Notificações do Microsoft Entra ID Protection

O Microsoft Entra ID Protection envia dois tipos de e-mails de notificação automatizados para ajudá-lo a gerenciar o risco do usuário e as deteções de risco:

  • Usuários em risco detetados e-mail
  • E-mail de resumo semanal

Este artigo fornece uma visão geral de ambos os e-mails de notificação.

Observação

Não suportamos o envio de e-mails para usuários em funções atribuídas a grupos.

Importante

Por padrão, os usuários ativamente atribuídos às funções de Administrador Global, Administrador de Segurança ou Leitor de Segurança são adicionados automaticamente a essa lista se esse usuário tiver um "Email" ou "Email alternativo" válido configurado. Se um usuário estiver inscrito no PIM para ascender a uma dessas funções sob demanda, ele só receberá e-mails se estiver elevado no momento em que o e-mail for enviado.

Usuários em risco detetados e-mail

Em resposta a uma conta detetada em risco, o Microsoft Entra ID Protection gera um alerta de email com Usuários em risco detetados como assunto. O e-mail inclui um link para os Usuários sinalizados para relatório de risco . Como prática recomendada, você deve investigar imediatamente os usuários em risco.

A configuração desse alerta permite especificar em que nível de risco do usuário você deseja que o alerta seja gerado. O e-mail é gerado quando o nível de risco do usuário atinge o que você especificou. Por exemplo, se você definir a política para alertar sobre o risco médio do usuário e a pontuação de risco do usuário passar para o risco médio devido a um risco de entrada em tempo real, você receberá o e-mail dos usuários em risco detetados. Se o usuário tiver deteções de risco subsequentes que façam com que o cálculo do nível de risco do usuário seja o nível de risco especificado (ou superior), você receberá mais e-mails de usuário em risco detetado quando a pontuação de risco do usuário for recalculada. Por exemplo, se um usuário mudar para risco médio em 1º de janeiro, você receberá uma notificação por e-mail se suas configurações estiverem definidas para alertar sobre risco médio. Se esse mesmo usuário tiver outra deteção de risco em 5 de janeiro e a pontuação de risco do usuário for recalculada, mas ainda for média, você receberá outra notificação por e-mail.

Uma notificação por e-mail extra é enviada se a hora em que a alteração no nível de risco do usuário for mais recente do que o último e-mail enviado. Por exemplo, um usuário entra em 1º de janeiro às 5h da manhã e não há risco em tempo real (o que significa que nenhum e-mail seria gerado por causa desse login). 10 minutos depois, às 5h10, o mesmo usuário entra novamente e tem alto risco em tempo real, fazendo com que o nível de risco do usuário passe para alto e um e-mail seja enviado. Então, às 5h15, a pontuação de risco offline para o login original às 5h muda para alto risco devido ao processamento de risco offline. Outro usuário sinalizado para email de risco não seria enviado, pois o momento do primeiro login era anterior ao segundo login que já disparava uma notificação por e-mail.

Para evitar uma sobrecarga de e-mails, você só recebe um e-mail dentro de um período de tempo de 5 segundos. Se vários usuários mudarem para o nível de risco especificado durante o mesmo período de 5 segundos, agregaremos os dados e enviaremos um e-mail para todos eles.

Se sua organização habilitou a autocorreção conforme descrito no artigo, Experiências do usuário com a Proteção de ID do Microsoft Entra, há uma chance de que o usuário corrija seu risco antes que você tenha a oportunidade de investigar. Você pode ver usuários arriscados e entradas arriscadas que já foram corrigidas adicionando Remediated ao filtro de estado de risco nos relatórios Usuários arriscados ou Entradas arriscadas.

Configurar alertas de usuários em risco detetados

Como administrador, você pode definir:

  • O nível de risco do usuário que aciona a geração deste e-mail - Por padrão, o nível de risco é definido como risco "Alto".
  • Os destinatários deste e-mail
    • Opcionalmente, você pode Adicionar e-mail personalizado aqui : os usuários definidos devem ter as permissões apropriadas para exibir os relatórios vinculados.

Configure o email dos usuários em risco no centro de administração do Microsoft Entra em Alertas de>Proteção de>Identidade Usuários em risco detetados.

E-mail de resumo semanal

O e-mail de resumo semanal contém um resumo das novas deteções de risco.
Inclui:

  • Novos utilizadores de risco detetados
  • Novos logins arriscados detetados (em tempo real)
  • Links para os relatórios relacionados na Proteção de ID

Uma captura de tela mostrando um exemplo de e-mail de resumo semanal.

Configurar e-mail resumido semanal

Como administrador, você pode ativar ou desativar o envio de um e-mail resumido semanal e escolher os usuários designados para receber o e-mail.

Configure o email de resumo semanal no resumo semanal do Centro>de administração do Microsoft Entra Protection>Identity Protection>Weekly.

Ver também