O que são as recomendações do Microsoft Entra?
Acompanhar todas as configurações e recursos no locatário pode ser desgastante. O recurso de recomendações do Microsoft Entra ajuda a monitorar o status do locatário para que você não precise fazer isso. Estas recomendações ajudam a garantir a segurança e integridade do locatário enquanto também ajudam a maximizar o valor dos recursos disponíveis no Microsoft Entra ID.
As recomendações do Microsoft Entra agora incluem as recomendações de Classificação de Segurança de Identidade. Essas recomendações fornecem insights semelhantes sobre a segurança do seu locatário. Para obter mais informações, veja O que é a Classificação de Segurança de Identidade.
Todas essas recomendações do Microsoft Entra fornecem insights personalizados com diretrizes acionáveis para:
- Ajudar a identificar oportunidades para implementar melhores práticas para recursos relacionados ao Microsoft Entra.
- Melhorar o estado do seu locatário do Microsoft Entra.
- Otimizar as configurações para seus cenários.
Este artigo fornece uma visão geral de como você pode usar as recomendações do Microsoft Entra.
Como funciona
Diariamente, o Microsoft Entra ID analisa a configuração do seu locatário. Durante essa análise, o Microsoft Entra ID compara a configuração do seu locatário com as práticas recomendadas de segurança e os dados de recomendação. Se uma recomendação for sinalizada conforme aplicável ao seu locatário, a recomendação aparecerá na seção Recomendações da área de visão geral de identidade do Microsoft Entra.
Cada recomendação contém uma descrição, um resumo do valor de abordagem da recomendação e um plano de ação passo a passo. Se for aplicável, os recursos afetados associados à recomendação serão listados, para que você possa resolver cada área afetada. Se uma recomendação não tiver qualquer recurso associado, o tipo de recurso afetado será do Nível de locatário, então seu plano de ação passo a passo afeta todo o locatário e não apenas um recurso específico.
Tabela de visão geral de recomendações
As recomendações listadas na tabela a seguir estão disponíveis atualmente em versão prévia pública ou disponibilidade geral os tipos de recursos abordados pela recomendação e muito mais. Os requisitos de licença para recomendações na versão prévia pública podem variar. A tabela fornece links para a documentação disponível para as recomendações que exigiam diretrizes separadas.
| Recomendação | Recursos afetados | Disponibilidade | Classificação de segurança de identidade | Funções de destino para notificações por email |
|---|---|---|---|---|
| AAD Connect preterido | Inquilino | Versão Prévia | Não | Administrador de identidade híbrida |
| Converter a MFA por usuário para a MFA de acesso condicional | Usuários | Disponível para o público geral | Não | Administrador de Segurança |
| Criar mais de um administrador global | Usuários | Disponível para o público geral | Sim | Administrador Global |
| Não permitir que os usuários concedam consentimento a aplicativos não confiáveis | Inquilino | Versão Prévia | Sim | Administrador Global |
| Não expirar senhas | Inquilino | Versão Prévia | Sim | Administrador Global |
| Habilitar sincronização de hash de senha se for híbrida | Inquilino | Disponível para o público geral | Sim | Administrador de identidade híbrida |
| Habilite a política para bloquear a autenticação herdada | Usuários | Disponível para o público geral | Sim | Administrador de acesso condicional, administrador da segurança |
| Habilitar a redefinição de senha self-service | Usuários | Versão Prévia | Sim | Administrador de Política de Autenticação |
| Garantir que todos os usuários possam concluir a autenticação multifator | Usuários | Versão Prévia | Sim | Administrador de acesso condicional, administrador da segurança |
| Credenciais de longa duração em aplicativos | Aplicativos | Versão Prévia | Não | Administrador Global |
| Migrar os aplicativos do AD FS para o Microsoft Entra ID | Aplicativos | Disponível para o público geral | Não | Administrador de aplicativos, administrador de autenticação, administrador de identidade híbrida |
| Migrar aplicativos das APIs de desativação do Azure AD Graph para o Microsoft Graph | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Migrar de ADAL para MSAL | Aplicativos | Disponível para o público geral | Não | Administrador de aplicativos |
| Migrar do servidor MFA para a MFA do Microsoft Entra | Inquilino | Disponibilidade Geral | Não | Administrador Global |
| Migrar entidades de serviço das APIs do Azure AD Graph que estão sendo removidas para o Microsoft Graph | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Migrar para o Microsoft Authenticator | Usuários | Versão Prévia | Não | Administrador Global |
| Minimizar prompts de MFA de dispositivos conhecidos | Usuários | Disponível para o público geral | Não | Administrador Global |
| Proteger todos os usuários com uma política de risco de entrada | Usuários | Disponível para o público geral | Sim | Administrador de acesso condicional, administrador da segurança |
| Proteger todos os usuários com uma política de risco do usuário | Usuários | Disponível para o público geral | Sim | Administrador de acesso condicional, administrador da segurança |
| Proteger seu locatário com a política de acesso condicional do Risco Interno | Usuários | Disponível para o público geral | Sim | Administrador de acesso condicional, administrador da segurança |
| Remover permissões com privilégios excessivos para seus aplicativos | Aplicativos | Versão Prévia | Não | Administrador Global |
| Remover aplicativos não utilizados | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Remover credenciais não utilizadas dos aplicativos | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Remover URIs de redirecionamento não utilizados na configuração do aplicativo | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Renovar as credenciais expiradas do aplicativo | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Renovar as credenciais expiradas da entidade de serviço | Aplicativos | Versão Prévia | Não | Administrador de aplicativos |
| Exigir MFA para funções administrativas | Usuários | Disponível para o público geral | Sim | Administrador de acesso condicional, administrador da segurança |
| Revisar usuários inativos com revisões de acesso | Usuários | Versão Prévia | Não | Administrador de governança de identidade |
| Proteja e controle seus aplicativos com provisionamento automático de usuários e grupos | Aplicativos | Versão Prévia | Não | Administrador de Aplicativos, Administrador de Governança de TI |
| Atualizar o público-alvo de entrada do aplicativo multilocatário configurado incorretamente | Aplicativos | Versão Prévia | Agora | Administrador de aplicativos |
| Usar funções administrativas com privilégios mínimos | Usuários | Versão Prévia | Sim | Administrador de Função com Privilégios |
| Verificar o editor do aplicativo | Aplicativos | Versão Prévia | Não | Administrador Global |
O Microsoft Entra exibe apenas as recomendações que se aplicam ao seu locatário, portanto, talvez você não veja todas as recomendações com suporte listadas.
Classificação de segurança de identidade
Sua Classificação de Segurança de Identidade, que aparece na parte superior da página, é uma representação numérica da integridade do seu locatário. As recomendações que se aplicam à classificação de segurança de identidade recebem pontuações individuais na tabela na parte inferior da página. Você pode filtrar a lista de recomendações para apenas as recomendações da Classificação de Segurança de Identidade usando o cartão de filtro de Segurança. As recomendações de Classificação de Segurança de Identidade incluem pontos de classificação de segurança, que são calculados como uma pontuação geral com base em vários fatores de segurança.
Essas pontuações se somam para gerar sua Pontuação de Segurança de Identidade. Para obter mais informações, veja O que é a Classificação de Segurança de Identidade.
As recomendações do Microsoft Entra estão relacionadas ao Assistente do Azure?
O recurso de recomendações do Microsoft Entra é a implementação específica do Microsoft Entra do Assistente do Azure, que é um consultor de nuvem personalizado que ajuda você a seguir as melhores práticas para otimizar suas implantações do Azure. O Assistente do Azure analisa os dados de uso e a configuração do recurso para recomendar soluções que podem ajudar você a melhorar a economia, o desempenho, a confiabilidade e a segurança de seus recursos do Azure.
As recomendações do Microsoft Entra utilizam dados semelhantes para dar suporte à implantação e ao gerenciamento das melhores práticas da Microsoft para locatários do Microsoft Entra para manter seu locatário em um estado seguro e íntegro. O recurso de recomendações do Microsoft Entra oferecem uma visão holística sobre segurança, integridade e uso de seu locatário.
Notificações por email (versão prévia)
As recomendações do Microsoft Entra agora geram notificações por email quando uma nova recomendação é gerada. Esse novo recurso de visualização envia emails para um conjunto predeterminado de funções para cada recomendação. Por exemplo, as recomendações associadas à integridade dos aplicativos do locatário são enviadas aos usuários que têm a função de Administrador de Aplicativos.
Se sua organização estiver usando o PIM (Privileged Identity Management), os destinatários deverão ser elevados à função indicada para receber a notificação por email. Se ninguém estiver ativamente atribuído à função, nenhum email será enviado. Por esse motivo, recomendamos verificar as recomendações regularmente para garantir que você esteja ciente de novas recomendações.