Co to są rekomendacje firmy Microsoft Entra?
Śledzenie wszystkich ustawień i zasobów w dzierżawie może być przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że dzierżawa jest w bezpiecznym i zdrowym stanie, a jednocześnie pomaga zmaksymalizować wartość funkcji dostępnych w identyfikatorze Entra firmy Microsoft.
Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te zalecenia zapewniają podobny wgląd w zabezpieczenia dzierżawy. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:
- Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
- Popraw stan dzierżawy firmy Microsoft Entra.
- Zoptymalizuj konfiguracje dla Twoich scenariuszy.
Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.
Jak to działa?
Na co dzień identyfikator Firmy Microsoft Entra analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, zalecenie zostanie wyświetlone w sekcji Zalecenia w obszarze przeglądu tożsamości firmy Microsoft Entra.
Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby, których to dotyczy, są wyświetlane skojarzone z zaleceniem, dzięki czemu można rozwiązać każdy obszar, którego dotyczy problem. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.
Tabela przeglądu zaleceń
Zalecenia wymienione w poniższej tabeli są obecnie dostępne w wersji zapoznawczej dla ogółu lub w ogólnej dostępności, obejmują typy zasobów, których dotyczą te zalecenia, oraz więcej. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera linki do dostępnej dokumentacji dla tych zaleceń, które wymagały oddzielnych wskazówek.
| Zalecenie | Zasoby objęte wpływem | Dostępność | Wskaźnik bezpieczeństwa tożsamości | Role docelowe dla powiadomień e-mail |
|---|---|---|---|---|
| Przestarzałe program AAD Connect | Najemca | Podgląd | Nie | Administrator tożsamości hybrydowej |
| Konwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe dostępu warunkowego | Użytkownicy | Ogólnie dostępne | Nie | Administrator zabezpieczeń |
| Wyznaczanie więcej niż jednego administratora globalnego | Użytkownicy | Ogólnie dostępne | Tak | Globalny administrator usługi |
| Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje | Najemca | Podgląd | Tak | Globalny administrator usługi |
| Nie wygasaj haseł | Najemca | Podgląd | Tak | Globalny administrator usługi |
| Włączanie synchronizacji skrótów haseł w przypadku użycia hybrydowego | Najemca | Ogólnie dostępne | Tak | Administrator tożsamości hybrydowej |
| Włączanie zasad w celu blokowania starszego uwierzytelniania | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Włączanie samoobsługowego resetowania hasła | Użytkownicy | Podgląd | Tak | Administrator zasad uwierzytelniania |
| Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe | Użytkownicy | Podgląd | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Długotrwałe poświadczenia w aplikacjach | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
| Migrowanie aplikacji z usług AD FS do identyfikatora entra firmy Microsoft | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej |
| Przenieś aplikacje z kończących się interfejsów API Azure AD Graph do Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie z biblioteki ADAL do biblioteki MSAL | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji |
| Migrowanie z serwera MFA do usługi Microsoft Entra MFA | Najemca | Ogólna dostępność | Nie | Globalny administrator usługi |
| Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do usługi Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie do aplikacji Microsoft Authenticator | Użytkownicy | Podgląd | Nie | Globalny administrator usługi |
| Minimalizowanie monitów uwierzytelniania wieloskładnikowego ze znanych urządzeń | Użytkownicy | Ogólnie dostępne | Nie | Globalny administrator usługi |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| ochrona dzierżawy przy użyciu zasad dostępu warunkowego ryzyka dla niejawnych testerów | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Usuwanie uprawnień naduprzywilejowanych dla aplikacji | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
| Usuwanie nieużywanych aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Usuwanie nieużywanych poświadczeń z aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Usuwanie nieużywanych identyfikatorów URI przekierowania w konfiguracji aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń jednostki usługi | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu | Użytkownicy | Podgląd | Nie | Administrator ładu tożsamości |
| Zabezpieczanie i zarządzanie aplikacjami dzięki automatycznej aprowizacji użytkowników i grup | Aplikacje | Podgląd | Nie | Administrator aplikacji, administrator ładu IT |
| Aktualizowanie niepoprawnie skonfigurowanej grupy odbiorców logowania aplikacji wielodostępnej | Aplikacje | Podgląd | Teraz | Administrator aplikacji |
| Używanie ról administracyjnych o najniższych uprawnieniach | Użytkownicy | Podgląd | Tak | Administrator ról uprzywilejowanych |
| Weryfikowanie wydawcy aplikacji | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.
Wskaźnik bezpieczeństwa tożsamości
Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Listę zaleceń można filtrować tylko do zaleceń dotyczących wskaźnika bezpieczeństwa tożsamości przy użyciu karty filtru Security. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń.
Te wyniki sumuje się w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Czy rekomendacje firmy Microsoft Entra są związane z usługą Azure Advisor?
Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.
Rekomendacje firmy Microsoft Entra korzystają z podobnych danych, aby umożliwić Ci wdrażanie najlepszych rozwiązań firmy Microsoft i zarządzanie nimi dla dzierżaw firmy Microsoft Entra w celu zachowania bezpieczeństwa i dobrej kondycji dzierżawy. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.
Powiadomienia e-mail (wersja zapoznawcza)
Rekomendacje firmy Microsoft generują teraz powiadomienia e-mail po wygenerowaniu nowego zalecenia. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.
Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.