Udostępnij za pośrednictwem


Co to są rekomendacje firmy Microsoft Entra?

Śledzenie wszystkich ustawień i zasobów w dzierżawie może być przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że dzierżawa jest w bezpiecznym i zdrowym stanie, a jednocześnie pomaga zmaksymalizować wartość funkcji dostępnych w identyfikatorze Entra firmy Microsoft.

Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te zalecenia zapewniają podobny wgląd w zabezpieczenia dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.

Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:

  • Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
  • Popraw stan dzierżawy firmy Microsoft Entra.
  • Zoptymalizuj konfiguracje dla Twoich scenariuszy.

Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.

Jak to działa?

Na co dzień identyfikator Firmy Microsoft Entra analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, zalecenie zostanie wyświetlone w sekcji Zalecenia w obszarze przeglądu tożsamości firmy Microsoft Entra. Zalecenia są wymienione w kolejności priorytetu, dzięki czemu można szybko określić, gdzie należy się skupić.

Zrzut ekranu przedstawiający stronę Przegląd dzierżawy z wyróżnioną opcją Zalecenia.

Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Te wyniki są dodawane w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.

Zrzut ekranu przedstawiający wskaźnik bezpieczeństwa tożsamości.

Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby, których to dotyczy, są wyświetlane skojarzone z zaleceniem, dzięki czemu można rozwiązać każdy obszar, którego dotyczy problem. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.

Zalecenia dotyczące dostępności i wymagań dotyczących licencji

Zalecenia wymienione w poniższej tabeli są obecnie dostępne w publicznej wersji zapoznawczej lub ogólnie dostępne. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera zasoby, których dotyczy ten wpływ, i linki do dostępnej dokumentacji.

Zalecenie Zasoby objęte wpływem Wymagana licencja Dostępność
Włączanie ochrony adaptacyjnej usługi Microsoft Purview i warunku ryzyka niejawnego w dostępie warunkowym Użytkownicy Microsoft Entra Premium P2 Ogólnie dostępne
Konwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe dostępu warunkowego Użytkownicy Wszystkie licencje Ogólnie dostępne
Migrowanie aplikacji z usług AD FS do identyfikatora entra firmy Microsoft Aplikacje Wszystkie licencje Ogólnie dostępne
Migrowanie aplikacji i jednostek usługi z programu Azure AD Graph do programu Microsoft Graph Aplikacje Wszystkie licencje Publiczna wersja zapoznawcza
Migrowanie z biblioteki ADAL do biblioteki MSAL Aplikacje Wszystkie licencje Ogólnie dostępne
Migrowanie z serwera MFA do usługi Microsoft Entra MFA Poziom dzierżawy Wszystkie licencje Ogólna dostępność
Migrowanie do aplikacji Microsoft Authenticator Użytkownicy Wszystkie licencje Podgląd
Minimalizowanie monitów uwierzytelniania wieloskładnikowego ze znanych urządzeń Użytkownicy Wszystkie licencje Ogólnie dostępne
Usuwanie nieużywanych aplikacji Aplikacje Tożsamość obciążeń Microsoft Entra Premium Publiczna wersja zapoznawcza
Usuwanie nieużywanych poświadczeń z aplikacji Aplikacje Tożsamość obciążeń Microsoft Entra Premium Publiczna wersja zapoznawcza
Odnawianie wygasających poświadczeń aplikacji Aplikacje Tożsamość obciążeń Microsoft Entra Premium Publiczna wersja zapoznawcza
Odnawianie wygasających poświadczeń jednostki usługi Aplikacje Tożsamość obciążeń Microsoft Entra Premium Publiczna wersja zapoznawcza

Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.

Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.

Rekomendacje firmy Microsoft Entra korzystają z podobnych danych, aby umożliwić Ci wdrażanie najlepszych rozwiązań firmy Microsoft i zarządzanie nimi dla dzierżaw firmy Microsoft Entra w celu zachowania bezpieczeństwa i dobrej kondycji dzierżawy. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.

Powiadomienia e-mail (wersja zapoznawcza)

Rekomendacje firmy Microsoft generują teraz powiadomienia e-mail po wygenerowaniu nowego zalecenia. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.

W poniższej tabeli wymieniono wbudowane role firmy Microsoft, które odbierają powiadomienia e-mail dla każdej rekomendacji:

Tytuł zalecenia Role docelowe
Przestarzałe program AAD Connect Administrator tożsamości hybrydowej
Konwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe dostępu warunkowego Administrator zabezpieczeń
Wyznaczanie więcej niż jednego administratora globalnego Globalny administrator usługi
Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje Globalny administrator usługi
Nie wygasaj haseł Globalny administrator usługi
Włączanie synchronizacji skrótów haseł w przypadku użycia hybrydowego Administrator tożsamości hybrydowej
Włączanie zasad w celu blokowania starszego uwierzytelniania Administrator dostępu warunkowego, administrator zabezpieczeń
Włączanie samoobsługowego resetowania hasła Administrator zasad uwierzytelniania
Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe Administrator dostępu warunkowego, administrator zabezpieczeń
Długotrwałe poświadczenia w aplikacjach Globalny administrator usługi
Migrowanie aplikacji z wycofywania interfejsów API programu Azure AD Graph do programu Microsoft Graph Administrator aplikacji
Migrowanie aplikacji z usług AD FS do identyfikatora entra firmy Microsoft Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej
Migrowanie metod uwierzytelniania poza starszymi zasadami samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego Globalny administrator usługi
Migrowanie z biblioteki ADAL do biblioteki MSAL Administrator aplikacji
Migrowanie z serwera MFA do usługi Microsoft Entra MFA Globalny administrator usługi
Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do programu Microsoft Graph Administrator aplikacji
Przechowywanie wersji programu MS Graph Globalny administrator usługi
Optymalizowanie uwierzytelniania wieloskładnikowego dzierżawy Administrator zabezpieczeń
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem Administrator dostępu warunkowego, administrator zabezpieczeń
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem Administrator dostępu warunkowego, administrator zabezpieczeń
Ochrona dzierżawy za pomocą zasad dostępu warunkowego ryzyka niejawnego Administrator dostępu warunkowego, administrator zabezpieczeń
Usuwanie uprawnień naduprzywilejowanych dla aplikacji Globalny administrator usługi
Usuwanie nieużywanych aplikacji Administrator aplikacji
Usuwanie nieużywanych poświadczeń z aplikacji Administrator aplikacji
Odnawianie wygasających poświadczeń aplikacji Administrator aplikacji
Odnawianie wygasających poświadczeń dla jednostek usługi Administrator aplikacji
Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych Administrator dostępu warunkowego, administrator zabezpieczeń
Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu Administrator ładu tożsamości
Zabezpieczanie i zarządzanie aplikacjami dzięki automatycznej aprowizacji użytkowników i grup Administrator aplikacji, administrator ładu IT
Używanie ról administracyjnych o najniższych uprawnieniach Administrator ról uprzywilejowanych
Weryfikowanie wydawcy aplikacji Globalny administrator usługi

Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.