o seguinte endereço de email do remetente:
- Endereço de email: MSSecurity-noreply@microsoft.com
- Nome de exibição: Segurança da Microsoft
Importante
O azure-noreply@microsoft.com foi preterido e não deve mais enviar notificações por email do PIM
Esses emails incluem um prefixo PIM na linha de assunto. Veja um exemplo:
- PIM: Alain Charon foi atribuído permanentemente à função de Leitor de Backup
Tempo de email para aprovações de ativação
Quando um usuário ativa sua função e a configuração da função necessita de aprovação, os aprovadores recebem dois emails para cada aprovação:
- Solicitação para aprovar ou negar a solicitação de ativação do usuário (enviada pelo mecanismo de aprovação de solicitação)
- A solicitação do usuário é aprovada (enviada pelo mecanismo de aprovação de solicitação)
Além disso, os administradores globais e de função com privilégios recebem um email para cada aprovação:
- A função do usuário é ativada (enviada pelo Privileged Identity Management)
Os dois primeiros emails enviados pelo mecanismo de aprovação de solicitação podem atrasar. Atualmente, 90% dos emails levam de três a dez minutos, mas para 1% dos clientes, pode ser mais demorado, levando até quinze minutos.
Se uma solicitação de aprovação for aprovada no portal do Azure antes de o primeiro email ser enviado, o primeiro email não será disparado e outros aprovadores não serão notificados por email da solicitação de aprovação. Pode parecer que eles não receberam o email, mas esse é um comportamento esperado.
Notificações para funções do Microsoft Entra
O Privileged Identity Management envia emails quando os seguintes eventos ocorrem nas funções do Microsoft Entra:
- Quando uma ativação de função com privilégios está com aprovação pendente
- Quando uma solicitação de ativação de função com privilégios é concluída
- Quando Microsoft Entra Privileged Identity Management está habilitado
Quem recebe esses emails para as funções do Microsoft Entra depende da função, do evento e da configuração de notificações.
| Usuário | Ativação de função está pendente de aprovação | A solicitação de ativação de função está concluída | O PIM está habilitado |
|---|---|---|---|
| Administrador de Funções com Privilégios (Ativado) |
Sim (somente se nenhum aprovador explícito for especificado) |
Sim* | Sim |
| Administrador de Segurança (Ativado) |
Não | Sim* | Sim |
| Administrador Global (Ativado) |
Não | Sim* | Sim |
*Se a Configuração de Notificações estiver definida como Habilitar.
Veja a seguir um email de exemplo que é enviado quando um usuário ativa uma função do Microsoft Entra para a organização fictícia Contoso.
Email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra
Um email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra é enviado para Administradores com Função com Privilégios, Administradores de Segurança e Administradores Globais que habilitaram o Privileged Identity Management. Esse email semanal fornece um instantâneo das atividades do Privileged Identity Management da semana, bem como atribuições de função com privilégios. É disponibilizado apenas para organizações do Microsoft Entra na nuvem pública. Aqui está um exemplo de e-mail:
O email inclui:
| Tile | Descrição |
|---|---|
| Usuários ativados | Número de vezes que os usuários ativaram a função qualificada na organização. |
| Usuários tornados permanentes | Número de vezes que usuários com uma atribuição qualificada tornam-se permanentes. |
| Atribuições de função no Privileged Identity Management | Número de vezes que os usuários recebem uma função qualificada dentro do Privileged Identity Management. |
| Atribuições de função fora do PIM | Número de vezes que os usuários recebem uma função permanente fora do Privileged Identity Management (dentro do Microsoft Entra ID). Esse alerta e o email que o acompanha podem ser habilitados ou desabilitados abrindo as configurações de alerta. |
A seção Visão geral das principais funções lista as cinco principais funções na organização com base no número total de administradores permanentes e qualificados para cada função. O link Executar ação abre Descoberta e insights, onde é possível converter administradores permanentes em administradores qualificados em lotes.
Notificações para funções de recurso do Azure
Observação
No PIM, um Proprietário qualificado é alguém que recebeu acesso privilegiado JIT (just-in-time) a fim de executar determinadas tarefas para gerenciar grupos, que podem ser ativadas quando necessário. Isso é diferente de um Proprietário permanente, que tem acesso contínuo para gerenciar grupos. Para obter mais informações sobre a propriedade JIT de um grupo, consulte Atribuir qualificação para um grupo no Privileged Identity Management.
Para manter os grupos, o proprietário pode gerenciar o grupo, incluindo adicionar ou remover membros, renovar grupos que estão prestes a expirar e aprovar solicitações para ingressar no grupo. O PIM enviará emails para Proprietários permanentes, Proprietários qualificados e Administradores de acesso do usuário quando os seguintes eventos ocorrerem nas funções de recursos do Azure:
- Quando uma atribuição de função estiver com aprovação pendente
- Quando uma função for atribuída
- Quando uma função estiver prestes a expirar
- Quando uma função for qualificada para estender
- Quando uma função estiver sendo renovada por um usuário final
- Quando uma solicitação de ativação de função for concluída
O Privileged Identity Management enviará emails para usuários finais quando os seguintes eventos ocorrerem nas funções de recursos do Azure:
- Quando uma função for atribuída ao usuário
- Quando a função de um usuário expirar
- Quando a função do usuário for estendida
- Quando a solicitação de ativação de função de um usuário for concluída
A seguir, é mostrado um email de exemplo enviado quando um usuário recebe uma função de recurso do Azure para a organização fictícia Contoso.
Notificações de PIM para Grupos
O Privileged Identity Management envia emails para Proprietários permanentes somente quando ocorrem os seguintes eventos para atribuições de PIM para Grupos:
- Quando uma atribuição de função Proprietário ou Membro está pendente de aprovação
- Quando uma função Proprietário ou Membro é atribuída
- Quando uma função Proprietário ou Membro está prestes a expirar
- Quando uma função Proprietário ou Membro é qualificada para estender
- Quando uma função Proprietário ou Membro está sendo renovada por um usuário final
- Quando uma solicitação de ativação de função Proprietário ou Membro é concluída
O Privileged Identity Management envia emails para usuários finais quando ocorrem os seguintes eventos para atribuições de PIM para Grupos:
- Quando uma função Proprietário ou Membro é atribuída ao usuário
- Quando uma função Proprietário ou Membro de um usuário expira
- Quando uma função Proprietário ou Membro de um usuário é estendida
- Quando uma solicitação de ativação de função de Proprietário ou de Membro de um usuário é concluída