E-Mail-Benachrichtigungen in PIM

Privileged Identity Management (PIM) benachrichtigt Sie bei wichtigen Ereignissen in Ihrer Microsoft Entra-Organisation, beispielsweise wenn eine Rolle zugewiesen oder aktiviert wird. Sie werden entsprechend informiert, indem Privileged Identity Management E-Mail-Benachrichtigungen an Sie und andere Teilnehmer sendet. Diese E-Mail-Benachrichtigungen können auch Links zu relevanten Aufgaben, z.B. Aktivieren oder Erneuern einer Rolle, enthalten. In diesem Artikel wird beschrieben, wie diese E-Mails aussehen, wann sie gesendet werden und wer sie erhält.

Hinweis

Ein Ereignis in Privileged Identity Management kann E-Mail-Benachrichtigungen an mehrere Empfänger generieren: zugewiesene oder genehmigende Personen oder Administrator*innen. Die maximale Anzahl von Benachrichtigungen, die pro Ereignis gesendet werden, beträgt 1.000. Wenn die Anzahl der Empfänger 1.000 überschreitet, erhalten nur die ersten 1.000 Empfänger eine E-Mail-Benachrichtigung. Dies hindert andere zugewiesene oder genehmigende Personen oder Administratoren nicht daran, ihre Berechtigungen in Microsoft Entra ID und Privileged Identity Management zu verwenden.

Absender-E-Mail-Adresse und Betreffzeile

Die von Privileged Identity Management für Microsoft Entra ID-Rollen und Azure-Ressourcenrollen gesendeten E-Mails weisen die folgende Absender-E-Mail-Adresse auf:

  • E-Mail-Adresse: MSSecurity-noreply@microsoft.com
  • Anzeigename: Microsoft Security

Wichtig

azure-noreply@microsoft.com gilt als veraltet und sollte keine PIM-E-Mail-Benachrichtigungen mehr senden.

Diese E-Mails enthalten in der Betreffzeile das Präfix PIM. Hier sehen Sie ein Beispiel:

  • PIM: Alain Charon wurde permanent die Rolle des Benutzers mit Leseberechtigung für Sicherungsfunktionen zugewiesen.

E-Mail-Timing für Aktivierungsgenehmigungen

Wenn Benutzer*innen ihre Rolle aktivieren und die Rolleneinstellung eine Genehmigung erfordert, erhalten genehmigende Personen zwei E-Mails pro Genehmigung:

  • Anforderung zum Genehmigen oder Ablehnen der Aktivierungsanforderung des Benutzers (vom Genehmigungsanforderungsmodul gesendet)
  • Die Anforderung des Benutzers wird genehmigt (vom Genehmigungsanforderungsmodul gesendet)

Außerdem erhalten globale Administratoren und Administratoren für privilegierte Rollen eine E-Mail für jede Genehmigung:

  • Die Rolle des Benutzers wird aktiviert (von Privileged Identity Management gesendet)

Bei den ersten beiden vom Genehmigungsanforderungsmodul gesendeten E-Mails können Verzögerungen auftreten. 90 % der E-Mails werden derzeit innerhalb von drei bis zehn Minuten gesendet, aber bei 1 % der Kunden kann der Vorgang länger dauern: bis zu fünfzehn Minuten.

Wird im Azure-Portal eine Genehmigungsanforderung vor dem Senden der ersten E-Mail genehmigt, wird die erste E-Mail nicht mehr ausgelöst, und andere genehmigende Personen werden nicht per E-Mail über die Genehmigungsanforderung benachrichtigt. Dies mag den Anschein erwecken, als hätten sie keine E-Mail erhalten, es ist aber das erwartete Verhalten.

Benachrichtigungen für Microsoft Entra-Rollen

Privileged Identity Management sendet E-Mails bei folgenden Ereignissen für Microsoft Entra-Rollen:

  • Wenn die Genehmigung für die Aktivierung einer privilegierten Rolle aussteht
  • Wenn die Aktivierungsanforderung einer privilegierten Rolle abgeschlossen wird
  • Wenn Microsoft Entra Privileged Identity Management aktiviert ist

Wer diese E-Mails für Microsoft Entra-Rollen erhält, hängt von der Rolle, dem Ereignis und der Benachrichtigungseinstellungen ab.

Benutzer Für die Rollenaktivierung steht Genehmigung aus Anforderung zur Rollenaktivierung ist abgeschlossen PIM ist aktiviert
Administrator für privilegierte Rollen
(aktiviert)
Ja
(nur, wenn keine expliziten genehmigenden Personen angegeben sind)
Ja* Ja
Sicherheitsadministrator
(aktiviert)
Nein Ja* Ja
Globaler Administrator
(aktiviert)
Nein Ja* Ja

* Wenn Benachrichtigungen (Einstellung) auf Aktivieren festgelegt ist.

Die folgende Beispiel-E-Mail wird gesendet, wenn eine privilegierte Rolle für die fiktive Organisation Contoso von Benutzer*innen aktiviert wurde.

Screenshot: Neue E-Mail von Privileged Identity Management für Microsoft Entra-Rollen

Wöchentliche Digest-E-Mails von Privileged Identity Management für Microsoft Entra-Rollen

Eine wöchentliche Zusammenfassungs-E-Mail von Privileged Identity Management für Microsoft Entra-Rollen wird an Administrator*innen für privilegierte Rollen, Sicherheitsadministrator*innen und globale Administrator*innen gesendet, die Privileged Identity Management aktiviert haben. Diese wöchentliche E-Mail enthält eine Momentaufnahme der Privileged Identity Management-Aktivitäten der Woche sowie der Zuweisungen privilegierter Rollen. Sie ist nur für Microsoft Entra-Organisationen in der öffentlichen Cloud verfügbar. Hier sehen Sie eine Beispiel-E-Mail:

Screenshot: Wöchentlicher E-Mail-Digest von Privileged Identity Management für Microsoft Entra-Rollen

Die E-Mail enthält:

Kachel BESCHREIBUNG
Users activated (Benutzer aktiviert) Zeigt an, wie oft Benutzer ihre berechtigte Rolle in der Organisation aktiviert haben.
Users made permanent (Benutzer als permanent festgelegt) Zeigt an, wie oft Benutzer mit einer berechtigten Zuweisung als permanent festgelegt werden.
Rollenzuweisungen in Privileged Identity Management Zeigt an, wie oft Benutzern eine berechtigte Rolle in Privileged Identity Management zugewiesen wird.
Role assignments outside of PIM (Rollenzuweisungen außerhalb von PIM) Zeigt an, wie oft Benutzer*innen eine permanente Rolle außerhalb von Privileged Identity Management (in Microsoft Entra ID) zugewiesen wird Diese Warnung und die zugehörige E-Mail können in den Warnungseinstellungen aktiviert oder deaktiviert werden.

Im Abschnitt Overview of your top roles (Übersicht über Ihre wichtigsten Rollen) sind die fünf wichtigsten Rollen in Ihrer Organisation basierend auf der Gesamtzahl der permanenten und berechtigten Administratoren für jede Rolle aufgeführt. Über den Link Aktion ausführen wird Ermittlung und Erkenntnisse geöffnet, wo Sie permanente Administratoren in Batches in berechtigte Administratoren umwandeln können.

Benachrichtigungen für Azure-Ressourcenrollen

Hinweis

In PIM ist ein berechtigter Besitzer jemand, dem just-in-time (JIT) privilegierter Zugriff gewährt wurde, um bestimmte Aufgaben für die Verwaltung von Gruppen auszuführen, die bei Bedarf aktiviert werden können. Dies unterscheidet ihn von einem permanenten Besitzer, der kontinuierlichen Zugriff auf die Verwaltung von Gruppen hat. Weitere Informationen zu JIT-Besitz einer Gruppe finden Sie unter Zuweisen einer Berechtigung für eine Gruppe in Privileged Identity Management.

Für die Verwaltung von Gruppen hat der Besitzer die Möglichkeit, die Gruppe zu verwalten, einschließlich Hinzufügen oder Entfernen von Mitgliedern, Verlängern von Gruppen, die bald ablaufen, und Genehmigen von Anfragen zum Beitreten zur Gruppe. PIM sendet bei folgenden Ereignissen für Azure-Ressourcenrollen E-Mails an permanente Besitzer, berechtigte Besitzer und Benutzerzugriffsadministratoren:

  • Wenn die Genehmigung für eine Rollenzuweisung aussteht
  • Wenn eine Rolle zugewiesen wird
  • Wenn eine Rolle bald abläuft
  • Wenn eine Rolle erweitert werden kann
  • Wenn eine Rolle von einem Endbenutzer erneuert wird
  • Wenn die Anforderung zur Rollenaktivierung abgeschlossen wird

Privileged Identity Management sendet bei folgenden Ereignissen für Azure-Ressourcenrollen E-Mails an Endbenutzer:

  • Wenn dem Benutzer eine Rolle zugewiesen wird
  • Wenn die Rolle eines Benutzers abgelaufen ist
  • Wenn die Rolle eines Benutzers erweitert wird
  • Wenn die Anforderung zur Rollenaktivierung eines Benutzers abgeschlossen wird

Nachstehend finden Sie eine Beispiel-E-Mail, die gesendet wird, wenn einem Benutzer eine Azure-Ressourcenrolle für die fiktive Organisation Contoso zugewiesen wird.

Screenshot: Neue E-Mail von Privileged Identity Management für Azure-Ressourcenrollen

Benachrichtigungen für PIM für Gruppen

Privileged Identity Management sendet nur dann E-Mails an permanente Besitzer, wenn die folgenden Ereignisse für PIM für Gruppenzuweisungen auftreten:

  • Wenn die Genehmigung einer „Besitzer“- oder „Mitglied“-Rollenzuweisung aussteht
  • Wenn eine „Besitzer“- oder „Mitglied“-Rolle zugewiesen wird
  • Wenn eine „Besitzer“- oder „Mitglied“-Rolle demnächst abläuft
  • Wenn eine „Besitzer“- oder „Mitglied“-Rolle verlängerungsberechtigt ist
  • Wenn eine „Besitzer“- oder „Mitglied“-Rolle von einem Endbenutzer erneuert wird
  • Wenn eine Aktivierungsanforderung für die Rolle „Besitzer“ oder „Mitglied“ abgeschlossen wird

Privileged Identity Management sendet nur dann E-Mails an Endbenutzer*innen, wenn die folgenden Ereignisse für Rollenzuweisungen bei PIM für Gruppen auftreten:

  • Wenn dem Benutzer eine „Besitzer“- oder „Mitglied“-Rolle zugewiesen wird
  • Wenn die „Besitzer“- oder „Mitglied“-Rolle eines Benutzers abgelaufen ist
  • Wenn die „Besitzer“- oder „Mitglied“-Rolle eines Benutzers verlängert wird
  • Wenn eine Aktivierungsanforderung eines Benutzers für die Rolle „Besitzer“ oder „Mitglied“ abgeschlossen wird

Nächste Schritte