уведомления Защита идентификации Microsoft Entra

Защита идентификации Microsoft Entra отправляет два типа автоматических уведомлений электронной почты, которые помогут вам управлять рисками пользователей и обнаружением рисков:

  • Пользователи, подверженные риску, обнаружили электронную почту
  • Еженедельный дайджест электронной почты

В этой статье приводятся общие сведения об обоих сообщениях электронной почты.

Заметка

Мы не поддерживаем отправку сообщений электронной почты пользователям в назначаемых группами ролях.

Важный

По умолчанию пользователи активно назначают роли глобального администратора, администратора безопасности или читателя безопасности автоматически добавляются в этот список, если у этого пользователя настроено допустимое сообщение "Электронная почта" или "Альтернативный адрес электронной почты". Если пользователь зарегистрирован в PIM, чтобы повысить уровень до одной из этих ролей по запросу, он будет получать только сообщения электронной почты, если они повышены во время отправки сообщения электронной почты.

Пользователи, подверженные риску, обнаружили электронную почту

В ответ на обнаруженную учетную запись, подверженную риску, Защита идентификации Microsoft Entra создает оповещение электронной почты с пользователями, подвергающихся риску, как субъект. Электронная почта содержит ссылку на отчет о рисках пользователей, помеченных для отчета о рисках. Рекомендуется немедленно изучить пользователей, подверженных риску.

Конфигурация этого оповещения позволяет указать уровень риска пользователя, который требуется создать. Сообщение электронной почты создается, когда уровень риска пользователя достигает указанного вами уровня риска. Например, если политика настроена на оповещение о среднем риске пользователя, а оценка риска пользователя переходит к среднему риску из-за риска входа в режиме реального времени, вы получите пользователей, подверженных риску обнаруженных сообщений электронной почты. Если пользователь имеет последующие обнаружения рисков, которые приводят к вычислению уровня риска пользователя заданным уровнем риска (или выше), вы получите больше пользователей, которые подвергаются риску, когда оценка риска пользователя пересчитывается. Например, если пользователь переходит на средний риск 1 января, вы получите уведомление по электронной почте, если параметры настроены на оповещение о среднем риске. Если этот же пользователь имеет другое обнаружение рисков 5 января и оценка риска пользователя пересчитывается, но по-прежнему является средним, вы получите другое уведомление по электронной почте.

Дополнительное уведомление по электронной почте отправляется, если время изменения уровня риска пользователя более поздних, чем последнее сообщение электронной почты. Например, пользователь входит 1 января в 5:00 и не существует риска в режиме реального времени (это означает, что электронная почта не будет создана из-за этого входа). 10 минут спустя, в 5:10, тот же пользователь снова войдет и имеет высокий риск в режиме реального времени, что приводит к тому, что уровень риска пользователя переходит на высокий и сообщение электронной почты. Затем, в 5:15, автономная оценка риска для исходного входа в 5 утра изменяется на высокий риск из-за автономной обработки рисков. Другой пользователь, помеченный для сообщения электронной почты о рисках, не будет отправлен, так как время первого входа было до второго входа, который уже активировал уведомление по электронной почте.

Чтобы предотвратить перегрузку электронной почты, вы получаете только одну электронную почту в течение 5-секундного периода. Если несколько пользователей перемещаются на указанный уровень риска в течение одного и того же 5-секундного периода времени, мы агрегируем данные и отправим одну электронную почту для всех этих пользователей.

Если ваша организация включила самостоятельное исправление, как описано в статье, взаимодействие с пользователем с Защита идентификации Microsoft Entra есть вероятность того, что пользователь может устранить свой риск, прежде чем у вас есть возможность исследовать. Вы можете увидеть рискованных пользователей и рискованные входы, которые уже были исправлены, добавив исправление в фильтр состояния риска в отчетах о рискованных пользователях или рискованных входах.

Настройка обнаруженных оповещений пользователей, подверженных риску

Администратор может задать следующее:

  • Уровень риска пользователя, который активирует создание этого сообщения электронной почты . По умолчанию уровень риска имеет значение "Высокий".
  • Получатели этого сообщения электронной почты
    • При необходимости можно добавить настраиваемую электронную почту здесь , определенные пользователи должны иметь соответствующие разрешения для просмотра связанных отчетов.

Настройте пользователей, подверженных риску электронной почты, в Центре администрирования Microsoft Entra в разделе> "Пользователи защиты>идентификации" в группе риска обнаруженных оповещений.

Еженедельный дайджест электронной почты

Еженедельный дайджест электронной почты содержит сводку по новым обнаружениям рисков.
Он включает в себя:

  • Обнаружены новые рискованные пользователи
  • Обнаружены новые рискованные входы (в режиме реального времени)
  • Ссылки на связанные отчеты в службе защиты идентификаторов

Снимок экрана: пример еженедельного дайджеста электронной почты.

Настройка еженедельного дайджеста электронной почты

Администратор может переключиться на еженедельную дайджест-почту и выбрать пользователей, назначенных для получения сообщения электронной почты.

Настройте еженедельный дайджест электронной почты в дайджесте Защиты>идентификации>Центра>администрирования Майкрософт.

См. также