Microsoft Entra ID Protection 通知
Microsoft Entra ID Protection 會傳送兩種類型的自動化通知電子郵件,以協助您管理用戶風險和風險偵測:
- 有風險使用者偵測到電子郵件
- 每週提要電子郵件
本文提供這兩封通知電子郵件的概觀。
注意
我們不支援將電子郵件傳送給群組指派角色中的使用者。
重要
根據預設,如果使用者已設定有效的「電子郵件」或「替代電子郵件」,則會自動將全域 管理員 istrator、Security 管理員 istrator 或 Security Reader 角色新增至此清單。 如果使用者在 PIM 中註冊以視需要提升為其中一個角色,則 只有在電子郵件傳送時提高許可權時,他們才會收到電子郵件。
有風險使用者偵測到電子郵件
為了回應偵測到有風險的帳戶,Microsoft Entra ID Protection 會產生電子郵件警示,且 有風險的使用者偵測 為主旨。 電子郵件包含 [標幟為有風險的使用者] 報告的連結。 作為最佳做法,您應該立即調查有風險的使用者。
此警示的設定可讓您指定要產生警示的用戶風險層級。 當使用者的風險等級達到您指定的專案時,就會產生電子郵件。 例如,如果您將原則設定為警示中度用戶風險,而用戶的風險分數會因為即時登入風險而移至中度風險,您會收到有風險的用戶偵測到的電子郵件。 如果使用者有後續的風險偵測,導致用戶風險等級計算為指定的風險層級(或更高層級),則當重新計算用戶風險分數時,您會收到更多處於風險的使用者偵測到的電子郵件。 例如,如果使用者在 1 月 1 日移至中度風險,則如果您的設定設為中度風險警示,您會收到電子郵件通知。 如果同一位使用者在 1 月 5 日有另一個風險偵測,且用戶風險分數重新計算,但仍為中度,您會收到另一封電子郵件通知。
如果用戶風險層級變更的時間比上次傳送的電子郵件還晚,則會傳送額外的電子郵件通知。 例如,使用者於 1 月 1 日上午 5 點登入,而且沒有實時風險(這表示不會因為該登入而產生任何電子郵件)。 10 分鐘后,上午 5:10,相同的使用者再次登入,並具有很高的實時風險,導致用戶風險等級移至高,並傳送電子郵件。 然後,上午 5:15,原始登入的離線風險分數會因為脫機風險處理而變更為高風險。 系統不會傳送標幟為風險電子郵件的另一位使用者,因為第一次登入的時間是在已觸發電子郵件通知的第二次登入之前。
若要防止多載電子郵件,您只會在 5 秒的時間內收到一封電子郵件。 如果多個使用者在相同的 5 秒時段內移至指定的風險層級,我們會匯總數據,並傳送一封電子郵件給所有使用者。
如果您的組織已啟用自我補救,如本文所述, 使用 Microsoft Entra ID Protection 的用戶體驗可能會讓使用者在有機會調查之前補救其風險。 您可以在 [具風險的使用者] 或 [有風險的登入] 報告中,將 [補救] 新增至 [風險狀態] 篩選,以查看已補救的風險使用者和有風險的登入。
設定有風險的用戶偵測到的警示
身為系統管理員,您可以設定:
- 觸發此電子郵件 產生的用戶風險層級 - 根據預設,風險層級會設定為「高」風險。
- 此電子郵件的收件者
- 您可以選擇 性地在這裡 新增自訂電子郵件,使用者定義的用戶必須具有檢視連結報表的適當許可權。
在 Microsoft Entra 系統管理中心的 [保護>身分識別保護>使用者有風險偵測到警示] 底下,設定處於風險中的使用者。
每週提要電子郵件
每周摘要電子郵件包含新風險偵測的摘要。
包括:
- 偵測到新的風險性使用者
- 偵測到新的有風險的登入(即時)
- Identity Protection 中相關報告的連結
設定每週摘要電子郵件
身為系統管理員,您可以切換傳送每周摘要電子郵件,然後選擇指派以接收電子郵件的使用者。
在 Microsoft Entra 系統管理中心>保護>身分識別保護>每周摘要中設定每周摘要電子郵件。