Privileged Identity Management(PIM)可让你知道Microsoft Entra组织中发生重要事件的时间,例如分配或激活角色的时间。 Privileged Identity Management通过发送你和其他参与者电子邮件通知来通知你。 这些电子邮件可能还包含指向相关任务的链接,比如激活或续订角色。 本文介绍了这些电子邮件的外观、何时发送电子邮件,以及接收人员。
注意事项
Privileged Identity Management中的一个事件可以向多个收件人(被分配者、审批者或管理员)生成电子邮件通知。 每个事件发送的最大通知数为 1000。 如果收件人数超过 1000,则只有前 1,000 个收件人收到电子邮件通知。 这不会阻止其他被分配者、管理员或审批者在Microsoft Entra ID和Privileged Identity Management中使用其权限。
发件人电子邮件地址和主题行
从Privileged Identity Management发送Microsoft Entra ID和Azure资源角色的电子邮件具有以下发件人电子邮件地址:
- 电子邮件地址:MSSecurity-noreply@microsoft.com
- 显示名称:Microsoft 安全
重要
azure-noreply@microsoft.com 已被弃用,不应再发送 PIM 电子邮件通知
这些电子邮件在主题行中包括 PIM 前缀。 下面是一个示例:
- PIM:Alain Charon 被永久赋予备用读取器角色
激活审批的电子邮件发送时机
当用户激活其角色且角色设置需要审批时,审批者会在每次审批时收到两封电子邮件:
- 请求批准或拒绝用户的激活请求(由请求批准引擎发送)
- 已批准用户请求(由请求批准引擎发送)
此外,全局管理员和特权角色管理员每次审批都会收到一封电子邮件:
- 用户的角色已激活(由Privileged Identity Management发送)
请求批准引擎发送的前两封电子邮件可以延迟。 目前,90% 的电子邮件需要 3 到 10 分钟,但对于 1% 客户,电子邮件可能更长,最长为 15 分钟。
如果在发送第一封电子邮件之前Azure门户中批准了审批请求,则不会触发第一封电子邮件,并且其他审批者不会收到审批请求的电子邮件通知。 他们看起来似乎并未收到电子邮件,但这属于预期行为。
Microsoft Entra角色通知
当Microsoft Entra角色发生以下事件时,Privileged Identity Management发送电子邮件:
- 当特权角色激活时正在等待审批时
- 当特权角色激活请求已完成时
- 启用Microsoft Entra Privileged Identity Management时
Microsoft Entra角色接收这些电子邮件的人员取决于角色、事件和通知设置。
| 用户 | 角色激活正在等待审批 | 角色激活请求已完成 | PIM 已启用 |
|---|---|---|---|
| 特权角色管理员 (激活) |
是 (仅当未指定明确审批者) |
是* | 是 |
| 安全管理员 (激活) |
否 | 是* | 是 |
| 全局管理员 (激活) |
否 | 是* | 是 |
* 如果“通知”设置设置为“启用”。
下面显示了当用户为虚构 Contoso 组织激活Microsoft Entra角色时发送的示例电子邮件。
Microsoft Entra角色的每周特权身份管理摘要电子邮件
每周发送的 Microsoft Entra 角色特权身份管理摘要电子邮件会提供给已启用特权身份管理的特权角色管理员、安全管理员和全局管理员。 此每周电子邮件提供特权身份管理活动和特权角色分配的快照。 它仅适用于公有云上的Microsoft Entra组织。 下面是电子邮件示例:
电子邮件包括:
| 磁贴 | 说明 |
|---|---|
| 已激活的用户 | 用户在组织内激活其符合条件角色的次数。 |
| 永久用户 | 用户具有符合资格的任务被转为永久状态的次数。 |
| 特权身份管理中的角色分配 | 在Privileged Identity Management内为用户分配合格角色的次数。 |
| PIM 之外的角色分配 | 为用户分配永久角色的次数,此操作是在Microsoft Entra ID中的Privileged Identity Management之外完成的。 可以通过打开警报设置来启用或禁用此警报和随附的电子邮件。 |
“热门角色概述”部分根据每个角色的永久和符合条件管理员的总数列出了组织中最热门的五个角色。 “采取措施”链接会打开发现与见解,你可以在其中将永久管理员成批转换为合格管理员。
关于 Azure 资源角色的通知
注意事项
在 PIM 中,符合条件的 所有者是具有按需(JIT)特权访问权限的人员,可以在需要时激活并执行某些任务来管理组。 这不同于永久所有者,他们持续拥有管理组的权限。 有关组的 JIT 所有权的详细信息,请参阅 在 Privileged Identity Management 中为组分配资格。
组所有者可以管理组,包括添加或删除成员、续订即将过期的组以及批准加入组的请求。 PIM 向 permanent 所有者、资格所有者和用户访问管理员发送电子邮件,当Azure资源角色发生以下事件时:
- 角色分配正在等待审批时
- 分配角色时
- 角色即将到期
- 角色有资格扩展权限
- 当最终用户更新角色时
- 角色激活请求已完成
当Azure资源角色发生以下事件时,Privileged Identity Management向最终用户发送电子邮件:
- 向用户分配角色时
- 用户角色已过期
- 当用户的角色被扩展时
- 用户角色激活请求已完成
下面显示了一个示例电子邮件,当用户被分配到虚构的 Contoso 组织中的 Azure 资源角色时会发送。
适用于组的 PIM 的通知
仅当 PIM 发生以下组分配的事件时,Privileged Identity Management才会向 permanent 所有者发送电子邮件:
- 当所有者或成员角色的分配正在等待审批时
- 分配所有者或成员角色时
- 当所有者或成员角色即将到期时
- 所有者或成员角色有资格扩展时
- 当最终用户续订所有者或成员角色时
- 当所有者或成员角色的激活请求已完成时
Privileged Identity Management在以下组角色分配的PIM事件发生时,会向终端用户发送电子邮件:
- 向用户分配所有者或成员角色时
- 用户的所有者或成员角色已过期时
- 用户的所有者或成员身份被延长时
- 当用户的所有者角色或成员角色激活请求完成时
后续步骤
- 在 Privileged Identity Management 中配置 Microsoft Entra 角色设置
- 审批或拒绝Privileged Identity Management中的Microsoft Entra角色请求