Уведомления по электронной почте в PIM

Управление привилегированными пользователями (PIM) позволяет получить сведения о важных событиях в вашей организации Azure Active Directory (Azure AD), например о назначении или активации роли. Управление привилегированными пользователями информирует вас, отправляя вам и другим участникам уведомления по электронной почте. В этих сообщениях электронной почты также могут содержаться ссылки на соответствующие задачи, такие как активация или обновление роли. В этой статье описывается, как выглядят такие сообщения электронной почты, когда они отправляются и кто получает их.

Адрес электронной почты и строка темы сообщения отправителя

Сообщения, отправленные из управления привилегированными пользователями для ролей ресурсов Azure AD и Azure, имеют следующий адрес отправителя:

  • Адрес электронной почты: azure-noreply@microsoft.com
  • Отображаемое имя: Microsoft Azure.

Эти адреса электронной почты включают префикс PIM в строке темы. Ниже приведен пример:

  • PIM: Алану Шарону была назначена постоянная роль читателя для службы резервного копирования

Время отправки электронных сообщений для утверждения активации

Когда пользователи активируют свою роль, а параметр роли требует утверждения, утверждающие будут получать по два сообщения для каждого утверждения:

  • запрос на утверждение или отклонение запроса на активацию пользователя (отправляется подсистемой утверждения запроса);
  • сообщение о том, что запрос пользователя утвержден (отправляется подсистемой утверждения запроса).

Кроме того, глобальные администраторы и администраторы привилегированных ролей получают сообщение для каждого утверждения:

  • "Роль пользователя активирована" (отправляется при помощи PIM).

Первые два электронных сообщения, отправленные подсистемой утверждения запросов, могут прийти позже. В настоящее время 90 % сообщений приходят в течение от трех до десяти минут, но для 1 % клиентов доставка может занять намного больше времени, до пятнадцати минут.

Если запрос на утверждение утвержден на портале Azure перед отправкой первого электронного сообщения, то первое электронное сообщение больше не будет отправляться, а другие утверждающие не будут уведомлены по электронной почте о запросе на утверждение. Это может выглядеть так, как если бы они не получили электронное сообщение, но это ожидаемое поведение.

Уведомления для ролей Azure AD

Управление привилегированными пользователями отправляет сообщения, когда происходят следующие события для ролей Azure AD:

  • если активация привилегированной роли ожидает утверждения;
  • если запрос на активацию привилегированной роли выполнен;
  • если управление привилегированными пользователями включено;

Получатель этих сообщений электронной почты для ролей Azure AD зависит от настроек ролей, событий и уведомлений.

Пользователь Активация роли ожидает утверждения Выполнен запрос на активацию роли Включен PIM
Администратор привилегированных ролей
(активировано или разрешено)
Да
(только если не указаны явные утверждающие)
Да* Да
Администратор безопасности
(активировано или разрешено)
Нет Да* Да
Глобальный администратор
(активировано или разрешено)
Нет Да* Да

* Если для параметра Уведомления задано значение Включить.

Ниже приведен пример сообщения электронной почты, отправляемого при активации пользователем роли Azure AD для вымышленной организации Contoso.

New Privileged Identity Management email for Azure AD roles

Еженедельный дайджест PIM для ролей Azure AD

Еженедельное сводное сообщение PIM для ролей Azure AD отправляется администраторам привилегированных ролей, администраторам безопасности и глобальным администраторам, которые включили PIM. Это еженедельное сообщение содержит моментальный снимок действий PIM за неделю, а также назначения привилегированных ролей. Оно доступно только для организаций Azure AD в общедоступном облаке. Ниже приведен пример.

Weekly Privileged Identity Management digest email for Azure AD roles

Сообщение электронной почты содержит:

Tile Описание
Активированные пользователи Число активаций допустимых ролей пользователями внутри организации.
Постоянные пользователи Количество пользователей с допустимым назначением, которые стали постоянными.
Назначения ролей в PIM Количество раз, которое пользователям может быть назначена допустимая роль в PIM.
Назначения ролей за пределами PIM Количество раз, которое пользователям может быть назначена постоянная роль вне PIM (внутри Azure AD). Это оповещение и сопроводительное сообщение электронной почты можно включить или отключить, открыв параметры оповещений.

В разделе Общие сведения о ваших главных ролях перечислены пять главных ролей в вашей организации по общему числу постоянных и допустимых администраторов для каждой роли. Перейдя по ссылке Выполнить действие, вы откроете панель Обнаружение и аналитические сведения, где можно массово преобразовать постоянных администраторов в соответствующих.

Уведомления для ролей ресурсов Azure

PIM отправляет сообщения владельцам и администраторам доступа пользователей, когда происходят следующие события для ролей ресурсов Azure:

  • назначение ролей ожидает утверждения;
  • при назначении роли;
  • приближение даты истечения срока действия роли;
  • когда роль подходит для расширения;
  • обновление роли пользователем;
  • выполнение запроса на активацию роли.

PIM отправляет сообщения пользователям, когда происходят следующие события для ролей ресурсов Azure:

  • при назначении роли пользователю;
  • если истек срок действия роли пользователя;
  • если срок действия роли пользователя продлен;
  • выполнение запроса пользователя на активацию роли.

Ниже приведен пример сообщения электронной почты, отправляемого при назначении пользователю роли ресурса Azure для вымышленной организации Contoso.

New Privileged Identity Management email for Azure resource roles

Уведомления для ролей привилегированного доступа

Privileged Identity Management отправляет сообщения электронной почты владельцам только в перечисленных ниже ситуациях, связанных с назначением групп привилегированного доступа.

  • Когда назначение роли владельца или участника ожидает утверждения
  • При назначении роли владельца или участника
  • Когда срок действия роли владельца или участника подходит к концу
  • Когда можно продлить срок действия роли владельца или участника
  • Когда пользователь обновляет роль владельца или участника
  • После выполнения запроса на активацию роли владельца или участника

Privileged Identity Management отправляет сообщения электронной почты пользователям при возникновении перечисленных ниже событий для назначения групп привилегированного доступа.

  • При назначении роли владельца или участника пользователю
  • По истечении срока действия роли владельца или участника
  • При продлении срока действия роли владельца или участника
  • После выполнения запроса пользователя на активацию роли владельца или участника

Дальнейшие действия