Aviseringar och aviseringsprinciper för Microsoft Purview Compliance Manager

Anteckning

Microsoft 365 efterlevnad kallas nu Microsoft Purview och lösningarna inom efterlevnadsområdet har bytt namn. Mer information om Microsoft Purview finns i bloggmeddelandet.

I den här artikeln: Lär dig hur du ställer in aviseringar för vissa aktiviteter i Efterlevnadshanteraren, hur du hanterar aviseringar och hur du skapar aviseringsprinciper för att definiera aviseringsvillkor.

Översikt

Efterlevnadsansvarig kan varna dig om ändringar så snart de inträffar så att du kan hålla dig på rätt spår med dina efterlevnadsmål. Du kan till exempel konfigurera aviseringar som informerar dig om när en förbättringsåtgärds poängvärde har ökat eller minskat på grund av en konfigurationsändring i din klientorganisation, eller när en förbättringsåtgärd har tilldelats en användare för att utföra implementerings- eller testningsarbete. Visa de typer av händelser som du kan skapa aviseringar för.

För att skapa aviseringar konfigurerar du först en aviseringsprincip för att beskriva de villkor som utlöser en avisering och frekvensen för meddelanden. När vi identifierar en matchning av dina principvillkor får du ett e-postmeddelande med information så att du kan avgöra om du vill undersöka eller vidta ytterligare åtgärder.

Alla aviseringar visas på fliken Aviseringar i Efterlevnadshantering och alla aviseringsprinciper visas på fliken Aviseringsprinciper. Alla organisationer har redan konfigurerat en standardprincip för poängändring .

Förstå sidorna Med aviseringar och aviseringsprinciper

Viktigt

Användarna måste ha rollen Säkerhetsläsare i Azure Active Directory (AD) för att få åtkomst till sidorna Aviseringar och aviseringsprinciper i Efterlevnadshanteraren. Ytterligare roller för säkerhet och Efterlevnadshanteraren krävs för att arbeta med aviseringar och aviseringsprinciper. Få information nedan i Behörigheter för aviseringsprinciper.

Sidan Aviseringsprinciper

Välj fliken Aviseringsprinciper i Efterlevnadshantering för att visa och hantera dina aviseringsprinciper. Sidan Aviseringsprinciper innehåller en tabell med alla principer som skapats av din organisation. På den här sidan kan du skapa nya principer, redigera befintliga principer och ändra aktiveringsstatus och ta bort principer.

I kolumnen Status innebär Aktiv att principen tillämpas och utlöser aviseringar när villkoren uppfylls. Inaktiv innebär att principen finns men inte genererar aviseringar. Tabellen principer visar också principens allvarlighetsgrad och det datum då principen senast ändrades.

Om du vill visa information om en enskild princip väljer du dess rad i tabellen. Ett utfällt fönster visas som visar all information. Välj knappen Åtgärd längst ned i fönstret och välj bland alternativ för att redigera principen, visa dess aviseringar eller ta bort den. Kommandona för att lägga till, redigera, ta bort, aktivera och inaktivera är också tillgängliga överst i tabellen ovanför filtren.

Information om hur du kommer igång med att skapa en aviseringsprincip finns i Skapa en aviseringsprincip.

Sidan Aviseringar

Välj fliken Aviseringar i Efterlevnadshanteraren för att visa och hantera dina aviseringar. Sidan Aviseringar innehåller en tabell som visar varje avisering som genereras av en aviseringsprincip, samt dess allvarlighetsgrad och utlösande händelse (till exempel en åtgärds poängändring) och datum för aviseringen.

Om du vill visa en enskild avisering väljer du dess rad i tabellen. Ett utfällt fönster visas som visar all information på fliken Översikt i fönstret. Fliken Händelselogg visar åtgärder som vidtagits av användare som utlöste aviseringen.

Knappen Åtgärd längst ned i fönstret innehåller alternativ för att tilldela aviseringen till en användare för uppföljning, skicka e-post till den användare vars åtgärder genererade aviseringen eller visa information om principen som genererar aviseringen. Du kan också utföra samma åtgärder genom att välja den runda knappen som visas till vänster om aviseringsnamnet när du hovrar över raden och sedan väljer en av knapparna längst upp i tabellen ovanför filtren.

Information om hur du börjar arbeta med aviseringar finns i Visa och hantera aviseringar.

Behörigheter för aviseringsprinciper

Tabellen nedan beskriver vilka användare som kan skapa och redigera aviseringar och aviseringsprinciper baserat på deras rolltyp. Förutom att ha en Compliance Manager-roll behöver användarna också en Azure AD roll på följande sätt:

  • Rollen Säkerhetsläsare i Azure AD för att visa aviseringar och aviseringsprinciper
  • Rollen Säkerhetsadministratör i Azure AD för att skapa eller uppdatera aviseringsprinciper

Läs mer om Azure-roller i Microsoft Purview-efterlevnadsportalen.

Roll Kan skapa och redigera principer Kan redigera aviseringar
Administration av Efterlevnadshanteraren Ja Ja
Bedömare i Efterlevnadshanteraren Ja Ja
Bidrag från Efterlevnadshanteraren Ja Ja
Global administratör Ja Ja
Läsare i Efterlevnadshanteraren Nej Nej

Lär dig hur du anger användarbehörigheter och tilldelar roller för Efterlevnadshanteraren.

Skapa en aviseringsprincip

Du kan skapa principer som varnar dig när vissa ändringar eller händelser som rör förbättringsåtgärder inträffar. Händelsetyper visas nedan.

Aviseringshändelsetyper

  • Poängändring: en ökning eller minskning av poäng som tilldelas för en förbättringsåtgärd på grund av konfigurationsändringar som gjorts av någon i din organisation. Om din organisation till exempel skapar en princip för hantering av insiderrisk kan det öka dina poäng för en viss åtgärd med ett visst belopp.
  • Tilldelningsändring: en förbättringsåtgärd har tilldelats en användare, omtilldelats till en annan användare eller tagits bort från en användare.
  • Ändring av implementeringsstatus: en användare har ändrat implementeringsstatusen för en förbättringsåtgärd.
  • Ändring av teststatus: en användare har ändrat teststatusen för en förbättringsåtgärd.
  • Bevisändring: en användare har laddat upp eller tagit bort ett bevisdokument på fliken Dokument i förbättringsåtgärden.

Standardprincip för ändring av poäng

Efterlevnadshanteraren konfigurerar en standardaviseringsprincip för att övervaka poängändringar i förbättringsåtgärder. Standardprincipen genererar en avisering när en förbättringsåtgärds poäng ändras. De flesta inställningar för standardprincipen kan inte redigeras, men du kan lägga till ytterligare mottagare för meddelanden.

Här är inställningarna för standardprincipen:

  • Alla matchningar som identifieras inom ett intervall på 60 minuter grupperas i en enda avisering för att minska överdrivna meddelanden. Om fem förbättringsåtgärder till exempel upplever en poängändring inom en timme genereras en avisering.

  • Allvarlighetsgraden för dessa aviseringar är medelhög.

  • Den globala administratören för din organisation är standardmottagaren av aviseringsmeddelanden.

  • Du kan lägga till fler aviseringsmottagare genom att följa dessa steg:

    • På sidan Aviseringsprinciper letar du upp standardaviseringsprincipen för Efterlevnadshanteraren.
    • Markera kryssrutan till vänster om namnet och välj knappen Redigera längst upp ovanför filtren.
    • Välj knappen Nästa tills du kommer till sidan Aviseringsmottagare .
    • Välj +Välj mottagare och markera rutorna bredvid varje användarnamn i det utfällbara fönstret som du vill få e-postmeddelandet. När du är klar väljer du Lägg till mottagare och sedan Nästa.
    • På sidan Granska och slutför väljer du Uppdatera för att spara ändringarna.
  • Det går inte att ta bort standardprincipen, men du kan inaktivera den genom att följa stegen nedan.

Steg för att skapa princip

Följ stegen nedan om du vill skapa en princip för att generera aviseringar baserat på en eller flera händelser:

  1. I Efterlevnadshanteraren går du till sidan Aviseringsprinciper och väljer +Lägg till för att starta guiden för att skapa principer.

  2. På sidan Namn och beskrivning anger du ett namn för principen och en valfri beskrivning och väljer sedan Nästa.

  3. På sidan Villkor väljer du en eller flera händelser som utlöser en avisering. Under aktivitetsrubriken Förbättringsåtgärd väljer du Lägg till undervillkor och markerar kryssrutan som visas när du hovrar till vänster om varje villkorsnamn. Du kan välja ett eller flera villkor för en princip: tilldelningsändring, bevisändring, ändring av implementeringsstatus, poängändring, ändring av teststatus. Klicka på Nästa när du är klar.

  4. På sidan Resultat väljer du vad som händer när en principmatchning identifieras:

    • Välj en allvarlighetsgrad för aviseringen när en matchning identifieras: låg, medel eller hög.
    • Välj hur ofta du vill bli meddelad via e-post när en matchning identifieras. Du kan välja att bli meddelad med varje matchning eller välja ett tröskelvärde för ett visst antal matchningar över tre.
    • Om du väljer att bli meddelad efter tre eller fler matchningar anger du det antal minuter inom vilka tröskelvärdet måste nås (till exempel 4 matchningar inom 90 minuter).

    När du är klar väljer du Nästa.

  5. På sidan Aviseringsmottagare väljer du ytterligare användare i organisationen för att få ett e-postmeddelande när principvillkoren uppfylls. Den användare som skapar principen är standardmottagaren. Välj +Välj mottagare och markera rutorna bredvid varje användarnamn i det utfällbara fönstret som du vill få e-postmeddelandet. När du är klar väljer du Lägg till mottagare och sedan Nästa.

  6. Granska alla val och gör ändringar i varje avsnitt genom att välja och sedan välja Nästa. När du är klar med granskningen väljer du Skapa princip.

  7. När principen har skapats väljer du Klar. Du kommer till sidan Aviseringsprinciper med den utfällbara rutan för principen som du nyss skapade redan öppen.

Principen är aktiv när du har skapat den, vilket innebär att den börjar identifiera matchningar och generera aviseringar. Se avsnittet Hantera principer nedan för hur du inaktiverar eller tar bort principer.

Det kan ta upp till 24 timmar efter att en princip har skapats eller uppdaterats innan aviseringar genereras av principen. Mer information om hur du utlöser händelser och aviseringsaggregering finns i Visa aviseringsinformation nedan.

Hantera principer

Sidan Aviseringsprinciper innehåller en tabell med alla dina principer. Mer information om den här sidan finns på sidan Aviseringsprinciper . Alla användare i din organisation kan visa principer, men vissa åtgärder är begränsade till vissa roller. se Behörigheter för aviseringsprinciper.

Visa principinformation

Välj en princip från raden på sidan Aviseringsprinciper för att öppna en utfälld panel som visar principens information, inklusive dess matchningsvillkor, om och när aviseringsmeddelanden skickas och till vem och allvarlighetsgrad.

Knappen Åtgärder längst ned på panelen ger dig alternativ för att redigera principen, ta bort principen eller visa aviseringar.

Visa en princips aviseringar

I principens utfällbara panel väljer du Åtgärder och sedan Visa aviseringar. Du kommer direkt till sidan Aviseringar med en filtrerad vy över alla aviseringar som genereras av principen. Lär dig hur du arbetar med aviseringar.

Redigera en princip

Du kan redigera valfri aspekt av en princip förutom dess namn. Om du vill ändra dess namn måste du skapa en ny princip med ett nytt namn.

Om du vill redigera en princip väljer du den runda knappen som visas till vänster om dess namn när du hovrar över dess rad på sidan Aviseringsprinciper och väljer knappen Redigera längst upp ovanför filtren.

Du kommer till guiden för att skapa principer där du kan göra och spara ändringar i principen. Du kan också välja principen för att ta upp dess informationspanel och från knappen Åtgärder väljer du Redigera princip. När du har arbetat dig igenom guiden igen granskar du dina val och i det sista steget väljer du Uppdatera för att spara ändringarna.

Det kan ta upp till 24 timmar innan aviseringar genereras av den uppdaterade principen.

Aktivera eller inaktivera en princip

Principer aktiveras som standard så snart de har skapats. När en princip är aktiv skapar den en avisering (visas på sidan Aviseringar ) när villkoren uppfylls och skickar ett e-postmeddelande till de avsedda mottagarna.

Om du vill ändra en princip till ett inaktivt tillstånd, vilket innebär att den inte genererar aviseringar, väljer du den runda knappen som visas till vänster om principnamnet när du hovrar över dess rad. Välj sedan kommandot Inaktivera ovanför tabellen. Statusen för principen kommer nu att läsa Inaktiv. Om du vill återaktivera principen följer du samma process och väljer knappen Aktivera ovanför filtren.

Ta bort en princip

Om du vill ta bort en princip kan du välja knappen bredvid dess namn på sidan Aviseringsprinciper och välja Ta bort överst på sidan. Du kan också välja den princip som ska visas på informationspanelen och på knappen Åtgärder väljer du Ta bort princip.

Borttagningen är permanent. När du har tagit bort en princip genereras inte längre aviseringar eller e-postmeddelanden. Läs mer om aviseringar som är anslutna till borttagna principer.

Visa och hantera aviseringar

På sidan Aviseringar visas en tabell med alla aviseringar som genereras av alla dina principer. Aviseringar genereras nästan omedelbart efter att en händelse som matchar principens villkor inträffar. Aviseringsnamnet är samma namn som principen som genererade aviseringen.

En avisering kan bara genereras från en aktiv princip. När en avisering har genererats förblir den listad på sidan Aviseringar oavsett om principen är aktiv eller inaktiv.

Filtrera vyn över aviseringar

Du kan filtrera vyn över aviseringar genom att välja kommandot Filter ovanför tabellen på sidan Aviseringar . I fönstret Filtrera utfällbara objekt väljer du bland följande filteralternativ:

  • Händelsetyp
  • Allvarlighetsgrad
  • Status
  • Användare tilldelad till
  • Identifieringsdatum
  • Principnamn

När du har gjort dina val väljer du Använd. Den utfällbara rutan stängs och den uppdaterade sidan Aviseringar visar den filtrerade vyn. Dina filter visas överst i tabellen, men alla filterkolumner kan inte visas i tabellen.

Visa aviseringsinformation

Om du vill visa all information om aviseringen, inklusive de händelser som utlöste den, väljer du dess rad i tabellen. Ett utfällt fönster visar information om aviseringen på fliken Översikt i panelen.

På fliken Händelselogg i den utfällbara panelen visas de aktiviteter som genererade aviseringen, till exempel en poängändring eller en tilldelningsändring, tillsammans med namnet på den användare som är associerad med varje åtgärd och det datum som identifieras.

Aviseringshändelser

Kolumnen Händelser på sidan Aviseringar anger villkoren för en princip som har identifierats. med andra ord aktiviteten som genererade aviseringen. På fliken Händelselogg på aviseringens informationspanel visas varje instans av en händelse, den associerade användaren och det datum som identifieras. Händelsevärden visas nedan:

  • Poängändring: visar antalet ökningar eller minskningar i poäng
  • Tilldelningsändring: en förbättringsåtgärd har tilldelats en användare, omtilldelats till en annan användare eller avtilldelats från en användare
  • Ändring av implementeringsstatus: en användare har ändrat implementeringsstatus för en förbättringsåtgärd
  • Ändring av teststatus: en användare har ändrat teststatusen för en förbättringsåtgärd.
  • Bevisändring: en användare har laddat upp eller tagit bort ett bevisdokument på fliken Dokument i förbättringsåtgärden
  • Flera händelser: flera instanser av samma typ av händelse har identifierats. till exempel en enda förbättringsåtgärd som har omtilldelats flera gånger
  • Flera villkor: flera villkor i en enda princip har identifierats

Aviseringsaggregering för flera händelser inom en minut

När flera händelser som matchar villkoren för en aviseringsprincip inträffar med en minut läggs de till i en befintlig avisering av en process som kallas aviseringsaggregering.

När till exempel en händelse inträffar som matchar en princip genereras en avisering och visas på sidan Aviseringar och ett meddelande skickas. Om en annan händelse som matchar samma princip inträffar inom en minut från den första händelsen lägger Efterlevnadshanteraren till information om den ytterligare händelsen på fliken Händelselogg i den befintliga aviseringen i stället för att utlösa en ny avisering. Målet med aviseringsaggregering är att hjälpa till att minska aviseringens "trötthet" och låta dig fokusera och vidta åtgärder på färre aviseringar.

Vidta åtgärder för aviseringar

När en av dina principer genererar en avisering kan du visa de händelser som orsakade aviseringen och avgöra om du behöver verifiera eller undersöka händelserna ytterligare.

Om du vill vidta en åtgärd för en avisering väljer du raden på sidan Aviseringar för att öppna den utfällbara panelen med dess information, väljer knappen Åtgärder och väljer bland alternativen nedan. Du kan också vidta åtgärder genom att välja den runda knappen som visas till vänster om aviseringsnamnet när du hovrar över dess rad och väljer en av åtgärdsknapparna längst upp på sidan ovanför filtren.

Tilldela avisering: Du kanske vill tilldela aviseringen till en användare för att undersöka eller verifiera de händelser som orsakade aviseringen. När du väljer det här alternativet öppnas en panel där du kan välja en användare i din organisation och tilldela aviseringen till dem. Du kan filtrera aviseringsvyn genom att välja Filter på sidan Aviseringar och ange användarens namn i fältet Tilldelad till .

E-postavisering: Du kanske vill skicka ett e-postmeddelande till den användare som är associerad med aviseringens aktivitet för att bekräfta att de vidtog åtgärden. När du väljer det här alternativet öppnas en e-postmall med grundläggande information om aviseringen, som du kan anpassa med ytterligare instruktioner och skicka den till användaren.

Visa principinformation: Du kanske vill granska inställningarna för principen som utlöste aviseringen. Observera att när du väljer det här alternativet kommer du direkt till sidan Aviseringsprinciper där panelen principinformation redan är öppen. Du kommer inte längre att vara på sidan Aviseringar när du stänger panelen med principinformation.

Ändringsstatus: Du kan uppdatera statusen för din avisering baserat på din granskning av dess inverkan och om den behöver undersökas. Läs mer om aviseringsstatusar i nästa avsnitt.

Aviseringsstatus

När en avisering skapas är dess status Aktiv. När du granskar informationen för varje avisering kan du uppdatera dess status till något av de tillstånd som anges nedan:

  • Aktiv: standardtillståndet för aviseringen tills dess status har ändrats
  • Undersöka: aviseringen är under utredning
  • Löst: aviseringen kräver inte ytterligare undersökning eller uppföljning
  • Avvisad: aviseringen är inte relevant eller behöver inte undersökas

Om du vill tilldela eller ändra status för en avisering väljer du en avisering från raden i tabellen, väljer Ändra status längst upp på sidan, ovanför filtren. I den utfällbara rutan Uppdatera aviseringsstatus väljer du en status i den nedrullningsbara menyn och väljer sedan Uppdatera avisering.

När en avisering har genererats är dess status oberoende av statusen för principen som genererade aviseringen. Det är till exempel möjligt att ha en aktiv avisering associerad med en inaktiv princip och det är möjligt att ha en undersökande status för en avisering som genererades av en princip som senare inaktiverades eller togs bort.

När principer tas bort

När en princip tas bort kommer alla aviseringar som har genererats av principen att finnas kvar på sidan Aviseringar , men inga nya aviseringar genereras.

E-postaviseringar om aviseringar

När du skapar en princip skickas ett e-postmeddelande till användaren som skapade principen och varnar dem om att en matchning har identifierats. Du kan välja att skicka dessa e-postaviseringar till ytterligare användare i din organisation. Aviseringar sker nästan i realtid och e-postaviseringar skickas ut så snart en avisering genereras. E-postmeddelandet innehåller händelsenamn, allvarlighetsgrad, tid som identifierats och en länk för att visa aviseringen i Efterlevnadshanteraren.

Ta bort användare från att ta emot aviseringar

Om du anger aviseringsmottagare och senare bestämmer dig för att ta bort dem följer du stegen nedan. Observera att den som skapar principen fortfarande får e-postaviseringar när principmatchningar identifieras.

  1. Påbörja stegen för att redigera principen.
  2. När du kommer till skärmen Aviseringsmottagare väljer du +Välj mottagare.
  3. I den utfällbara panelen Välj mottagare letar du reda på den användare som du vill ta bort från meddelanden och avmarkerar rutan till vänster om deras namn och väljer sedan knappen Lägg till mottagare (vilket innebär att du sparar ditt val).
  4. Fortsätt genom guiden och bekräfta att användaren inte visas under Mottagare på sidan Granska och slutför. Välj Uppdatera för att spara inställningarna och slutför.