Microsoft Entra ID Protection 會傳送兩種自動化通知電子郵件,協助您管理使用者風險和風險偵測:
- 偵測到有風險的使用者
- 每週摘要
先決條件
- 需要Microsoft Entra ID P2 或 Microsoft Entra 套件 授權,才能完整存取 Microsoft Entra ID Protection 功能,包括修改 MFA 註冊原則。
- 如需每個授權層功能的詳細清單,請參閱 什麼是 Microsoft Entra ID Protection。
- 安全性系統管理員角色是設定警示所需的最低許可權角色。
誰會收到通知郵件
預設情況下,主動分配為全域管理員、安全管理員或安全閱讀器角色的使用者會自動加入通知收件人清單。 這些使用者必須設定有效的 電子郵件 或 備用電子郵件 。
如果使用者已註冊 Privileged Identity Management(PIM),以便在需要時提升為這些角色之一,則只有在電子郵件傳送時其角色已處於提升狀態,他們才會收到電子郵件。
注意
不支援向群組分配角色的使用者發送電子郵件。
有風險使用者偵測到電子郵件
當偵測到有帳戶處於風險時,Microsoft Entra ID Protection會產生電子郵件警示,主旨為風險使用者偵測到。 電子郵件包含指向「標示為有風險的使用者」報告的連結。 作為最佳做法,請立即調查以保護受影響的帳號。
此警示的設定可讓您指定要產生警示的使用者風險層級。 在使用者的風險層級達到您指定的程度時,就會產生電子郵件。
範例案例
你設定政策為中等使用者風險警示。 由於即時登入風險,你的使用者風險分數會升為中度風險,而你會收到「已偵測到風險使用者」電子郵件。
如果使用者的後續風險偵測造成使用者風險層級計算成為指定的風險層級 (或更高層級),則在重新計算使用者風險分數後,您將會收到更多「偵測到有風險的使用者」電子郵件。 例如,若用戶在1月1日轉為中風險,若設定為中風險警示,您將收到電子郵件通知。 如果相同使用者在 1 月 5 日進行了另一次風險偵測,且經重新計算後使用者風險分數仍是「中等」,則您會收到另一封電子郵件通知。
電子郵件通知時間的考量
只有在用戶風險層級的變更比上次傳送的電子郵件更新時,才會傳送額外的電子郵件通知。 舉例來說,使用者在 1 月 1 日早上 5 點登入,且沒有即時風險(也就是不會因為該登入產生電子郵件)。 十分鐘後,即早上5:10,同一位使用者再次登入,並顯示高度即時風險,導致使用者風險等級升高並觸發電子郵件。 然後,在上午 5:15,原始登入 (上午 5 點) 的離線風險分數會因為離線風險處理而變成高風險。 另一位被標記為風險的使用者郵件未被發送,因為第一次登入的時間早於第二次已觸發電子郵件通知的登入。
為了避免郵件過載,你在5秒內只會收到一封郵件。 若多位用戶在同一 5 秒內移動至指定風險等級,資料會彙整並在一封電子郵件中傳送給所有人。
使用者風險與修復
如果您的組織已按照文章中所述啟用自我補救功能,在您有機會調查之前,使用 Microsoft Entra ID Protection 的使用者可能會自行降低其風險。 您可以在 [風險性使用者] 或[風險性登入] 報告中,將 [已補救] 新增至 [風險狀態] 篩選條件,藉此查看已補救的風險性使用者和風險性登入。
如果你收到風險登入的通知,但在 Microsoft Entra 系統管理中心 中卻沒有看到任何結果,可能是登入已被自動修復。 要查看這些事件,請前往 ID Protection>風險 登入,並將 風險狀態 篩選器設為包含 已修復。 通知郵件會包含事件發生當下的偵測記錄,即使風險之後已自動排除。 因此,除非明確過濾,否則已修復的登入可能不會出現在報告中。
設定偵測到具風險使用者的警示
要設定這些警示的使用者風險等級及收件人,請依照以下步驟操作。
如果您是系統管理員,您可以設定:
- 觸發此電子郵件產生的用戶風險層級 - 根據預設,風險層級會設定為「高」風險。
-
此電子郵件的收件者
- 您可以選擇性地 在這裡新增自訂電子郵件 ,使用者定義的用戶必須具有檢視連結報表的適當許可權。
在 Microsoft Entra 系統管理中心的 身分識別保護>儀錶板> 中設定 偵測到有風險使用者的警示。
每週提要電子郵件
每週摘要電子郵件包含新風險偵測的摘要。
包括:
- 偵測到新的風險性使用者
- 偵測到新的風險性登入 (即時)
- ID Protection 中相關報告的連結
設定每週摘要電子郵件
身為管理員,您可以開啟或關閉傳送每週摘要電子郵件的功能,並選擇指派的使用者來接收電子郵件。
在 Microsoft Entra 系統管理中心>標識碼保護>儀錶板>每周摘要中設定每周摘要電子郵件。