Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Защита идентификации Microsoft Entra отправляет два типа автоматических уведомлений электронной почты, которые помогут вам управлять рисками пользователей и обнаружением рисков:
- Пользователи в группе риска обнаружили электронную почту
- Еженедельный дайджест электронной почты
В этой статье рассматриваются оба уведомления по электронной почте.
Примечание.
Мы не поддерживаем отправку сообщений электронной почты пользователям в назначаемых группами ролях.
Внимание
По умолчанию пользователи, активно назначенные на роли Глобального администратора, Администратора безопасности или Читателя безопасности, автоматически добавляются в этот список, если у этого пользователя настроен допустимый адрес "Электронная почта" или "Альтернативный адрес электронной почты". Если пользователь зарегистрирован в привилегированном управлении удостоверениями (PIM), чтобы перейти к одной из этих ролей по запросу, он получит только электронные письма, если он перешел на роль ко времени отправки письма.
Пользователи в группе риска обнаружили электронную почту
В ответ на обнаружение учетной записи под угрозой, Microsoft Entra ID Protection создает оповещение по электронной почте с темой Обнаружены пользователи под угрозой. Электронная почта содержит ссылку на отчет о пользователях, флагированных как рискованные. Рекомендуется немедленно исследовать пользователей, которым грозит опасность.
В конфигурации этого оповещения можно указать уровень риска, на котором оно будет создаваться. Сообщение электронной почты создается, когда уровень риска пользователя достигает указанного вами уровня риска. Например, если политика настроена на оповещение о среднем уровне риска для пользователя, и оценка риска пользователя возрастает до среднего уровня из-за риска входа в систему в режиме реального времени, вы получите уведомление по электронной почте о пользователях, находящихся в зоне риска. Если у пользователя есть последующие обнаружения рисков, которые приводят к вычислению уровня риска пользователя на заданном уровне (или выше), вы получите больше уведомлений о пользователях, находящихся в зоне риска, когда оценка риска пользователя пересчитывается. Например, если оценка риска пользователя выйдет на средний уровень 1 января, вы получите уведомление по электронной почте при условии, что настроено информирование о достижении среднего уровня риска. Если этот же пользователь получает зафиксированный случай риска 5 января, и оценка уровня риска пользователя пересчитывается, но остаётся средней, вы получите ещё одно уведомление по электронной почте.
Дополнительное уведомление по электронной почте отправляется, если время изменения уровня риска пользователя более позднее, чем последнее уведомление на электронную почту. Предположим, например, что пользователь входит 1 января в 5:00, и риск в реальном времени не фиксируется (это означает, что из-за этого входа электронное уведомление отправлено не будет). Через десять минут, в 5:10, тот же пользователь снова заходит в систему с высоким уровнем риска в реальном времени, вследствие чего уровень риска пользователя становится высоким, и отправляется электронное письмо. Затем в 5:15 показатель риска для первоначального входа в систему (в 5:00) меняется на высокий вследствие автономной обработки рисков. Ещё одному пользователю уведомление по электронной почте, связанное с риском, не будет отправлено, так как первый вход был совершен до второго входа, который уже вызвал отправку уведомления по электронной почте.
Чтобы предотвратить перегрузку электронной почты, вы получаете только одну электронную почту в течение 5-секундного периода. Если несколько пользователей перемещаются на указанный уровень риска в течение одного и того же 5-секундного периода времени, мы агрегируем данные и отправим одну электронную почту для всех этих пользователей.
Если ваша организация включила самостоятельное исправление, как описано в статье, взаимодействие пользователей с защитой идентификаторов Microsoft Entra, есть вероятность того, что пользователь устранит свой риск до того, как у вас появится возможность это исследовать. Вы можете увидеть рискованных пользователей и рискованные входы, которые уже были исправлены, добавив исправление в фильтр состояния риска в отчетах о рискованных пользователях или рискованных входах .
Настройка оповещений об обнаружении пользователей, совершающих рискованные действия
Как администратор вы можете настроить:
- Уровень риска пользователя, который активирует создание этого сообщения электронной почты . По умолчанию уровень риска имеет значение "Высокий".
-
Получатели этого сообщения электронной почты
- При необходимости можно добавить настраиваемую электронную почту здесь , определенные пользователи должны иметь соответствующие разрешения для просмотра связанных отчетов.
Настройте адрес электронной почты пользователей, подверженных риску, в Центре администрирования Microsoft Entra на вкладке Защита идентификаций>Панель мониторинга>Оповещения о пользователях в состоянии риска.
Еженедельный дайджест электронной почты
В электронном сообщении еженедельного дайджеста содержится сводка новых обнаружений риска.
Сюда входят:
- Обнаружены новые пользователи, совершающие рискованные действия
- обнаруженные новые рискованные входы (в режиме реального времени);
- Ссылки на связанные отчеты в системе ID Protection
Настройка еженедельного дайджеста электронной почты
Как администратор вы можете отключить отправку еженедельных дайджестов по электронной почте, а также выбрать их получателей.
Настройте еженедельный дайджест электронной почты в Центре администрирования Microsoft Entra>Защита идентификаторов>Панель управления>Еженедельный дайджест.