Compartir a través de

Introducción: evaluación a petición de Microsoft Entra ID

  • Artículo

La evaluación a petición: Microsoft Entra ID es un servicio en la nube que analiza y proporciona una guía para la Administración de identidad y el acceso (IAM) para Microsoft Entra ID y los componentes relacionados. El análisis genera una lista de recomendaciones que se deben abordar con ayuda de correcciones y procedimientos recomendados que permiten mejorar el mantenimiento y la seguridad de los recursos de Azure. Además, la evaluación identifica las características que se pueden habilitar para ampliar las capacidades de Microsoft Entra ID. Las evaluaciones están disponibles a través del Centro de servicios para ayudar a optimizar la disponibilidad, seguridad y rendimiento de las inversiones en tecnología de Microsoft. Estas evaluaciones usan Microsoft Azure Log Analytics, que se ha diseñado para simplificar la administración de la TI y seguridad en todo el entorno.

Esta evaluación se diseñó para proporcionar instrucciones accionables específicas agrupadas en áreas de enfoque que permiten mitigar los riesgos para Microsoft Entra ID y la organización.

Elementos clave de la evaluación de Microsoft Entra ID

  • Administración de identidades y acceso
  • Gobernanza
  • Operaciones
  • Autenticación
  • Seguridad

Ejecución de la evaluación de Microsoft Entra ID

Requisitos previos

Para sacar el máximo partido a las evaluaciones a petición disponibles a través del Centro de servicios, debe cumplir los siguientes requisitos:

  1. Haber vinculado una suscripción de Azure activa a Services Hub y haber añadido la evaluación de Microsoft Entra ID. Para obtener más información, consulte Introducción a las evaluaciones a petición o vea el vídeo sobre vinculación.

  2. Disponer de una cuenta de tarea programada de evaluación (dominio o usuario local) con los siguientes derechos:

  • Acceso administrativo en el equipo de recopilación de datos
  • Iniciar sesión con privilegios de proceso por lotes en la máquina de recopilación de datos
  1. Una cuenta de Microsoft Entra ID para la configuración de la aplicación registrada Microsoft Entra Id con las siguientes propiedades:
  • Administrador global
  • No federada

Nota:

De media, se tarda dos horas en realizar la configuración inicial del entorno para ejecutar una evaluación a petición. Tras la ejecución de una evaluación, puede consultar los datos en Azure Log Analytics. De este modo, se obtiene una lista de recomendaciones ordenada por prioridades y dividida en seis áreas principales. Esto ayuda a que usted y su equipo comprendan rápidamente los niveles de riesgo y el estado del entorno, y a que tomen acciones para reducir los riesgos y mejorar la integridad de TI.

Configure la evaluación de Microsoft Entra Id en la máquina de recopilación de datos

Nota:

Solo podrá configurar la evaluación correctamente una vez que haya vinculado su suscripción de Azure a Services Hub y que haya agregado la evaluación de Microsoft Entra ID desde Mantenimiento de TI > > Evaluaciones a petición en el Services Hub.

Registre la aplicación Evaluaciones de Microsoft en el inquilino de Microsoft Entra ID en el ámbito

  1. En la máquina de recolección de datos, cree la siguiente carpeta: C:\OMS\AzureAD (o cualquier otra carpeta que le conste)
  2. Abra la versión regular de PowerShell (no ISE) en modo Administrador y ejecute el siguiente cmdlet para crear la app registrada en el inquilino de Microsoft Entra ID que se está evaluando:
 New-MicrosoftAssessmentsApplication

Nota:

Si el comando New-MicrosoftAssessmentsApplication no está disponible, aún no se ha encontrado el módulo. Puede llevar algo de tiempo para que el agente aparezca después de la instalación.

  1. Proporcione las credenciales de la cuenta de Microsoft Entra ID necesarias que cumplen con los requisitos que se mencionan anteriormente en este artículo. En el mensaje de consentimiento del administrador, haga clic en Aceptar y lea los permisos que esta aplicación necesita para la evaluación.

Nota:

Para obtener más información sobre el consentimiento, consulte Permisos para la aplicación Microsoft Entra ID Assessment de Microsoft

Crear la tarea programada de evaluación

  1. Abra la versión regular de PowerShell (no ISE) en modo de administrador y ejecute el cmdlet siguiente con los parámetros siguientes, reemplazando <Directory> and <AccountName> con el directorio de trabajo de evaluación y el nombre de cuenta de la tarea programada de evaluación:

[¡IMPORTANTE!] No use "C:\ODA" como ruta de acceso del directorio de trabajo, ya que está reservado por el sistema.

 Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

Nota:

Si el comando Add-AzureAssessmentTask no está disponible, aún no se ha encontrado el módulo. Puede llevar algo de tiempo para que el agente aparezca después de la instalación.

  1. El script continuará con la configuración necesaria y creará una tarea programada que desencadenará la recopilación de datos.

  2. La recopilación de datos la desencadena la tarea programada denominada AzureAssessment en el plazo de una hora después de ejecutar el script anterior y, posteriormente, cada 7 días. La tarea se puede modificar para que se ejecute en una fecha u hora diferentes, o incluso se puede forzar para que se ejecute inmediatamente desde la Biblioteca del Programador de tareas -> Microsoft -> Operations Management Suite -> AOI*** -> Evaluaciones -> AzureAssessment.

Ejecución de la evaluación

  1. Durante la recopilación y el análisis, los datos se almacenan temporalmente en la carpeta Directorio de trabajo que se estableció durante la configuración.

  2. Después de algunas horas, los resultados de tu evaluación estarán disponibles en tu Azure Log Analytics y Services Hub. Para ver los resultados, vaya a Centro de servicios -> Mantenimiento -> Evaluaciones y, luego, haga clic en "Ver todas las recomendaciones" en la evaluación activa.

  3. Si desea que un ingeniero acreditado de Microsoft repase con usted los problemas de su evalución de Microsoft Entra ID, puede ponerse en contacto con su representante de Microsoft y preguntarle sobre la entrega remota o in situ dirigida por CSA.

Contrato Ingeniero remoto Ingeniero in situ
Premier Hoja de datos de Microsoft Entra Id Remote Hoja de datos in situ de Microsoft Entra Id
Unificado Hoja de datos de Microsoft Entra Id Remote Hoja de datos in situ de Microsoft Entra Id