Co to są rekomendacje firmy Microsoft Entra?
Śledzenie wszystkich ustawień i zasobów w Twojej dzierżawie może okazać się przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że tenant jest w bezpiecznym i stanie zdrowym, a jednocześnie pomagają zmaksymalizować wartość funkcji dostępnych w Microsoft Entra ID.
Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te rekomendacje dostarczają podobne wglądy dotyczące bezpieczeństwa twojej dzierżawy. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:
- Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
- Popraw stan dzierżawy Microsoft Entra.
- Zoptymalizuj konfiguracje dla Twoich scenariuszy.
Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.
Jak to działa?
Na co dzień Microsoft Entra ID analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, rekomendacja zostanie wyświetlona w sekcji Rekomendacje w panelu przeglądu tożsamości Microsoft Entra.
Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby związane z zaleceniem są wymienione, aby można było rozwiązać każdy dotknięty obszar. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.
Tabela przeglądu zaleceń
Zalecenia wymienione w poniższej tabeli są obecnie dostępne w wersji zapoznawczej dla ogółu lub w ogólnej dostępności, obejmują typy zasobów, których dotyczą te zalecenia, oraz więcej. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera linki do dostępnej dokumentacji dla tych zaleceń, które wymagały oddzielnych wskazówek.
| Zalecenie | Zasoby objęte wpływem | Dostępność | Wskaźnik bezpieczeństwa tożsamości | Role docelowe dla powiadomień e-mail |
|---|---|---|---|---|
| AAD Connect wycofany z użycia | Najemca | Podgląd | Nie | Administrator tożsamości hybrydowej |
| Konwersja MFA użytkownika na MFA oparte na dostępie warunkowym | Użytkownicy | Ogólnie dostępne | Nie | Administrator zabezpieczeń |
| Wyznaczanie więcej niż jednego administratora globalnego | Użytkownicy | Ogólnie dostępne | Tak | Globalny administrator usługi |
| Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje | Najemca | Podgląd | Tak | Globalny administrator usługi |
| Nie wygasaj haseł | Najemca | Podgląd | Tak | Globalny administrator usługi |
| Włącz synchronizację skrótów haseł, jeśli używasz rozwiązania hybrydowego | Najemca | Ogólnie dostępne | Tak | Administrator tożsamości hybrydowej |
| Włącz zasady blokowania starszego uwierzytelniania | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Włączanie samoobsługowego resetowania hasła | Użytkownicy | Podgląd | Tak | Administrator zasad uwierzytelniania |
| Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe | Użytkownicy | Podgląd | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Długoterminowe dane uwierzytelniające w aplikacjach | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
| Migracja aplikacji z usług AD FS do Microsoft Entra ID | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej |
| Przenieś aplikacje z wycofywanych interfejsów API Azure AD Graph do Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie z ADAL do MSAL | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji |
| Migrowanie z serwera MFA do usługi Microsoft Entra MFA | Najemca | Dostępne ogólnie | Nie | Globalny administrator usługi |
| Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do usługi Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie do aplikacji Microsoft Authenticator | Użytkownicy | Podgląd | Nie | Globalny administrator usługi |
| Minimalizowanie monitów uwierzytelniania wieloskładnikowego ze znanych urządzeń | Użytkownicy | Ogólnie dostępne | Nie | Globalny administrator usługi |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Chroń swoje dzierżawy za pomocą polityki dostępu warunkowego w przypadku ryzyka wewnętrznego | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Usuwanie uprawnień naduprzywilejowanych dla aplikacji | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
| Usuwanie nieużywanych aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Usuwanie nieużywanych poświadczeń z aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Usuwanie nieużywanych identyfikatorów URI przekierowania w konfiguracji aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń jednostki usługi | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu | Użytkownicy | Podgląd | Nie | Administrator zarządzania tożsamością |
| Zabezpiecz i zarządzaj swoimi aplikacjami dzięki automatycznej aprowizacji użytkowników i grup. | Aplikacje | Podgląd | Nie | Administrator aplikacji, administrator zarządzania IT |
| Zaktualizuj niepoprawnie skonfigurowaną grupę odbiorców logowania w aplikacji wielodostępnej | Aplikacje | Podgląd | Teraz | Administrator aplikacji |
| Używanie ról administracyjnych o najniższych uprawnieniach | Użytkownicy | Podgląd | Tak | Administrator ról uprzywilejowanych |
| Weryfikowanie wydawcy aplikacji | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.
Wskaźnik bezpieczeństwa tożsamości
Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Listę zaleceń można filtrować tylko do zaleceń dotyczących wskaźnika bezpieczeństwa tożsamości przy użyciu karty filtru Security. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń.
Te wyniki sumuje się w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Czy rekomendacje firmy Microsoft Entra są związane z usługą Azure Advisor?
Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.
Rekomendacje dotyczące Microsoft Entra wykorzystują podobne dane, aby pomóc Ci we wdrażaniu najlepszych praktyk firmy Microsoft oraz zarządzaniu nimi dla dzierżawców Microsoft Entra, aby utrzymać ich w bezpiecznym i dobrym stanie. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.
Powiadomienia e-mail (wersja zapoznawcza)
Rekomendacje Microsoft Entra teraz generują powiadomienia e-mail, gdy zostanie wygenerowane nowe zalecenie. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.
Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.