Azure Active Directory Identity Protection-meddelanden

Azure AD Identity Protection skickar två typer av automatiserade e-postmeddelanden som hjälper dig att hantera risk- och riskidentifiering för användare:

  • E-post har identifierats för användare i riskzonen
  • E-postmeddelande med sammanfattning varje vecka

Den här artikeln ger dig en översikt över båda e-postmeddelandena.

Vi stöder inte att skicka e-post till användare med grupp-tilldelade roller.

E-post har identifierats för användare i riskzonen

Som svar på ett identifierat konto i riskzonen genererar Azure AD Identity Protection e-postavisering med användare i riskzonen identifierade som ämne. E-postmeddelandet innehåller en länk till rapporten Användare som flaggats för risk. Som bästa praxis bör du omedelbart undersöka de användare som är utsatta för risk.

Med konfigurationen för den här aviseringen kan du ange på vilken användarrisknivå du vill att aviseringen ska genereras. E-postmeddelandet genereras när användarens risknivå når det du har angett. Om du till exempel ställer in principen för att varna om medelhög användarrisk och användaren Johns användarriskpoäng flyttas till medelhög risk på grund av en inloggningsrisk i realtid får du de användare som riskerar att identifieras via e-post. Om användaren har efterföljande riskidentifieringar som gör att risknivåberäkningen är angiven risknivå (eller högre) får du e-postmeddelanden om att användarens riskpoäng har beräknats på nytt. Om en användare till exempel flyttar till medelhög risk den 1 januari får du ett e-postmeddelande om dina inställningar är inställda på att avisering om medelhög risk. Om samma användare sedan har en annan riskidentifiering den 5 januari som också är medelhög risk och användarens riskpoäng beräknas om och fortfarande är medelhög får du ett nytt e-postmeddelande.

Ett extra e-postmeddelande skickas dock bara om den tidpunkt då riskidentifiering inträffade (som orsakade ändringen av användarrisknivån) är nyare än när det senaste e-postmeddelandet skickades. Till exempel loggar en användare in den 1 januari kl. 05:00 och det finns ingen realtidsrisk (vilket innebär att inget e-postmeddelande genereras på grund av den inloggningen). 10 minuter senare, 05.10, loggar samma användare in igen och har hög risk i realtid, vilket gör att risknivån för användaren flyttas till hög och ett e-postmeddelande skickas. Vid 05:15 ändras sedan offlineriskpoängen för den ursprungliga inloggningen kl. 05:00 till hög risk på grund av bearbetning av offlinerisker. En annan användare som flaggats för risk skulle inte skickas, eftersom tiden för den första inloggningen var före den andra inloggningen som redan utlöste ett e-postmeddelande.

För att förhindra överbelastning av e-postmeddelanden får du bara ett e-postmeddelande inom en tidsperiod på 5 sekunder. Den här fördröjningen innebär att om flera användare flyttar till den angivna risknivån under samma 5-sekundersperiod, aggregerar och skickar vi ett e-postmeddelande som representerar ändringen av risknivån för alla.

Om din organisation har aktiverat självreparation enligt beskrivningen i artikeln finns det en risk för användarupplevelser med Azure AD Identity Protection att användaren kan åtgärda sin risk innan du har möjlighet att undersöka den. Du kan se riskfyllda användare och riskfyllda inloggningar som har åtgärdats genom att lägga till "Åtgärdad" i filtret Risktillstånd i rapporterna riskfyllda användare eller riskfyllda inloggningar.

E-post har identifierats för användare i riskzonen

Konfigurera identifierade aviseringar för användare i riskzonen

Som administratör kan du ange:

  • Den användarrisknivå som utlöser genereringen av det här e-postmeddelandet – Som standard är risknivån inställd på "Hög" risk.
  • Mottagarna av det här e-postmeddelandet – användare i Global administratör, Säkerhetsadministratör eller Säkerhetsläsare läggs automatiskt till i den här listan. Vi försöker skicka e-postmeddelanden till de första 20 medlemmarna i varje roll. Om en användare har registrerats i PIM för att upphöja till en av dessa roller på begäran, får de bara e-postmeddelanden om de höjs upp när e-postmeddelandet skickas.
    • Du kan också lägga till anpassad e-post här användare definierade måste ha rätt behörighet för att visa länkade rapporter i Azure Portal.

Konfigurera e-post för användare i riskzonen i Azure Portal under Azure Active Directory > Security > Identity > Protection-användare som är utsatta för risk har identifierat aviseringar.

E-postmeddelande med sammanfattning varje vecka

Det veckovisa sammanfattade e-postmeddelandet innehåller en sammanfattning av nya riskidentifieringar.
Den innehåller:

  • Nya riskfyllda användare har identifierats
  • Nya riskfyllda inloggningar har identifierats (i realtid)
  • Länkar till relaterade rapporter i Identity Protection

E-postmeddelande med sammanfattning varje vecka

Användare i Global administratör, Säkerhetsadministratör eller Säkerhetsläsare läggs automatiskt till i den här listan. Vi försöker skicka e-postmeddelanden till de första 20 medlemmarna i varje roll. Om en användare har registrerats i PIM för att upphöja till en av dessa roller på begäran, får de bara e-postmeddelanden om de höjs upp när e-postmeddelandet skickas

Konfigurera veckovisa sammanfattade e-postmeddelanden

Som administratör kan du växla att skicka ett veckovis sammanfattat e-postmeddelande på eller av och välja vilka användare som ska få e-postmeddelandet.

Konfigurera det veckovisa sammanfattade e-postmeddelandet i Azure Portal under Azure Active Directory > Security > Identity Protection weekly > digest.

Se även