Notifiche tramite posta elettronica in PIM
Privileged Identity Management (PIM) consente di sapere quando si verificano eventi importanti nell'organizzazione di Microsoft Entra, ad esempio quando viene assegnato o attivato un ruolo. Privileged Identity Management consente di informare l'utente inviando notifiche tramite posta elettronica di altri partecipanti. I messaggi di posta elettronica possono includere collegamenti ad attività importanti, quali l'attivazione o il rinnovo di un ruolo. Questo articolo descrive l'aspetto dei messaggi di posta elettronica, quando vengono inviati e chi li riceve.
Nota
Un evento in Privileged Identity Management può generare notifiche tramite posta elettronica a più destinatari: assegnatari, responsabili approvazione o amministratori. Il numero massimo di notifiche inviate per un evento è 1000. Se il numero di destinatari supera 1000, solo i primi 1000 destinatari riceveranno una notifica tramite posta elettronica. Ciò non impedisce ad altri assegnatari, amministratori o responsabili approvazione di usare le relative autorizzazioni in Microsoft Entra ID e Privileged Identity Management.
Indirizzo e-mail del mittente e riga dell'oggetto
I messaggi di posta elettronica inviati da Privileged Identity Management per l'ID Microsoft Entra e i ruoli delle risorse di Azure hanno l'indirizzo di posta elettronica del mittente seguente:
- Indirizzo di posta elettronica: azure-noreply@microsoft.com
- Nome visualizzato: Microsoft Azure
Questi messaggi di posta elettronica includono un prefisso PIM nella riga dell'oggetto. Ecco un esempio:
- PIM: Alain Charon è stato assegnato in modo permanente al ruolo lettore di backup
Tempistica dei messaggi di posta elettronica per le approvazioni dell'attivazione
Quando gli utenti attivano il proprio ruolo e l'impostazione del ruolo richiede l'approvazione, i responsabili approvazione ricevono due messaggi di posta elettronica per ogni approvazione:
- Richiedere di approvare o negare la richiesta di attivazione dell'utente (inviata dal motore di approvazione della richiesta)
- La richiesta dell'utente viene approvata (inviata dal motore di approvazione della richiesta)
Inoltre, i Amministrazione istrator globali e i ruoli con privilegi Amministrazione istrator ricevono un messaggio di posta elettronica per ogni approvazione:
- Il ruolo dell'utente viene attivato (inviato da Privileged Identity Management)
I primi due messaggi di posta elettronica inviati dal motore di approvazione della richiesta possono essere ritardati. Attualmente, il 90% dei messaggi di posta elettronica richiede da tre a dieci minuti, ma per il 1% i clienti possono essere più lunghi, fino a quindici minuti.
Se una richiesta di approvazione viene approvata nella portale di Azure prima dell'invio del primo messaggio di posta elettronica, il primo messaggio di posta elettronica non verrà più attivato e gli altri responsabili approvazione non verranno più informati tramite posta elettronica della richiesta di approvazione. Potrebbe sembrare come se non ricevessero un messaggio di posta elettronica, ma si tratta del comportamento previsto.
Notifiche per i ruoli di Microsoft Entra
Privileged Identity Management invia messaggi di posta elettronica quando si verificano gli eventi seguenti per i ruoli di Microsoft Entra:
- Quando l'attivazione di un ruolo con privilegi è in attesa di approvazione
- Quando la richiesta di attivazione di un ruolo con privilegi viene completata
- Quando Microsoft Entra Privileged Identity Management è abilitato
Chi riceve questi messaggi di posta elettronica per i ruoli di Microsoft Entra dipende dal ruolo, dall'evento e dall'impostazione delle notifiche.
| User | Attivazione del ruolo in attesa di approvazione | Richiesta di attivazione del ruolo completata | PIM è abilitato |
|---|---|---|---|
| Ruolo con privilegi Amministrazione istrator(Attivato) | Sì(solo se non sono specificati responsabili approvazione espliciti) | Sì* | Sì |
| Security Amministrazione istrator(Activated) | No | Sì* | Sì |
| Global Amministrazione istrator(Activated) | No | Sì* | Sì |
* Se l'impostazione Notifiche è impostata su Abilita.
Di seguito viene illustrato un esempio di messaggio di posta elettronica inviato quando un utente attiva un ruolo Microsoft Entra per l'organizzazione fittizia Contoso.
E-mail digest settimanale di Privileged Identity Management per i ruoli di Microsoft Entra
Un messaggio di riepilogo settimanale di Privileged Identity Management per i ruoli di Microsoft Entra viene inviato a Privileged Role Amministrazione istrators, Security Amministrazione istrators e Global Amministrazione istrators che hanno abilitato Privileged Identity Management. Questo messaggio di posta elettronica settimanale fornisce uno snapshot delle attività di Privileged Identity Management per la settimana e delle assegnazioni di ruolo con privilegi. È disponibile solo per le organizzazioni Microsoft Entra nel cloud pubblico. Di seguito è illustrato un messaggio di posta elettronica di esempio:
Il messaggio di posta elettronica include:
| Riquadro | Descrizione |
|---|---|
| Users activated (Utenti attivati) | Numero di volte in cui gli utenti hanno attivato il proprio ruolo idoneo all'interno dell'organizzazione. |
| Users made permanent (Utenti resi permanenti) | Numero di volte per cui un utente con un'assegnazione idonea viene reso permanente. |
| Assegnazioni di ruolo in Privileged Identity Management | Numero di volte in cui agli utenti viene assegnato un ruolo idoneo in Privileged Identity Management. |
| Role assignments outside of PIM (Assegnazioni di ruoli all'esterno di PIM) | Numero di volte in cui agli utenti viene assegnato un ruolo permanente all'esterno di Privileged Identity Management (all'interno di Microsoft Entra ID). Questo avviso e il messaggio di posta elettronica a fianco possono essere abilitati o disabilitati aprendo le impostazioni di avviso. |
La sezione Panoramica dei ruoli principali elenca i primi cinque ruoli dell'organizzazione in base al numero totale di amministratori permanenti e idonei per ogni ruolo. Il collegamento Esegui azione apre Discovery & Insights in cui è possibile convertire amministratori permanenti in amministratori idonei in batch.
Notifiche per i ruoli delle risorse di Azure
Privileged Identity Management invia messaggi di posta elettronica ai proprietari e agli Amministrazione istrator di accesso utente quando si verificano gli eventi seguenti per i ruoli delle risorse di Azure:
- Quando un'assegnazione di ruolo è in attesa di approvazione
- Quando un ruolo viene assegnato
- Quando un ruolo sta per scadere
- Quando un ruolo è idoneo per l'estensione
- Quando un ruolo viene rinnovato da un utente finale
- Quando una richiesta di attivazione del ruolo viene completata
Privileged Identity Management invia messaggi di posta elettronica agli utenti finali quando si verificano gli eventi seguenti per i ruoli delle risorse di Azure:
- Quando viene assegnato un ruolo all'utente
- Quando un ruolo utente è scaduto
- Quando un ruolo utente è stato esteso
- Quando la richiesta di attivazione del ruolo di un utente viene completata
Di seguito viene riportato un esempio di messaggio di posta elettronica inviato quando a un utente viene assegnato un ruolo di risorsa di Azure per l'organizzazione fittizia Contoso.
Notifiche per PIM per i gruppi
Privileged Identity Management invia messaggi di posta elettronica ai proprietari solo quando si verificano gli eventi seguenti per le assegnazioni pim per i gruppi:
- Quando un'assegnazione di ruolo proprietario o membro è in attesa di approvazione
- Quando viene assegnato un ruolo Proprietario o Membro
- Quando un ruolo proprietario o membro scade presto
- Quando un ruolo proprietario o membro è idoneo per l'estensione
- Quando un ruolo proprietario o membro viene rinnovato da un utente finale
- Quando viene completata una richiesta di attivazione del ruolo proprietario o membro
Privileged Identity Management invia messaggi di posta elettronica agli utenti finali quando si verificano gli eventi seguenti per PIM per le assegnazioni di ruolo gruppi:
- Quando un ruolo Proprietario o Membro viene assegnato all'utente
- Quando il ruolo Proprietario o Membro di un utente è scaduto
- Quando un utente è un ruolo proprietario o membro viene esteso
- Quando viene completata la richiesta di attivazione di un ruolo proprietario o membro di un utente