Notifications de Protection des ID Microsoft Entra

Protection des ID Microsoft Entra envoie deux types d’e-mails de notification automatisés pour vous aider à gérer les risques utilisateur et les détections de risques :

  • E-mail Utilisateurs à risque détectés
  • E-mail de synthèse hebdomadaire

Le présent article vous offre une vue d’ensemble des deux e-mails de notification.

Remarque

Nous ne prenons pas en charge l’envoi d’e-mails aux utilisateurs ayant des rôles attribués par groupe.

Important

Par défaut, les utilisateurs affectés activement aux rôles Administrateur général, Administrateur de la sécurité ou Lecteur de sécurité sont automatiquement ajoutés à cette liste si l’utilisateur dispose d’un « e-mail » ou d’une « adresse e-mail alternative » valide configurée. Si un utilisateur est inscrit dans PIM pour s’élever à l’un de ces rôles à la demande, il recevra uniquement les e-mails s’il est élevé au moment où l’e-mail est envoyé.

E-mail Utilisateurs à risque détectés

En réponse à un compte à risque détecté, Protection des ID Microsoft Entra génère une alerte par courrier électronique avec les utilisateurs à risque détectés comme sujet. L’e-mail comprend un lien vers les Utilisateurs signalés pour le rapport de risque. En guise de meilleure pratique, vous devez examiner immédiatement les utilisateurs à risque.

La configuration de cette alerte vous permet de spécifier à quel niveau de risque de l’utilisateur vous souhaitez que l’alerte soit générée. L’e-mail est généré lorsque le niveau de risque de l’utilisateur atteint le seuil que vous avez spécifié. Ainsi, si vous définissez une stratégie afin que le système envoie des alertes en cas de risque moyen pour l’utilisateur et que le score de risque de l’utilisateur atteint ce niveau en raison d’un risque de connexion en temps réel, vous recevez un e-mail utilisateurs à risque détectés. Si l’utilisateur fait l’objet de détections de risque ultérieures qui font que le calcul du niveau de risque de l’utilisateur correspond (ou est supérieur) au niveau de risque spécifié, vous recevrez d’autres e-mails utilisateurs à risque détectés lorsque le score de risque de l’utilisateur sera recalculé. Par exemple, si un utilisateur passe à un risque moyen le 1er janvier, vous recevrez une notification par e-mail si vos paramètres sont réglés de manière à vous alerter en cas de risque moyen. Si ce même utilisateur fait l’objet d’une autre détection de risque le 5 janvier et que le score de risque de l’utilisateur est recalculé, mais reste moyen, vous recevrez une autre notification par e-mail.

Une nouvelle notification par e-mail sera envoyée si le moment de la modification du niveau de risque de l’utilisateur) est plus récent que celui où le dernier e-mail a été envoyé. Par exemple, un utilisateur se connecte le 1er janvier à 5 h et il n’y a aucun risque en temps réel (c’est-à-dire qu’aucun e-mail n’est généré en raison de cette connexion). Dix minutes plus tard, à 5 h 10, le même utilisateur se connecte à nouveau et présente alors un risque en temps réel élevé, ce qui amène le niveau de risque de l’utilisateur à passer à un niveau élevé et entraîne l’envoi d’un e-mail. Puis, à 5 h 15, le score de risque hors connexion pour la connexion d’origine à 5 h passe à un risque élevé en raison du traitement des risques hors connexion. Un autre e-mail utilisateur signalé à risque n’est pas envoyé, car l’heure de la première connexion est antérieure à la deuxième connexion à l’origine de la notification par e-mail.

Pour empêcher une surcharge d’e-mails, vous ne recevrez qu’un seul e-mail dans un délai de cinq secondes. Si plusieurs utilisateurs passent au niveau de risque spécifié au cours de la même période de cinq secondes, nous regrouperons les données et enverrons un seul e-mail pour toutes.

Si votre organisation a activé l’auto-correction comme décrit dans l’article Expériences des utilisateurs avec la Protection des ID Microsoft Entra, il est possible que l’utilisateur corrige son risque avant que vous ayez la possibilité de procéder à un examen. Vous pouvez voir les connexions à risque et les utilisateurs à risque déjà corrigés en ajoutant Corrigé au filtre État du risque dans les rapports Utilisateurs à risque ou Connexions à risque.

Configurer les alertes de détection des utilisateurs à risque

En tant qu’administrateur, vous pouvez définir les éléments suivants :

  • Le niveau de risque de l’utilisateur qui déclenche la génération de cet e-mail : par défaut, le niveau de risque est défini sur « Élevé ».
  • Les destinataires de cet e-mail
    • Si vous le souhaitez, vous pouvez Ajouter un e-mail personnalisé ici. Les utilisateurs définis doivent disposer des autorisations appropriées pour afficher les rapports mis en lien.

Configurez l’e-mail des utilisateurs à risque dans le Centre d’administration Microsoft Entra sous Protection>Identity Protection>Alertes utilisateurs à risque détectés.

E-mail de synthèse hebdomadaire

L’e-mail de synthèse hebdomadaire contient un résumé des nouvelles détections de risques.
Il inclut :

  • Nouveaux utilisateurs à risque détectés
  • Nouvelles connexions à risque détectées (en temps réel)
  • Des liens vers les rapports connexes dans ID Protection

Capture d’écran montrant un exemple d’e-mail de synthèse hebdomadaire.

Configurer un courrier de synthèse hebdomadaire

En tant qu’administrateur, vous pouvez activer ou désactiver l’envoi d’un courrier de synthèse hebdomadaire et choisir les utilisateurs affectés à la réception de celui-ci.

Configurez l’e-mail de synthèse hebdomadaire dans le Centre d’administration Microsoft Entra>Protection>Identity Protection>Synthèse hebdomadaire.

Voir aussi