Udostępnij za pośrednictwem


Co to są rekomendacje firmy Microsoft Entra?

Śledzenie wszystkich ustawień i zasobów w dzierżawie może być przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że dzierżawa jest w bezpiecznym i zdrowym stanie, a jednocześnie pomaga zmaksymalizować wartość funkcji dostępnych w identyfikatorze Entra firmy Microsoft.

Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te zalecenia zapewniają podobny wgląd w zabezpieczenia dzierżawy. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.

Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:

  • Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
  • Popraw stan dzierżawy firmy Microsoft Entra.
  • Zoptymalizuj konfiguracje dla Twoich scenariuszy.

Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.

Jak to działa?

Na co dzień identyfikator Firmy Microsoft Entra analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, zalecenie zostanie wyświetlone w sekcji Zalecenia w obszarze przeglądu tożsamości firmy Microsoft Entra.

Zrzut ekranu przedstawiający stronę Przegląd dzierżawy z wyróżnioną opcją Zalecenia.

Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby, których to dotyczy, są wyświetlane skojarzone z zaleceniem, dzięki czemu można rozwiązać każdy obszar, którego dotyczy problem. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.

Tabela przeglądu zaleceń

Zalecenia wymienione w poniższej tabeli są obecnie dostępne w wersji zapoznawczej dla ogółu lub w ogólnej dostępności, obejmują typy zasobów, których dotyczą te zalecenia, oraz więcej. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera linki do dostępnej dokumentacji dla tych zaleceń, które wymagały oddzielnych wskazówek.

Zalecenie Zasoby objęte wpływem Dostępność Wskaźnik bezpieczeństwa tożsamości Role docelowe dla powiadomień e-mail
Przestarzałe program AAD Connect Najemca Podgląd Nie Administrator tożsamości hybrydowej
Konwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe dostępu warunkowego Użytkownicy Ogólnie dostępne Nie Administrator zabezpieczeń
Wyznaczanie więcej niż jednego administratora globalnego Użytkownicy Ogólnie dostępne Tak Globalny administrator usługi
Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje Najemca Podgląd Tak Globalny administrator usługi
Nie wygasaj haseł Najemca Podgląd Tak Globalny administrator usługi
Włączanie synchronizacji skrótów haseł w przypadku użycia hybrydowego Najemca Ogólnie dostępne Tak Administrator tożsamości hybrydowej
Włączanie zasad w celu blokowania starszego uwierzytelniania Użytkownicy Ogólnie dostępne Tak Administrator dostępu warunkowego, administrator zabezpieczeń
Włączanie samoobsługowego resetowania hasła Użytkownicy Podgląd Tak Administrator zasad uwierzytelniania
Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe Użytkownicy Podgląd Tak Administrator dostępu warunkowego, administrator zabezpieczeń
Długotrwałe poświadczenia w aplikacjach Aplikacje Podgląd Nie Globalny administrator usługi
Migrowanie aplikacji z usług AD FS do identyfikatora entra firmy Microsoft Aplikacje Ogólnie dostępne Nie Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej
Przenieś aplikacje z kończących się interfejsów API Azure AD Graph do Microsoft Graph Aplikacje Podgląd Nie Administrator aplikacji
Migrowanie z biblioteki ADAL do biblioteki MSAL Aplikacje Ogólnie dostępne Nie Administrator aplikacji
Migrowanie z serwera MFA do usługi Microsoft Entra MFA Najemca Ogólna dostępność Nie Globalny administrator usługi
Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do usługi Microsoft Graph Aplikacje Podgląd Nie Administrator aplikacji
Migrowanie do aplikacji Microsoft Authenticator Użytkownicy Podgląd Nie Globalny administrator usługi
Minimalizowanie monitów uwierzytelniania wieloskładnikowego ze znanych urządzeń Użytkownicy Ogólnie dostępne Nie Globalny administrator usługi
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem Użytkownicy Ogólnie dostępne Tak Administrator dostępu warunkowego, administrator zabezpieczeń
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem Użytkownicy Ogólnie dostępne Tak Administrator dostępu warunkowego, administrator zabezpieczeń
ochrona dzierżawy przy użyciu zasad dostępu warunkowego ryzyka dla niejawnych testerów Użytkownicy Ogólnie dostępne Tak Administrator dostępu warunkowego, administrator zabezpieczeń
Usuwanie uprawnień naduprzywilejowanych dla aplikacji Aplikacje Podgląd Nie Globalny administrator usługi
Usuwanie nieużywanych aplikacji Aplikacje Podgląd Nie Administrator aplikacji
Usuwanie nieużywanych poświadczeń z aplikacji Aplikacje Podgląd Nie Administrator aplikacji
Usuwanie nieużywanych identyfikatorów URI przekierowania w konfiguracji aplikacji Aplikacje Podgląd Nie Administrator aplikacji
Odnawianie wygasających poświadczeń aplikacji Aplikacje Podgląd Nie Administrator aplikacji
Odnawianie wygasających poświadczeń jednostki usługi Aplikacje Podgląd Nie Administrator aplikacji
Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych Użytkownicy Ogólnie dostępne Tak Administrator dostępu warunkowego, administrator zabezpieczeń
Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu Użytkownicy Podgląd Nie Administrator ładu tożsamości
Zabezpieczanie i zarządzanie aplikacjami dzięki automatycznej aprowizacji użytkowników i grup Aplikacje Podgląd Nie Administrator aplikacji, administrator ładu IT
Aktualizowanie niepoprawnie skonfigurowanej grupy odbiorców logowania aplikacji wielodostępnej Aplikacje Podgląd Teraz Administrator aplikacji
Używanie ról administracyjnych o najniższych uprawnieniach Użytkownicy Podgląd Tak Administrator ról uprzywilejowanych
Weryfikowanie wydawcy aplikacji Aplikacje Podgląd Nie Globalny administrator usługi

Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.

Wskaźnik bezpieczeństwa tożsamości

Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Listę zaleceń można filtrować tylko do zaleceń dotyczących wskaźnika bezpieczeństwa tożsamości przy użyciu karty filtru Security. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń.

Te wyniki sumuje się w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.

Zrzut ekranu przedstawiający wskaźnik bezpieczeństwa tożsamości.

Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.

Rekomendacje firmy Microsoft Entra korzystają z podobnych danych, aby umożliwić Ci wdrażanie najlepszych rozwiązań firmy Microsoft i zarządzanie nimi dla dzierżaw firmy Microsoft Entra w celu zachowania bezpieczeństwa i dobrej kondycji dzierżawy. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.

Powiadomienia e-mail (wersja zapoznawcza)

Rekomendacje firmy Microsoft generują teraz powiadomienia e-mail po wygenerowaniu nowego zalecenia. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.

Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.