Co to są rekomendacje firmy Microsoft Entra?
Śledzenie wszystkich ustawień i zasobów w dzierżawie może być przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że dzierżawa jest w bezpiecznym i zdrowym stanie, a jednocześnie pomaga zmaksymalizować wartość funkcji dostępnych w identyfikatorze Entra firmy Microsoft.
Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te zalecenia zapewniają podobny wgląd w zabezpieczenia dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:
- Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
- Popraw stan dzierżawy firmy Microsoft Entra.
- Zoptymalizuj konfiguracje dla Twoich scenariuszy.
Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.
Jak to działa?
Na co dzień identyfikator Firmy Microsoft Entra analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, zalecenie zostanie wyświetlone w sekcji Zalecenia w obszarze przeglądu tożsamości firmy Microsoft Entra. Zalecenia są wymienione w kolejności priorytetu, dzięki czemu można szybko określić, gdzie należy się skupić.
Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Te wyniki są dodawane w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby, których to dotyczy, są wyświetlane skojarzone z zaleceniem, dzięki czemu można rozwiązać każdy obszar, którego dotyczy problem. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.
Zalecenia dotyczące dostępności i wymagań dotyczących licencji
Zalecenia wymienione w poniższej tabeli są obecnie dostępne w publicznej wersji zapoznawczej lub ogólnie dostępne. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera zasoby, których dotyczy ten wpływ, i linki do dostępnej dokumentacji.
Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.
Czy rekomendacje firmy Microsoft Entra są związane z usługą Azure Advisor?
Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.
Rekomendacje firmy Microsoft Entra korzystają z podobnych danych, aby umożliwić Ci wdrażanie najlepszych rozwiązań firmy Microsoft i zarządzanie nimi dla dzierżaw firmy Microsoft Entra w celu zachowania bezpieczeństwa i dobrej kondycji dzierżawy. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.
Powiadomienia e-mail (wersja zapoznawcza)
Rekomendacje firmy Microsoft generują teraz powiadomienia e-mail po wygenerowaniu nowego zalecenia. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.
W poniższej tabeli wymieniono wbudowane role firmy Microsoft, które odbierają powiadomienia e-mail dla każdej rekomendacji:
Tytuł zalecenia | Role docelowe |
---|---|
Przestarzałe program AAD Connect | Administrator tożsamości hybrydowej |
Konwertowanie uwierzytelniania wieloskładnikowego dla użytkownika na uwierzytelnianie wieloskładnikowe dostępu warunkowego | Administrator zabezpieczeń |
Wyznaczanie więcej niż jednego administratora globalnego | Globalny administrator usługi |
Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje | Globalny administrator usługi |
Nie wygasaj haseł | Globalny administrator usługi |
Włączanie synchronizacji skrótów haseł w przypadku użycia hybrydowego | Administrator tożsamości hybrydowej |
Włączanie zasad w celu blokowania starszego uwierzytelniania | Administrator dostępu warunkowego, administrator zabezpieczeń |
Włączanie samoobsługowego resetowania hasła | Administrator zasad uwierzytelniania |
Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe | Administrator dostępu warunkowego, administrator zabezpieczeń |
Długotrwałe poświadczenia w aplikacjach | Globalny administrator usługi |
Migrowanie aplikacji z wycofywania interfejsów API programu Azure AD Graph do programu Microsoft Graph | Administrator aplikacji |
Migrowanie aplikacji z usług AD FS do identyfikatora entra firmy Microsoft | Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej |
Migrowanie metod uwierzytelniania poza starszymi zasadami samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego | Globalny administrator usługi |
Migrowanie z biblioteki ADAL do biblioteki MSAL | Administrator aplikacji |
Migrowanie z serwera MFA do usługi Microsoft Entra MFA | Globalny administrator usługi |
Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do programu Microsoft Graph | Administrator aplikacji |
Przechowywanie wersji programu MS Graph | Globalny administrator usługi |
Optymalizowanie uwierzytelniania wieloskładnikowego dzierżawy | Administrator zabezpieczeń |
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem | Administrator dostępu warunkowego, administrator zabezpieczeń |
Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem | Administrator dostępu warunkowego, administrator zabezpieczeń |
Ochrona dzierżawy za pomocą zasad dostępu warunkowego ryzyka niejawnego | Administrator dostępu warunkowego, administrator zabezpieczeń |
Usuwanie uprawnień naduprzywilejowanych dla aplikacji | Globalny administrator usługi |
Usuwanie nieużywanych aplikacji | Administrator aplikacji |
Usuwanie nieużywanych poświadczeń z aplikacji | Administrator aplikacji |
Odnawianie wygasających poświadczeń aplikacji | Administrator aplikacji |
Odnawianie wygasających poświadczeń dla jednostek usługi | Administrator aplikacji |
Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych | Administrator dostępu warunkowego, administrator zabezpieczeń |
Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu | Administrator ładu tożsamości |
Zabezpieczanie i zarządzanie aplikacjami dzięki automatycznej aprowizacji użytkowników i grup | Administrator aplikacji, administrator ładu IT |
Używanie ról administracyjnych o najniższych uprawnieniach | Administrator ról uprzywilejowanych |
Weryfikowanie wydawcy aplikacji | Globalny administrator usługi |
Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.