Compartilhar via


Notificações por email no PIM

O Privileged Identity Management (PIM) permite que você saiba quando eventos importantes ocorrem em sua organização do Microsoft Entra, como quando uma função é atribuída ou ativada. O Privileged Identity Management irá mantê-lo informado, enviando notificações de email a você e outros participantes. Adicionalmente, esses emails podem incluir links para tarefas relevantes como ativar ou renovar uma função. Este artigo descreve a aparência desses emails, quando são enviados e quem recebe os emails.

Observação

Um evento no Privileged Identity Management pode gerar notificações por email para vários destinatários: destinatários, aprovadores ou administradores. O número máximo de notificações enviadas por evento é 1.000. Se o número de destinatários for superior a 1.000, somente os primeiros 1.000 destinatários receberão uma notificação por email. Isso não impede que outros destinatários, administradores ou aprovadores usem suas permissões no Microsoft Entra ID e no Privileged Identity Management.

Endereço de email do remetente e linha do assunto

Os emails enviados do Privileged Identity Management para ambas as funções de recursos do Azure e Microsoft Entra ID têm o seguinte endereço de email do remetente:

  • Endereço de email: MSSecurity-noreply@microsoft.com
  • Nome de exibição: Segurança da Microsoft

Importante

O azure-noreply@microsoft.com foi preterido e não deve mais enviar notificações por email do PIM

Esses emails incluem um prefixo PIM na linha de assunto. Veja um exemplo:

  • PIM: Alain Charon foi atribuído permanentemente à função de Leitor de Backup

Tempo de email para aprovações de ativação

Quando um usuário ativa sua função e a configuração da função necessita de aprovação, os aprovadores recebem dois emails para cada aprovação:

  • Solicitação para aprovar ou negar a solicitação de ativação do usuário (enviada pelo mecanismo de aprovação de solicitação)
  • A solicitação do usuário é aprovada (enviada pelo mecanismo de aprovação de solicitação)

Além disso, os administradores globais e de função com privilégios recebem um email para cada aprovação:

  • A função do usuário é ativada (enviada pelo Privileged Identity Management)

Os dois primeiros emails enviados pelo mecanismo de aprovação de solicitação podem atrasar. Atualmente, 90% dos emails levam de três a dez minutos, mas para 1% dos clientes, pode ser mais demorado, levando até quinze minutos.

Se uma solicitação de aprovação for aprovada no portal do Azure antes de o primeiro email ser enviado, o primeiro email não será disparado e outros aprovadores não serão notificados por email da solicitação de aprovação. Pode parecer que eles não receberam o email, mas esse é um comportamento esperado.

Notificações para funções do Microsoft Entra

O Privileged Identity Management envia emails quando os seguintes eventos ocorrem nas funções do Microsoft Entra:

  • Quando uma ativação de função com privilégios está com aprovação pendente
  • Quando uma solicitação de ativação de função com privilégios é concluída
  • Quando Microsoft Entra Privileged Identity Management está habilitado

Quem recebe esses emails para as funções do Microsoft Entra depende da função, do evento e da configuração de notificações.

Usuário Ativação de função está pendente de aprovação A solicitação de ativação de função está concluída O PIM está habilitado
Administrador de Funções com Privilégios
(Ativado)
Sim
(somente se nenhum aprovador explícito for especificado)
Sim* Sim
Administrador de Segurança
(Ativado)
Não Sim* Sim
Administrador Global
(Ativado)
Não Sim* Sim

*Se a Configuração de Notificações estiver definida como Habilitar.

Veja a seguir um email de exemplo que é enviado quando um usuário ativa uma função do Microsoft Entra para a organização fictícia Contoso.

Captura de tela mostrando o novo email do Privileged Identity Management para funções do Microsoft Entra.

Email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra

Um email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra é enviado para Administradores com Função com Privilégios, Administradores de Segurança e Administradores Globais que habilitaram o Privileged Identity Management. Esse email semanal fornece um instantâneo das atividades do Privileged Identity Management da semana, bem como atribuições de função com privilégios. É disponibilizado apenas para organizações do Microsoft Entra na nuvem pública. Aqui está um exemplo de e-mail:

Captura de tela mostrando o email de resumo semanal do Privileged Identity Management para funções do Microsoft Entra.

O email inclui:

Tile Descrição
Usuários ativados Número de vezes que os usuários ativaram a função qualificada na organização.
Usuários tornados permanentes Número de vezes que usuários com uma atribuição qualificada tornam-se permanentes.
Atribuições de função no Privileged Identity Management Número de vezes que os usuários recebem uma função qualificada dentro do Privileged Identity Management.
Atribuições de função fora do PIM Número de vezes que os usuários recebem uma função permanente fora do Privileged Identity Management (dentro do Microsoft Entra ID). Esse alerta e o email que o acompanha podem ser habilitados ou desabilitados abrindo as configurações de alerta.

A seção Visão geral das principais funções lista as cinco principais funções na organização com base no número total de administradores permanentes e qualificados para cada função. O link Executar ação abre Descoberta e insights, onde é possível converter administradores permanentes em administradores qualificados em lotes.

Notificações para funções de recurso do Azure

Observação

No PIM, um Proprietário qualificado é alguém que recebeu acesso privilegiado JIT (just-in-time) a fim de executar determinadas tarefas para gerenciar grupos, que podem ser ativadas quando necessário. Isso é diferente de um Proprietário permanente, que tem acesso contínuo para gerenciar grupos. Para obter mais informações sobre a propriedade JIT de um grupo, consulte Atribuir qualificação para um grupo no Privileged Identity Management.

Para manter os grupos, o proprietário pode gerenciar o grupo, incluindo adicionar ou remover membros, renovar grupos que estão prestes a expirar e aprovar solicitações para ingressar no grupo. O PIM enviará emails para Proprietários permanentes, Proprietários qualificados e Administradores de acesso do usuário quando os seguintes eventos ocorrerem nas funções de recursos do Azure:

  • Quando uma atribuição de função estiver com aprovação pendente
  • Quando uma função for atribuída
  • Quando uma função estiver prestes a expirar
  • Quando uma função for qualificada para estender
  • Quando uma função estiver sendo renovada por um usuário final
  • Quando uma solicitação de ativação de função for concluída

O Privileged Identity Management enviará emails para usuários finais quando os seguintes eventos ocorrerem nas funções de recursos do Azure:

  • Quando uma função for atribuída ao usuário
  • Quando a função de um usuário expirar
  • Quando a função do usuário for estendida
  • Quando a solicitação de ativação de função de um usuário for concluída

A seguir, é mostrado um email de exemplo enviado quando um usuário recebe uma função de recurso do Azure para a organização fictícia Contoso.

Captura de tela mostrando o novo email do Privileged Identity Management para funções de recurso do Azure.

Notificações de PIM para Grupos

O Privileged Identity Management envia emails para Proprietários permanentes somente quando ocorrem os seguintes eventos para atribuições de PIM para Grupos:

  • Quando uma atribuição de função Proprietário ou Membro está pendente de aprovação
  • Quando uma função Proprietário ou Membro é atribuída
  • Quando uma função Proprietário ou Membro está prestes a expirar
  • Quando uma função Proprietário ou Membro é qualificada para estender
  • Quando uma função Proprietário ou Membro está sendo renovada por um usuário final
  • Quando uma solicitação de ativação de função Proprietário ou Membro é concluída

O Privileged Identity Management envia emails para usuários finais quando ocorrem os seguintes eventos para atribuições de PIM para Grupos:

  • Quando uma função Proprietário ou Membro é atribuída ao usuário
  • Quando uma função Proprietário ou Membro de um usuário expira
  • Quando uma função Proprietário ou Membro de um usuário é estendida
  • Quando uma solicitação de ativação de função de Proprietário ou de Membro de um usuário é concluída

Próximas etapas