Уведомления по электронной почте в PIM
управление привилегированными пользователями (PIM) позволяет узнать, когда важные события происходят в организации Microsoft Entra, например при назначении или активации роли. Управление привилегированными пользователями информирует вас, отправляя вам и другим участникам уведомления по электронной почте. В этих сообщениях электронной почты также могут содержаться ссылки на соответствующие задачи, такие как активация или обновление роли. В этой статье описывается, как выглядят такие сообщения электронной почты, когда они отправляются и кто получает их.
Примечание.
Одно событие в управление привилегированными пользователями может создавать Уведомления по электронной почте для нескольких получателей— назначателей, утверждающих или администраторов. Максимальное количество уведомлений, отправленных на одно событие, равно 1000. Если число получателей превышает 1000, то только первые 1000 получателей получат уведомление по электронной почте. Это не препятствует другим назначателям, администраторам или утверждавшим использовать их разрешения в идентификаторе Microsoft Entra и управление привилегированными пользователями.
Адрес электронной почты и строка темы сообщения отправителя
Сообщения электронной почты, отправленные из управление привилегированными пользователями для ролей ресурсов Microsoft Entra ID и Azure, имеют следующий адрес электронной почты отправителя:
- Адрес электронной почты: azure-noreply@microsoft.com
- Отображаемое имя: Microsoft Azure
Эти адреса электронной почты включают префикс PIM в строке темы. Приведем пример:
- PIM: Алану Шарону была назначена постоянная роль читателя для службы резервного копирования
Время отправки электронных сообщений для утверждения активации
Когда пользователи активируют свою роль и параметр роли требуют утверждения, утверждающие получают два сообщения электронной почты для каждого утверждения:
- запрос на утверждение или отклонение запроса на активацию пользователя (отправляется подсистемой утверждения запроса);
- сообщение о том, что запрос пользователя утвержден (отправляется подсистемой утверждения запроса).
Кроме того, глобальные администраторы и администраторы привилегированных ролей получают сообщение для каждого утверждения:
- "Роль пользователя активирована" (отправляется при помощи PIM).
Первые два электронных сообщения, отправленные подсистемой утверждения запросов, могут прийти позже. В настоящее время 90% сообщений электронной почты занимают три–десять минут, но для 1% клиентов это может быть дольше, до пятнадцати минут.
Если запрос на утверждение утвержден на портале Azure перед отправкой первого электронного сообщения, то первое электронное сообщение больше не будет отправляться, а другие утверждающие не будут уведомлены по электронной почте о запросе на утверждение. Это может показаться, как если бы они не получили электронное письмо, но это ожидаемое поведение.
Уведомления для ролей Microsoft Entra
управление привилегированными пользователями отправляет сообщения электронной почты при возникновении следующих событий для ролей Microsoft Entra:
- если активация привилегированной роли ожидает утверждения;
- если запрос на активацию привилегированной роли выполнен;
- Если включена управление привилегированными пользователями Microsoft Entra
Кто получает эти сообщения электронной почты для ролей Microsoft Entra, зависит от вашей роли, события и параметра уведомлений.
| User | Активация роли ожидает утверждения | Выполнен запрос на активацию роли | Включен PIM |
|---|---|---|---|
| Привилегированная роль Администратор istrator (активирована) |
Да (только если не указаны явные утверждающие) |
Да* | Да |
| Security Администратор istrator (Activated) |
No | Да* | Да |
| Global Администратор istrator (Activated) |
No | Да* | Да |
* Если для параметра Уведомления задано значение Включить.
Ниже показан пример электронной почты, отправляемой при активации роли Microsoft Entra для вымышленной организации Contoso.
Еженедельный дайджест PIM для ролей Microsoft Entra
Еженедельная управление привилегированными пользователями сводная электронная почта для ролей Microsoft Entra отправляется в привилегированные роли Администратор istrators, security Администратор istrator и глобальные Администратор istratorы, которые включили управление привилегированными пользователями. Это еженедельное сообщение содержит моментальный снимок действий PIM за неделю, а также назначения привилегированных ролей. Он доступен только для организаций Microsoft Entra в общедоступном облаке. Ниже приведен пример.
Сообщение электронной почты содержит:
| Плитка | Description |
|---|---|
| Активированные пользователи | Число активаций допустимых ролей пользователями внутри организации. |
| Постоянные пользователи | Количество пользователей с допустимым назначением, которые стали постоянными. |
| Назначения ролей в PIM | Количество раз, которое пользователям может быть назначена допустимая роль в PIM. |
| Назначения ролей за пределами PIM | Количество раз, когда пользователям назначена постоянная роль за пределами управление привилегированными пользователями (внутри идентификатора Microsoft Entra). Это оповещение и сопроводительное сообщение электронной почты можно включить или отключить, открыв параметры оповещений. |
В разделе Общие сведения о ваших главных ролях перечислены пять главных ролей в вашей организации по общему числу постоянных и допустимых администраторов для каждой роли. Перейдя по ссылке Выполнить действие, вы откроете панель Discovery & Insights (Обнаружение и аналитические сведения), где можно массово преобразовать постоянных администраторов в соответствующих.
Уведомления для ролей ресурсов Azure
PIM отправляет сообщения владельцам и администраторам доступа пользователей, когда происходят следующие события для ролей ресурсов Azure:
- назначение ролей ожидает утверждения;
- при назначении роли;
- приближение даты истечения срока действия роли;
- когда роль подходит для расширения;
- обновление роли пользователем;
- выполнение запроса на активацию роли.
PIM отправляет сообщения пользователям, когда происходят следующие события для ролей ресурсов Azure:
- при назначении роли пользователю;
- если истек срок действия роли пользователя;
- если срок действия роли пользователя продлен;
- выполнение запроса пользователя на активацию роли.
Ниже приведен пример сообщения электронной почты, отправляемого при назначении пользователю роли ресурса Azure для вымышленной организации Contoso.
Уведомления для PIM для групп
управление привилегированными пользователями отправляет сообщения электронной почты владельцам только при возникновении следующих событий для PIM для назначений групп:
- Когда назначение роли владельца или участника ожидает утверждения
- При назначении роли владельца или участника
- Когда срок действия роли владельца или участника подходит к концу
- Когда можно продлить срок действия роли владельца или участника
- Когда пользователь обновляет роль владельца или участника
- После выполнения запроса на активацию роли владельца или участника
управление привилегированными пользователями отправляет сообщения электронной почты конечным пользователям при возникновении следующих событий для PIM для назначений ролей групп:
- При назначении роли владельца или участника пользователю
- По истечении срока действия роли владельца или участника
- При продлении срока действия роли владельца или участника
- После выполнения запроса пользователя на активацию роли владельца или участника