Che cosa sono i consigli per Microsoft Entra ID?
Tenere traccia di tutte le impostazioni e le risorse nel tenant può essere eccessivamente impegnativo. La funzionalità consigli di Microsoft Entra aiuta a di monitorare lo stato del tenant in modo che non sia tu a doverlo fare. Questi consigli consentono di garantire che il tenant si trovi in uno stato sicuro e integro, consentendo allo stesso tempo di ottimizzare il valore delle funzionalità disponibili in Microsoft Entra ID.
I consigli di Microsoft Entra includono ora consigli sul punteggio di sicurezza delle identità. Questi consigli forniscono informazioni dettagliate simili sulla sicurezza del tenant. Le raccomandazioni di Identity Secure Score includono punti di punteggio di sicurezza, che vengono calcolati come punteggio complessivo in base a diversi fattori di sicurezza. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
I consigli di Microsoft Entra offrono informazioni dettagliate personalizzate con indicazioni utili per:
- Consente di identificare le opportunità di implementare le procedure consigliate per le funzionalità correlate a Microsoft Entra.
- ID del tenant di Microsoft Entra.
- Ottimizzare le configurazioni per gli scenari.
Questo articolo offre una panoramica di come usare i consigli di Microsoft Entra.
Come funziona?
Su base giornaliera, Microsoft Entra ID analizza la configurazione del tenant. Durante questa analisi, Microsoft Entra ID confronta la configurazione del tenant con le procedure consigliate per la sicurezza e i dati dei consigli. Se un consiglio è contrassegnato come applicabile al tenant, viene visualizzato nella sezione Consigli dell'area panoramica di Microsoft Entra ID. I consigli sono elencati in ordine di priorità, in modo da poter determinare rapidamente dove concentrarsi per prima cosa.
Il punteggio di sicurezza delle identità, visualizzato nella parte superiore della pagina, è una rappresentazione numerica dell'integrità del tenant. Ai singoli punteggi nella tabella nella parte inferiore della pagina vengono assegnati i consigli che si applicano al punteggio di sicurezza delle identità. Questi punteggi vengono aggiunti per generare il punteggio di sicurezza delle identità. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
Ogni consiglio contiene una descrizione, un riepilogo del valore dell'indicazione e un piano di azione dettagliato. Se applicabile, vengono elencate le risorse interessate associate al consiglio, in modo da poter risolvere ogni area interessata. Se un consiglio non include risorse associate, il tipo di risorsa interessato è a Livello di tenant, quindi il piano di azione dettagliato influisce sull'intero tenant e non solo su una risorsa specifica.
Requisiti di disponibilità e licenza dei consigli
I consigli elencati nella tabella seguente sono attualmente disponibili nell'anteprima pubblica o nella disponibilità generale. I requisiti di licenza per i consigli nell'anteprima pubblica sono soggetti a modifiche. La tabella fornisce le risorse interessate e i collegamenti alla documentazione disponibile.
Microsoft Entra visualizza solo i consigli che si applicano al tenant, pertanto è possibile che non vengano visualizzati tutti i consigli supportati elencati.
Le raccomandazioni di Microsoft Entra sono correlate ad Azure Advisor?
La funzionalità consigli di Microsoft Entra è l'implementazione specifica di Microsoft Entra di Azure Advisor, un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure. Azure advisor analizza i dati di utilizzo e la configurazione delle risorse di Azure per consigliare soluzioni che consentano di migliorarne l'efficienza dei costi, le prestazioni, la disponibilità elevata e la sicurezza.
I consigli di Microsoft Entra usano dati simili per supportare l'implementazione e la gestione delle procedure consigliate di Microsoft per i tenant di Microsoft Entra per mantenere il tenant in uno stato sicuro e integro. La funzionalità conisgli di Microsoft Entra offre una vista olistica della sicurezza, dell'integrità e dell'utilizzo del tenant.
Notifiche email (anteprima)
I consigli di Microsoft Entra ora generano notifiche tramite posta elettronica quando viene generato un nuovo consiglio. Questa nuova funzionalità di anteprima invia email a un set predeterminato di ruoli per ogni consiglio. Ad esempio, i consigli associati all'integrità delle applicazioni del tenant vengono inviati agli utenti con il ruolo Di amministratori dell'applicazione.
La tabella seguente elenca i ruoli predefiniti di Microsoft che ricevono notifiche email per ogni consiglio:
| Titolo consiglio | Ruoli di destinazione |
|---|---|
| AAD Connect deprecato | Amministratore dell’identità ibrida |
| Convertire MFA per utente in MFA con accesso condizionale | Amministratore della sicurezza |
| Designare più di un amministratore globale | Amministratore globale |
| Non consentire agli utenti di autorizzare le applicazioni non affidabili | Amministratore globale |
| Non far scadere le password | Amministratore globale |
| Abilitare la sincronizzazione degli hash delle password se ibride | Amministratore dell’identità ibrida |
| Abilitare i criteri per bloccare l'autenticazione legacy | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Abilitare la reimpostazione self-service delle password | Amministratore dei criteri di autenticazione |
| Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Credenziali di lunga durata nelle applicazioni | Amministratore globale |
| Eseguire la migrazione di applicazioni dalle obsolete API Graph di Azure AD a Microsoft Graph | Amministratore di applicazioni |
| Eseguire la migrazione da AD FS a Microsoft Entra ID | Amministratore di applicazioni, amministratore dell'identità ibrida dell'amministratore dell'autenticazione |
| Eseguire la migrazione dei metodi di autenticazione dai criteri MFA e SSPR legacy | Amministratore globale |
| Eseguire la migrazione da ADAL a MSAL | Amministratore di applicazioni |
| Eseguire la migrazione dal server MFA a Microsoft Entra MFA | Amministratore globale |
| Eseguire la migrazione di entità servizio da Azure AD Graph a Microsoft Graph | Amministratore di applicazioni |
| Controllo delle versioni di MS Graph | Amministratore globale |
| Ottimizzare l'autenticazione a più fattori del tenant | Amministratore della sicurezza |
| Proteggere tutti gli utenti con criteri di rischio di accesso | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggere tutti gli utenti con criteri di rischio utente | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggere il tenant con i criteri di accesso condizionale a rischio Insider | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Rimuovere autorizzazioni sovraprivate per le applicazioni | Amministratore globale |
| Rimuovere le applicazioni inutilizzate | Amministratore di applicazioni |
| Rimuovere le credenziali inutilizzate dalle applicazioni | Amministratore di applicazioni |
| Rinnovare le credenziali in scadenza dell'applicazione | Amministratore di applicazioni |
| Rinnovare le credenziali dell'entità servizio in scadenza | Amministratore di applicazioni |
| Richiedere la MFA per i ruoli amministrativi | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Controllare gli utenti inattivi con verifiche di accesso | Amministratore di Identity Governance |
| Proteggere e gestire le app con provisioning automatico di utenti e gruppi | Amministratore di applicazioni, amministratore della governance IT |
| Usare ruoli amministrativi con privilegi minimi | Amministratore ruolo con privilegi |
| Verificare l'autore dell'app | Amministratore globale |
Se l'organizzazione usa Privileged Identity Management (PIM), i destinatari devono essere elevati al ruolo indicato per ricevere la notifica email. Se nessuno viene assegnato attivamente al ruolo, non vengono inviate email. Per questo motivo, è consigliabile controllare regolarmente i consigli per assicurarsi di conoscere eventuali nuovi consigli.