Benachrichtigungen zu Microsoft Entra ID-Protection

Von Azure AD Identity Protection werden zwei Arten von automatisierten Benachrichtigungs-E-Mails gesendet, die der Verwaltung von Benutzerrisiko- und Risikoerkennungen dienen:

  • E-Mail für erkannte gefährdete Benutzer
  • Wöchentliche E-Mail mit Übersicht

Dieser Artikel gibt Ihnen eine Übersicht zu beiden Benachrichtigungs-E-Mails.

Hinweis

Das Senden von E-Mails an Benutzer in über Gruppen zugewiesenen Rollen wird nicht unterstützt.

Wichtig

Standardmäßig werden Benutzer und Benutzerinnen, denen die Rollen „Globaler Administrator“, „Sicherheitsadministrator“ oder „Sicherheitsleseberechtigter“ aktiv zugewiesen wurde, automatisch dieser Liste hinzugefügt, wenn sie eine gültige „E-Mail“ oder „Alternative E-Mail“ konfiguriert haben. Falls ein Benutzer in PIM registriert ist, damit er bei Bedarf für eine dieser Rollen erhöhte Rechte erhält, wird er nur dann E-Mails erhalten, wenn er zu dem Zeitpunkt, zu dem die E-Mail gesendet wird, über diese Rechte verfügt.

E-Mail für erkannte gefährdete Benutzer

Als Reaktion auf ein erkanntes gefährdetes Konto erstellt Microsoft Entra ID Protection eine E-Mail-Warnung mit dem Betreff Gefährdete Benutzer erkannt. Die E-Mail enthält einen Link zum Bericht Ein als Risiko gekennzeichneter Benutzer. Als bewährte Methode sollten Sie die gefährdeten Benutzer sofort untersuchen.

Durch Konfiguration dieser Warnung können Sie angeben, bei welcher Benutzerrisikostufe die Warnung generiert werden soll. Die E-Mail wird generiert, wenn die angegebene Risikostufe des Benutzers erreicht wird. Wenn Sie beispielsweise die Richtlinie für Warnungen auf ein mittleres Benutzerrisiko festlegen und die Risikobewertung eines Benutzers oder einer Benutzerin aufgrund eines Echtzeit-Anmelderisikos die mittlere Risikostufe erreicht, erhalten Sie eine E-Mail des Typs „Gefährdete Benutzer erkannt“. Wenn für den Benutzer anschließend weitere Risiken ermittelt werden, aufgrund derer die Risikostufe des Benutzers die festgelegte Risikostufe (oder eine höhere Risikostufe) erreicht, erhalten Sie weitere E-Mails dieses Typs, wenn die Risikobewertung des Benutzers neu berechnet wird. Ein Beispiel: Für einen Benutzer wird am 1. Januar die mittlere Risikostufe erreicht, und Sie haben in Ihren Einstellungen festgelegt, dass bei mittlerem Risiko eine Warnung ausgegeben werden soll. Dann erhalten Sie eine E-Mail-Benachrichtigung. Wenn derselbe Benutzer am 5. Januar eine weitere Risikoerkennung erfährt und der Risikowert des Benutzers neu berechnet wird, aber weiterhin mittel ist, erhalten Sie eine weitere E-Mail-Benachrichtigung.

Eine zusätzliche E-Mail-Benachrichtigung wird gesendet, wenn der Zeitpunkt der Änderung der Risikostufe des Benutzers vor der letzten gesendeten E-Mail liegt. Beispiel: Ein Benutzer meldet sich am 1. Januar um 5:00 Uhr an, und es liegt kein Echtzeitrisiko vor (aufgrund dieser Anmeldung würde also keine E-Mail generiert). Zehn Minuten später, um 5:10 Uhr, meldet sich der Benutzer erneut an, dieses Mal jedoch mit einem hohen Echtzeitrisiko. Aufgrund dieser Anmeldung wird die Risikostufe des Benutzers in „Hoch“ geändert, und es wird eine E-Mail gesendet. Um 5:15 Uhr wird die Offlinerisikobewertung für die ursprüngliche Anmeldung um 5:00 Uhr durch die Offlinerisikoverarbeitung in ein hohes Risiko geändert. Da der Zeitpunkt der ersten Anmeldung vor dem Zeitpunkt der zweiten Anmeldung liegt, für die bereits eine E-Mail-Benachrichtigung gesendet wurde, wird keine zusätzliche E-Mail zu einem erkannten Risiko für einen Benutzer gesendet.

Um eine übermäßig hohe Anzahl von E-Mails zu vermeiden, erhalten Sie pro fünf Sekunden immer nur eine E-Mail. Wenn innerhalb desselben 5-Sekunden-Zeitraums mehrere Nutzer die angegebene Risikostufe erreichen, fassen wir die Daten zusammen und versenden eine E-Mail an alle Nutzer.

Wenn Ihre Organisation wie im Artikel Benutzererfahrungen mit Microsoft Entra ID Protection beschrieben die Eigenwartung aktiviert hat, besteht die Möglichkeit, dass Benutzer ihr Risiko selbst beheben, bevor Sie die Gelegenheit zur Untersuchung haben. Sie können Risikobenutzer und Risikoanmeldungen, die korrigiert wurden, anzeigen, indem Sie im Bericht Riskante Benutzer oder Riskante Anmeldungen dem Filter Risikozustand den Zustand Bereinigt hinzufügen.

Konfigurieren von Warnungen zu erkannten gefährdeten Benutzern

Als Administrator können Sie Folgendes festlegen:

  • Die Stufe der Benutzergefährdung, bei der die Erstellung dieser E-Mail ausgelöst wird: Standardmäßig ist die Risikostufe auf „Hoch“ festgelegt.
  • Die Empfänger dieser E-Mail-Nachricht
    • Optional können Sie Hier benutzerdefinierte E-Mail einfügen verwenden. Definierte Benutzer*innen müssen die entsprechenden Berechtigungen zum Anzeigen der verknüpften Berichte besitzen.

Konfigurieren Sie die E-Mail zu gefährdeten Benutzer*innen im Microsoft Entra Admin Center unter Schutz>Identitätsschutz>Warnungen zu erkannten gefährdeten Benutzern.

Wöchentliche E-Mail mit Übersicht

Die wöchentliche Übersichts-E-Mail enthält eine Zusammenfassung der neuen Risikoerkennungen.
Sie hat folgenden Inhalt:

  • Neue Benutzer mit Risiko erkannt
  • New risky sign-ins detected (in real time) (Neue Risikoanmeldungen erkannt (in Echtzeit))
  • Links zu verwandten Berichten in ID Protection

Screenshot: Beispiel für eine wöchentliche Übersichts-E-Mail.

Konfigurieren von wöchentlichen Zusammenfassung per E-Mail

Als Administrator können Sie das Senden einer wöchentlichen Zusammenfassung per E-Mail aktivieren oder deaktivieren und die Benutzer auswählen, denen die E-Mail gesendet werden soll.

Konfigurieren Sie die E-Mail mit der wöchentlichen Übersicht im Microsoft Entra Admin Center>Schutz>Identitätsschutz>Wöchentliche Übersicht.

Siehe auch