Was sind Microsoft Entra-Empfehlungen?
Es ist nicht immer einfach, den Überblick über alle Einstellungen und Ressourcen in Ihrem Mandanten zu behalten. Die Microsoft Entra-Empfehlungsfunktion (Vorschau) nimmt Ihnen die Überwachung des Mandantenstatus ab. Diese Empfehlungen tragen dazu bei, dass Ihr Mandant sicher und fehlerfrei ist, und ermöglichen Ihnen, den größtmöglichen Nutzen aus den in Microsoft Entra ID verfügbaren Features zu ziehen.
Zu den Microsoft Entra-Empfehlungen zählen jetzt Empfehlungen zum Identitätssicherheitsscore. Diese Empfehlungen bieten ähnliche Einblicke in die Sicherheit Ihres Mandanten. Empfehlungen zum Identitätssicherheitsscore umfassen Sicherheitsscorepunkte, die basierend auf mehreren Sicherheitsfaktoren als Gesamtbewertung berechnet werden. Weitere Informationen finden Sie unter Was ist Identitätssicherheitsbewertung.
Alle diese Microsoft Entra-Empfehlungen bieten Ihnen personalisierte Erkenntnisse mit umsetzbaren Anleitungen für Folgendes:
- Es hilft Ihnen dabei, Möglichkeiten zur Implementierung bewährter Methoden für Microsoft Entra-bezogene Features zu identifizieren.
- Verbessern Sie den Status Ihres Microsoft Entra-Mandanten.
- Optimierung der Konfigurationen für Ihre Szenarien.
Dieser Artikel bietet Ihnen einen Überblick über die Verwendung von Microsoft Entra-Empfehlungen.
Wie funktioniert dies?
Microsoft Entra ID analysiert die Konfiguration Ihres Mandanten täglich. Während dieser Analyse vergleicht Microsoft Entra-ID die Konfiguration Ihres Mandanten mit bewährten Sicherheitsmethoden und Empfehlungsdaten. Wenn eine Empfehlung als geeignete Empfehlung für Ihren Mandanten gekennzeichnet ist, wird sie im Abschnitt Empfehlungen des Microsoft Entra-Identitätsübersichtsbereichs angezeigt. Empfehlungen werden in der Reihenfolge ihrer Priorität aufgeführt, sodass Sie schnell erkennen, worauf Sie sich zuerst konzentrieren sollten.
Ihre oben auf der Seite angezeigte Identitätssicherheitsbewertung ist eine numerische Darstellung der Integrität Ihres Mandanten. Empfehlungen, die für die Identitätssicherheitsbewertung gelten, erhalten einzelne Bewertungen in der Tabelle am unteren Rand der Seite. Diese Bewertungen werden addiert, um Ihre Identitätssicherheitsbewertung zu generieren. Weitere Informationen finden Sie unter Was ist Identitätssicherheitsbewertung.
Jede Empfehlung enthält eine Beschreibung, eine Zusammenfassung des Nutzens, die die Umsetzung der Empfehlung mit sich bringt, sowie einen schrittweisen Aktionsplan. Sofern zutreffend, werden betroffene Ressourcen aufgeführt, die mit der Empfehlung zusammenhängen, sodass Sie die einzelnen betroffenen Bereiche behandeln können. Wenn eine Empfehlung keine zugeordneten Ressourcen hat, ist der betroffenen Ressourcentyp Mandantenebene, sodass sich Ihr Schritt-für-Schritt-Aktionsplan auf den gesamten Mandanten und nicht nur auf eine bestimmte Ressource auswirkt.
Verfügbarkeits- und Lizenzanforderungen für Empfehlungen
Die in der folgenden Tabelle aufgeführten Empfehlungen sind derzeit in der öffentlichen Vorschauversion oder in der allgemeinen Verfügbarkeit. Die Lizenzanforderungen für Empfehlungen in der öffentlichen Vorschauversion können sich ändern. Die Tabelle enthält die betroffenen Ressourcen sowie Links zur verfügbaren Dokumentation.
Microsoft Entra zeigt nur Empfehlungen an, die für Ihren Mandanten relevant sind. Daher werden möglicherweise nicht alle aufgeführten unterstützten Empfehlungen angezeigt.
Beziehen sich Microsoft Entra-Empfehlungen auf Azure Advisor?
Bei der Funktion „Microsoft Entra-Empfehlungen“ handelt es sich um die Microsoft Entra-spezifische Implementierung von Azure Advisor – einem personalisierten Cloudberater, der Ihnen dabei hilft, bewährte Methoden zu verwenden, um Ihre Azure-Bereitstellungen zu optimieren. Der Azure Advisor analysiert Ihre Ressourcenkonfiguration und Nutzungsdaten, um Lösungen zu empfehlen, mit denen Sie die Kosteneffizienz, Leistung, Zuverlässigkeit und Sicherheit Ihrer Azure-Ressourcen verbessern können.
Für Microsoft Entra-Empfehlungen werden ähnliche Daten genutzt, um Sie bei der Einführung und Verwaltung der bewährten Methoden von Microsoft für Microsoft Entra-Mandanten zu unterstützen, damit Ihr Mandant sicher und fehlerfrei bleibt. Die Funktion „Microsoft Entra-Empfehlungen“ bieten einen ganzheitlichen Einblick in die Sicherheit, die Integrität und die Nutzung Ihres Mandanten.
E-Mail-Benachrichtigungen (Vorschau)
Microsoft Entra-Empfehlungen generieren jetzt E-Mail-Benachrichtigungen, wenn eine neue Empfehlung generiert wird. Diese neue Previewfunktion sendet E-Mails an einen vordefinierten Satz von Rollen für jede Empfehlung. Zum Beispiel werden Empfehlungen, die mit dem Zustand der Anwendungen Ihres Mandanten zusammenhängen, an Benutzer mit der Rolle Anwendungsadministrator gesendet.
In der folgenden Tabelle sind die integrierten Microsoft-Rollen aufgeführt, die E-Mail-Benachrichtigungen für jede Empfehlung erhalten:
| Empfehlungstitel | Zielrollen |
|---|---|
| AAD Connect veraltet | Hybrid-Identitätsadministrator |
| Konvertieren von MFA pro Benutzer in MFA für bedingten Zugriff | Sicherheitsadministrator |
| Festlegen mehrerer globaler Administratoren | Globaler Administrator |
| Benutzern nicht erlauben, Einwilligung für unzuverlässige Anwendungen zu geben | Globaler Administrator |
| Kennwörter laufen nicht ab | Globaler Administrator |
| Aktivieren der Synchronisierung von Kennworthashes, wenn hybrid | Hybrid-Identitätsadministrator |
| Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Aktivieren der Self-Service-Kennwortzurücksetzung | Authentifizierungsadministrator Richtlinien |
| Sicherstellen, dass alle Benutzer*innen die Multi-Faktor-Authentifizierung durchführen können | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Langlebige Anmeldeinformationen in Anwendungen | Globaler Administrator |
| Migrieren von Anwendungen aus den ausgemusterten Azure AD Graph-APIs zu Microsoft Graph | Anwendungsadministrator |
| Migrieren von Anwendungen von AD FS zu Microsoft Entra ID | Anwendungsadministrator, Hybrididentitätsadministrator für Authentifizierungsadministrator |
| Migrieren Sie Authentifizierungsmethoden aus den alten MFA- und SSPR-Richtlinien | Globaler Administrator |
| Migrieren von ADAL zu MSAL | Anwendungsadministrator |
| Migrieren von MFA-Server zur Multi-Faktor-Authentifizierung von Microsoft Entra | Globaler Administrator |
| Migrieren von Dienstprinzipalen von den auslaufenden Azure AD Graph-APIs zu Microsoft Graph | Anwendungsadministrator |
| MS Graph-Versionsverwaltung | Globaler Administrator |
| Optimieren der Mandanten-MFA | Sicherheitsadministrator |
| Schützen aller Benutzer mit einer Anmelderisiko-Richtlinie | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Schützen aller Benutzer mit einer Benutzerrisiko-Richtlinie | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Schützen Ihres Mandanten mit der Richtlinie für bedingten Zugriff für Insider-Risiko | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Entfernen von überprivilegierten Berechtigungen für Ihre Anwendungen | Globaler Administrator |
| Entfernen nicht verwendeter Anwendungen | Anwendungsadministrator |
| Entfernen nicht verwendeter Anmeldeinformationen aus Anwendungen | Anwendungsadministrator |
| Erneuern auslaufender Anwendungsanmeldeinformationen | Anwendungsadministrator |
| Erneuern auslaufender Anmeldedaten für Dienstprinzipale | Anwendungsadministrator |
| Erfordert MFA für administrative Rollen | Administrator für bedingten Zugriff, Sicherheitsadministrator |
| Überprüfung inaktiver Benutzer mit Zugriffsüberprüfungen | Identitätsverwaltung-Administrator |
| Sichern und Steuern Ihrer Apps mit automatischer Benutzer- und Gruppenbereitstellung | Anwendungsadministrator, IT-Governance-Administrator |
| Verwenden von administrativen Rollen mit den geringsten Rechten | Administrator für privilegierte Rollen |
| Überprüfen des App-Herausgebers | Globaler Administrator |
Wenn Ihre Organisation Privileged Identity Management (PIM) verwendet, müssen die Empfänger zur angegebenen Rolle erhöht werden, um die E-Mail-Benachrichtigung zu erhalten. Wenn der Rolle niemand aktiv zugewiesen ist, werden keine E-Mails gesendet. Aus diesem Grund empfehlen wir, die Empfehlungen regelmäßig zu überprüfen, um sicherzustellen, dass Sie über neue Empfehlungen informiert sind.