Che cosa sono i consigli per Microsoft Entra ID?
Tenere traccia di tutte le impostazioni e le risorse nel tenant può essere eccessivamente impegnativo. La funzionalità consigli di Microsoft Entra aiuta a di monitorare lo stato del tenant in modo che non sia tu a doverlo fare. Questi consigli consentono di garantire che il tenant si trovi in uno stato sicuro e integro, consentendo allo stesso tempo di ottimizzare il valore delle funzionalità disponibili in Microsoft Entra ID.
I consigli di Microsoft Entra includono ora consigli sul punteggio di sicurezza delle identità. Questi consigli forniscono informazioni dettagliate simili sulla sicurezza del tenant. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
I consigli di Microsoft Entra offrono informazioni dettagliate personalizzate con indicazioni utili per:
- Consente di identificare le opportunità di implementare le procedure consigliate per le funzionalità correlate a Microsoft Entra.
- ID del tenant di Microsoft Entra.
- Ottimizzare le configurazioni per gli scenari.
Questo articolo offre una panoramica di come usare i consigli di Microsoft Entra.
Come funziona?
Su base giornaliera, Microsoft Entra ID analizza la configurazione del tenant. Durante questa analisi, Microsoft Entra ID confronta la configurazione del tenant con le procedure consigliate per la sicurezza e i dati dei consigli. Se un consiglio è contrassegnato come applicabile al tenant, viene visualizzato nella sezione Consigli dell'area panoramica di Microsoft Entra ID.
Ogni consiglio contiene una descrizione, un riepilogo del valore dell'indicazione e un piano di azione dettagliato. Se applicabile, vengono elencate le risorse interessate associate al consiglio, in modo da poter risolvere ogni area interessata. Se un consiglio non include risorse associate, il tipo di risorsa interessato è a Livello di tenant, quindi il piano di azione dettagliato influisce sull'intero tenant e non solo su una risorsa specifica.
Tabella di panoramica delle raccomandazioni
Le raccomandazioni elencate nella tabella seguente sono attualmente disponibili nell'anteprima pubblica o nella disponibilità generale, includono i tipi di risorse a cui si riferiscono le raccomandazioni e altro ancora. I requisiti di licenza per i consigli nell'anteprima pubblica sono soggetti a modifiche. La tabella fornisce collegamenti alla documentazione disponibile per le raccomandazioni che richiedono indicazioni separate.
| Consiglio | Risorse interessate | Disponibilità | Punteggio di Sicurezza dell'Identità | Ruoli di destinazione per le notifiche tramite posta elettronica |
|---|---|---|---|---|
| AAD Connect deprecato | Inquilino | Anteprima | No | Amministratore dell’identità ibrida |
| Convertire MFA per utente in MFA con accesso condizionale | Utenti | Generalmente disponibile | No | Amministratore della sicurezza |
| Designare più di un amministratore globale | Utenti | Generalmente disponibile | Sì | Amministratore globale |
| Non consentire agli utenti di autorizzare le applicazioni non affidabili | Inquilino | Anteprima | Sì | Amministratore globale |
| Non far scadere le password | Inquilino | Anteprima | Sì | Amministratore globale |
| Abilitare la sincronizzazione degli hash delle password se ibride | Inquilino | Generalmente disponibile | Sì | Amministratore dell’identità ibrida |
| Abilitare i criteri per bloccare l'autenticazione legacy | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Abilitare la reimpostazione self-service delle password | Utenti | Anteprima | Sì | Amministratore dei criteri di autenticazione |
| Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori | Utenti | Anteprima | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Credenziali di lunga durata nelle applicazioni | Applicazioni | Anteprima | No | Amministratore globale |
| Eseguire la migrazione da AD FS a Microsoft Entra ID | Applicazioni | Generalmente disponibile | No | Amministratore di applicazioni, amministratore dell'identità ibrida dell'amministratore dell'autenticazione |
| Eseguire la migrazione delle applicazioni dalle API Graph di Azure AD in fase di dismissione a Microsoft Graph | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Eseguire la migrazione da ADAL a MSAL | Applicazioni | Generalmente disponibile | No | Amministratore di applicazioni |
| Eseguire la migrazione dal server MFA a Microsoft Entra MFA | Inquilino | Generalmente disponibile | No | Amministratore globale |
| Eseguire la migrazione dei principali di servizio dalle API Graph di Azure AD in fase di ritiro a Microsoft Graph | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Eseguire la migrazione a Microsoft Authenticator | Utenti | Anteprima | No | Amministratore globale |
| Ridurre al minimo le richieste di MFA dai dispositivi noti | Utenti | Generalmente disponibile | No | Amministratore globale |
| Proteggere tutti gli utenti con criteri di rischio di accesso | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggere tutti gli utenti con criteri di rischio utente | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggi il tenant con la politica di accesso condizionale al rischio Insider | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Rimuovere autorizzazioni sovraprivate per le applicazioni | Applicazioni | Anteprima | No | Amministratore globale |
| Rimuovere le applicazioni inutilizzate | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Rimuovere le credenziali inutilizzate dalle applicazioni | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Rimuovere gli URI di reindirizzamento inutilizzati nella configurazione dell'app | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Rinnovare le credenziali in scadenza dell'applicazione | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Rinnovare le credenziali dell'entità servizio in scadenza | Applicazioni | Anteprima | No | Amministratore di applicazioni |
| Richiedere la MFA per i ruoli amministrativi | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Controllare gli utenti inattivi con verifiche di accesso | Utenti | Anteprima | No | Amministratore di Identity Governance |
| Proteggere e gestire le app con provisioning automatico di utenti e gruppi | Applicazioni | Anteprima | No | Amministratore di applicazioni, amministratore della governance IT |
| Aggiornare il gruppo di destinatari dell'accesso all'applicazione multi-tenant configurato in modo non corretto | Applicazioni | Anteprima | Ora | Amministratore di applicazioni |
| Usare ruoli amministrativi con privilegi minimi | Utenti | Anteprima | Sì | Amministratore ruolo con privilegi |
| Verificare l'autore dell'app | Applicazioni | Anteprima | No | Amministratore globale |
Microsoft Entra visualizza solo i consigli che si applicano al tenant, pertanto è possibile che non vengano visualizzati tutti i consigli supportati elencati.
Punteggio di Sicurezza dell'Identità
Il punteggio di sicurezza delle identità, visualizzato nella parte superiore della pagina, è una rappresentazione numerica dell'integrità del tenant. Ai singoli punteggi nella tabella nella parte inferiore della pagina vengono assegnati i consigli che si applicano al punteggio di sicurezza delle identità. È possibile filtrare l'elenco di raccomandazioni in modo che vengano visualizzate solo le raccomandazioni di Identity Secure Score usando la scheda di filtro sicurezza. Le raccomandazioni di Identity Secure Score includono punti di punteggio di sicurezza, che vengono calcolati come punteggio complessivo in base a diversi fattori di sicurezza.
Questi punteggi vengono aggiunti per generare il punteggio di sicurezza delle identità. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
Le raccomandazioni di Microsoft Entra sono correlate ad Azure Advisor?
La funzionalità consigli di Microsoft Entra è l'implementazione specifica di Microsoft Entra di Azure Advisor, un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure. Azure advisor analizza i dati di utilizzo e la configurazione delle risorse di Azure per consigliare soluzioni che consentano di migliorarne l'efficienza dei costi, le prestazioni, la disponibilità elevata e la sicurezza.
I consigli di Microsoft Entra usano dati simili per supportare l'implementazione e la gestione delle procedure consigliate di Microsoft per i tenant di Microsoft Entra per mantenere il tenant in uno stato sicuro e integro. La funzionalità conisgli di Microsoft Entra offre una vista olistica della sicurezza, dell'integrità e dell'utilizzo del tenant.
Notifiche email (anteprima)
I consigli di Microsoft Entra ora generano notifiche tramite posta elettronica quando viene generato un nuovo consiglio. Questa nuova funzionalità di anteprima invia email a un set predeterminato di ruoli per ogni consiglio. Ad esempio, i consigli associati all'integrità delle applicazioni del tenant vengono inviati agli utenti con il ruolo Di amministratori dell'applicazione.
Se l'organizzazione usa Privileged Identity Management (PIM), i destinatari devono essere elevati al ruolo indicato per ricevere la notifica email. Se nessuno viene assegnato attivamente al ruolo, non vengono inviate email. Per questo motivo, è consigliabile controllare regolarmente le raccomandazioni per assicurarsi di conoscere eventuali nuove raccomandazioni.