Co jsou doporučení Microsoft Entra?
Udržování přehledu o všech nastaveních a prostředcích ve vašem tenantovi může být ohromující. Funkce doporučení Microsoft Entra pomáhá monitorovat stav vašeho tenanta, takže nemusíte. Tato doporučení pomáhají zajistit, aby váš tenant byl v zabezpečeném a zdravém stavu a zároveň vám pomohl maximalizovat hodnotu funkcí dostupných v Microsoft Entra ID.
Doporučení Microsoft Entra teď zahrnují doporučení bezpečnostních skóre identity. Tato doporučení poskytují podobné přehledy o zabezpečení vašeho tenanta. Další informace najdete v tématu Co je skóre zabezpečení identity.
Všechna tato doporučení Microsoft Entra poskytují přizpůsobené přehledy s použitelnými pokyny pro:
- Pomůže vám identifikovat příležitosti k implementaci osvědčených postupů pro funkce související s Microsoft Entra.
- Vylepšete stav tenanta Microsoft Entra.
- Optimalizujte konfigurace pro vaše scénáře.
Tento článek obsahuje přehled o tom, jak můžete používat doporučení Microsoft Entra.
Jak to funguje?
Microsoft Entra ID analyzuje konfiguraci vašeho tenanta každý den. Během této analýzy porovná ID Microsoft Entra konfiguraci vašeho tenanta s osvědčenými postupy zabezpečení a daty doporučení. Pokud se doporučení označí jako použitelné pro vašeho tenanta, doporučení se zobrazí v části Doporučení v oblasti Přehled identit Microsoft Entra.
Každé doporučení obsahuje popis, souhrn hodnoty řešení doporučení a podrobný akční plán. Pokud je to možné, zobrazí se ovlivněné prostředky přidružené k doporučení, abyste mohli vyřešit každou ovlivněnou oblast. Pokud doporučení neobsahuje žádné přidružené prostředky, ovlivněný typ prostředku je úroveň tenanta, takže podrobný akční plán má vliv na celého tenanta a ne jenom na konkrétní prostředek.
Tabulka s přehledem doporučení
Doporučení uvedená v následující tabulce jsou aktuálně dostupná ve veřejné verzi Public Preview nebo obecné dostupnosti a týkají se typů prostředků, které doporučení řeší, a dalších aspektů. Licenční požadavky na doporučení ve verzi Public Preview se můžou změnit. Tabulka obsahuje odkazy na dostupnou dokumentaci pro doporučení, která vyžadují samostatné pokyny.
| Doporučení | Ovlivněné prostředky | Dostupnost | Skóre zabezpečení identity | Cílové role pro e-mailová oznámení |
|---|---|---|---|---|
| Zastaralé připojení AAD Connect | Nájemce | Preview | Ne | Správce hybridní identity |
| Převod vícefaktorového ověřování pro jednotlivé uživatele na vícefaktorové ověřování podmíněného přístupu | Uživatelé | Obecně dostupné | Ne | Správce zabezpečení |
| Určení více než jednoho globálního správce | Uživatelé | Obecně dostupné | Ano | Globální správce |
| Nepovolit uživatelům udělit souhlas s nespolehlivými aplikacemi | Nájemce | Preview | Ano | Globální správce |
| Nevyprší platnost hesel | Nájemce | Preview | Ano | Globální správce |
| Povolení synchronizace hodnot hash hesel, pokud je hybridní | Nájemce | Obecně dostupné | Ano | Správce hybridní identity |
| Povolení zásad blokování starší verze ověřování | Uživatelé | Obecně dostupné | Ano | Správce podmíněného přístupu, správce zabezpečení |
| Povolení samoobslužného resetování hesel | Uživatelé | Preview | Ano | Správce zásad ověřování |
| Ujistěte se, že všichni uživatelé můžou dokončit vícefaktorové ověřování. | Uživatelé | Preview | Ano | Správce podmíněného přístupu, správce zabezpečení |
| Dlouhodobé přihlašovací údaje v aplikacích | Aplikace | Preview | Ne | Globální správce |
| Migrace aplikací ze služby AD FS do Microsoft Entra ID | Aplikace | Obecně dostupné | Ne | Správce aplikací, správce hybridní identity správce ověřování |
| Migrace aplikací z rozhraní Azure AD Graph API do Microsoft Graph | Aplikace | Preview | Ne | Správce aplikace |
| Migrace z ADAL na MSAL | Aplikace | Obecně dostupné | Ne | Správce aplikace |
| Migrace ze serveru MFA na Microsoft Entra MFA | Nájemce | Obecně dostupné | Ne | Globální správce |
| Migrace služebních identit z ukončených rozhraní API Azure AD Graph do rozhraní Microsoft Graph | Aplikace | Preview | Ne | Správce aplikace |
| Migrace na Microsoft Authenticator | Uživatelé | Preview | Ne | Globální správce |
| Minimalizace výzev vícefaktorového ověřování ze známých zařízení | Uživatelé | Obecně dostupné | Ne | Globální správce |
| Ochrana všech uživatelů pomocí zásad rizik přihlašování | Uživatelé | Obecně dostupné | Ano | Správce podmíněného přístupu, správce zabezpečení |
| Ochrana všech uživatelů pomocí zásad rizik uživatelů | Uživatelé | Obecně dostupné | Ano | Správce podmíněného přístupu, správce zabezpečení |
| ochrana tenanta pomocí zásad podmíněného přístupu insiderských rizik | Uživatelé | Obecně dostupné | Ano | Správce podmíněného přístupu, správce zabezpečení |
| Odebrání nadprivilegovaných oprávnění pro vaše aplikace | Aplikace | Preview | Ne | Globální správce |
| Odebrání nepoužívaných aplikací | Aplikace | Preview | Ne | Správce aplikace |
| Odebrání nepoužívaných přihlašovacích údajů z aplikací | Aplikace | Preview | Ne | Správce aplikace |
| Odstraňte nepoužívané identifikátory URI přesměrování v konfiguraci aplikace | Aplikace | Preview | Ne | Správce aplikace |
| Prodloužení platnosti přihlašovacích údajů aplikace | Aplikace | Preview | Ne | Správce aplikace |
| Prodloužení platnosti přihlašovacích údajů instančního objektu | Aplikace | Preview | Ne | Správce aplikace |
| Vyžadování vícefaktorového ověřování pro role pro správu | Uživatelé | Obecně dostupné | Ano | Správce podmíněného přístupu, správce zabezpečení |
| Kontrola neaktivních uživatelů pomocí kontrol přístupu | Uživatelé | Preview | Ne | Správce zásad správného řízení identit |
| Zabezpečení a řízení aplikací pomocí automatického zřizování uživatelů a skupin | Aplikace | Preview | Ne | Správce aplikací, správce zásad správného řízení IT |
| Aktualizace nesprávně nakonfigurované cílové skupiny přihlašování víceklientských aplikací | Aplikace | Preview | Teď | Správce aplikace |
| Použití nejméně privilegovaných rolí pro správu | Uživatelé | Preview | Ano | Správce privilegovaných rolí |
| Ověření vydavatele aplikace | Aplikace | Preview | Ne | Globální správce |
Microsoft Entra zobrazuje jenom doporučení, která platí pro vašeho tenanta, takže se nemusí zobrazit všechna podporovaná doporučení uvedená.
Skóre zabezpečení identity
Bezpečnostní skóre vaší identity, které se zobrazí v horní části stránky, představuje číselnou reprezentaci stavu vašeho tenanta. Doporučení, která platí pro bezpečnostní skóre identity, se udělují jednotlivým skórem v tabulce v dolní části stránky. Pomocí karty filtru Security můžete seznam doporučení zúžit pouze na ta, která se týkají skóre zabezpečení identity. Doporučení bezpečnostních skóre identity zahrnují body skóre zabezpečení, které se počítají jako celkové skóre na základě několika bezpečnostních faktorů.
Tyto skóre se sčítají, aby se vygenerovalo skóre zabezpečení identity. Další informace najdete v tématu Co je skóre zabezpečení identity.
Souvisí doporučení Microsoft Entra týkající se Azure Advisoru?
Funkce doporučení Microsoft Entra je implementace azure Advisoru specifická pro Microsoft Entra, což je individuální cloudový konzultant, který vám pomůže postupovat podle osvědčených postupů pro optimalizaci nasazení Azure. Azure Advisor analyzuje konfiguraci prostředků a data o využití a doporučí řešení, která vám můžou pomoct zlepšit nákladovou efektivitu, výkon, spolehlivost a zabezpečení vašich prostředků Azure.
Doporučení Microsoft Entra používají podobná data, která vám pomůžou s uvedením a správou osvědčených postupů Microsoftu pro tenanty Microsoft Entra, aby byl váš tenant zabezpečený a v pořádku. Funkce doporučení Microsoft Entra poskytuje holistický přehled o zabezpečení, stavu a využití vašeho tenanta.
E-mailová oznámení (Preview)
Doporučení Microsoft Entra teď generují e-mailová oznámení, když se vygeneruje nové doporučení. Tato nová funkce ve verzi Preview odesílá e-maily předem určené sadě rolí pro každé doporučení. Například doporučení, která jsou přidružená ke stavu aplikací vašeho tenanta, se posílají uživatelům, kteří mají roli Správce aplikací.
Pokud vaše organizace používá Privileged Identity Management (PIM), musí být příjemci zvýšeni na roli uvedenou v zájmu přijetí e-mailového oznámení. Pokud nikdo není k roli aktivně přiřazený, nebudou odeslány žádné e-maily. Z tohoto důvodu doporučujeme pravidelně kontrolovat doporučení, abyste měli jistotu, že znáte všechna nová doporučení.