PIM 中的电子邮件通知

可以通过 Privileged Identity Management (PIM) 了解 Microsoft Entra 组织中何时发生重要事件,例如何时分配或激活角色。 Privileged Identity Management 通过向你和其他参与者发送电子邮件通知来让你随时了解情况。 这些电子邮件可能还包含指向相关任务的链接,比如激活或续订角色。 本文介绍了这些电子邮件的外观、何时发送电子邮件,以及接收人员。

注意

Privileged Identity Management 中的一个事件可以生成发往多个收件人(被分派人、审批者或管理员)的电子邮件通知。 每个事件发送的最大通知数为 1000。 如果收件人数超过 1000,则只有前 1000 个收件人会收到电子邮件通知。 这不会阻止其他被分派人、管理员或审批者在 Microsoft Entra ID 和 Privileged Identity Management 中使用其权限。

发件人电子邮件地址和主题行

从 Privileged Identity Management 针对 Microsoft Entra ID 和 Azure 资源角色发送的电子邮件具有以下发件人电子邮件地址:

  • 电子邮件地址:MSSecurity-noreply@microsoft.com
  • 显示名称:Microsoft 安全

重要

azure-noreply@microsoft.com 已被弃用,不应再发送 PIM 电子邮件通知

这些电子邮件在主题行中包括 PIM 前缀。 下面是一个示例:

  • PIM:已为 Alain Charon 永久分配备份读取器角色

激活审批的电子邮件发送时机

当用户激活其角色且角色设置需要审批时,审批者会在每次审批时收到两封电子邮件:

  • 请求批准或拒绝用户的激活请求(由请求批准引擎发送)
  • 已批准用户请求(由请求批准引擎发送)

此外,全局管理员和特权角色管理员每次审批都会收到一封电子邮件:

  • 已激活用户角色(由 Privileged Identity Management 发送)

请求批准引擎发送的前两封电子邮件可以延迟。 目前,90% 的电子邮件需要三到十分钟才能送达,但是对于 1% 的客户来说,可能需要更长的时间(最多十五分钟)。

如果在发送第一封电子邮件之前在 Azure 门户中批准了审批请求,则将不再触发第一封电子邮件,并且不会通过电子邮件将审批请求通知其他审批者。 他们看起来似乎并未收到电子邮件,但这属于预期行为。

Microsoft Entra 角色通知

当 Microsoft Entra 角色发生以下事件时,Privileged Identity Management 将发送电子邮件:

  • 当特权角色激活时正在等待审批时
  • 当特权角色激活请求已完成时
  • 当启用 Microsoft Entra Privileged Identity Management 时

接收这些 Microsoft Entra 角色电子邮件的用户取决于角色、事件和通知设置。

用户 角色激活正在等待审批 角色激活请求已完成 PIM 已启用
特权角色管理员
(激活)

(仅当未指定明确审批者)
是*
安全管理员
(激活)
是*
全局管理员
(激活)
是*

* 如果“通知”设置设置为“启用”。

下面显示了当用户激活虚构 Contoso 组织的 Microsoft Entra 角色时发送的示例电子邮件。

针对 Microsoft Entra 角色的 Privileged Identity Management 电子邮件的屏幕截图。

针对 Microsoft Entra 角色的每周 Privileged Identity Management 摘要电子邮件

Microsoft Entra 角色的每周 Privileged Identity Management 摘要电子邮件将发送给启用了 Privileged Identity Management 的特权角色管理员、安全管理员和全局管理员。 此每周电子邮件提供一周的 Privileged Identity Management 活动快照以及特权角色分配。 它仅适用于公有云上的 Microsoft Entra 组织。 下面是电子邮件示例:

显示 Microsoft Entra 角色的每周 Privileged Identity Management 摘要电子邮件的屏幕截图。

电子邮件包括:

磁贴 说明
已激活的用户 用户在组织内激活其符合条件角色的次数。
永久用户 用户符合资格的分配被设定为永久分配的次数。
Privileged Identity Management 中的角色分配 在 Privileged Identity Management 中为用户分配符合条件的角色的次数。
PIM 之外的角色分配 在 Privileged Identity Management 外部(在 Microsoft Entra ID 内部)为用户分配永久角色的次数。 可以通过打开警报设置来启用或禁用此警报和随附的电子邮件。

“热门角色概述”部分根据每个角色的永久和符合条件管理员的总数列出了组织中最热门的五个角色。 “采取措施”链接会打开发现与见解,你可以在其中将永久管理员成批转换为合格管理员。

Azure 资源角色的通知

注意

在 PIM 中,符合条件的所有者是已被授予实时 (JIT) 特权访问权限以执行某些管理组任务的人员,并且可根据需要激活此权限。 这不同于永久所有者,因为他们具有可管理组的持续访问权限。 有关组的 JIT 所有权的详细信息,请参阅在 Privileged Identity Management 中分配组的资格

对于维护组,所有者能够管理该组,包括添加或移除成员、续订即将过期的组以及批准加入组的请求。 当 Azure 资源角色发生以下事件时,PIM 会向永久所有者、合格所有者和用户访问管理员发送电子邮件:

  • 角色分配正在等待审批时
  • 分配角色时
  • 角色即将到期
  • 角色有资格扩展
  • 最终用户续订角色
  • 角色激活请求已完成

当 Azure 资源角色发生以下事件时,Privileged Identity Management 会向最终用户发送电子邮件:

  • 向用户分配角色时
  • 用户角色已过期
  • 用户角色已扩展
  • 用户角色激活请求已完成

下面显示了当为用户分配了虚构 Contoso 组织的 Azure 资源角色时发送的示例电子邮件。

针对 Azure 资源角色的 Privileged Identity Management 电子邮件的屏幕截图。

适用于组的 PIM 的通知

仅当适用于组的 PIM 分配发生以下事件时,Privileged Identity Management 才会向永久所有者发送电子邮件:

  • 所有者或成员角色分配正在等待审批时
  • 分配所有者或成员角色时
  • 所有者或成员角色即将到期时
  • 所有者或成员角色有资格扩展时
  • 最终用户续订所有者或成员角色时
  • 所有者或成员角色激活请求已完成时

仅当适用于组的 PIM 角色分配发生以下事件时,Privileged Identity Management 才会向最终用户发送电子邮件:

  • 向用户分配所有者或成员角色时
  • 用户的所有者或成员角色已过期时
  • 用户的所有者或成员角色已扩展时
  • 用户的所有者或成员角色激活请求已完成时

后续步骤