Поделиться через


Что такое рекомендации Microsoft Entra?

Отслеживание всех параметров и ресурсов в клиенте может оказаться подавляющим. Функция рекомендаций Microsoft Entra помогает отслеживать состояние клиента, поэтому вам не нужно. Эти рекомендации помогают гарантировать, что клиент находится в безопасном и работоспособном состоянии, а также помогает максимально повысить ценность функций, доступных в идентификаторе Microsoft Entra.

Рекомендации Microsoft Entra теперь включают рекомендации по оценке безопасности удостоверений. Эти рекомендации предоставляют аналогичные аналитические сведения о безопасности вашего клиента. Рекомендации по оценке безопасности удостоверений включают очки оценки безопасности, которые вычисляются как общая оценка на основе нескольких факторов безопасности. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".

Все эти рекомендации Microsoft Entra предоставляют персонализированные аналитические сведения с практическими рекомендациями:

  • Помогите определить возможности реализации рекомендаций для связанных функций Microsoft Entra.
  • Улучшение состояния клиента Microsoft Entra.
  • Оптимизируйте конфигурации для сценариев.

В этой статье представлен обзор использования рекомендаций Microsoft Entra.

Как это работает?

На ежедневной основе идентификатор Microsoft Entra анализирует конфигурацию клиента. Во время этого анализа идентификатор Microsoft Entra сравнивает конфигурацию клиента с рекомендациями по безопасности и данными рекомендаций. Если рекомендация помечена как применимой к клиенту, эта рекомендация отображается в разделе "Рекомендации " области обзора удостоверений Microsoft Entra. Рекомендации перечислены в порядке приоритета, чтобы быстро определить, где сначала сосредоточиться.

Снимок экрана: страница обзора клиента с выделенным параметром

Оценка безопасности удостоверений, которая отображается в верхней части страницы, представляет собой числовое представление работоспособности вашего клиента. Рекомендации, применяемые к оценке безопасности удостоверений, предоставляются отдельные оценки в таблице в нижней части страницы. Эти оценки добавляются для создания оценки безопасности удостоверений. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".

Снимок экрана: оценка безопасности удостоверений.

Каждая рекомендация содержит описание, сводку по значению решения этой рекомендации и пошаговый план действий. Если применимо, затронутые ресурсы, связанные с рекомендацией, перечислены, чтобы можно было разрешить каждую затронутую область. Если рекомендация не имеет связанных ресурсов, то затронутый тип ресурса — уровень клиента, поэтому план действий пошагового действия влияет на весь клиент, а не только на определенный ресурс.

Требования к доступности рекомендаций и лицензии

Рекомендации, перечисленные в следующей таблице, в настоящее время доступны в общедоступной предварительной версии или общедоступной доступности. Требования к лицензии для рекомендаций в общедоступной предварительной версии могут быть изменены. Таблица предоставляет затронутые ресурсы и ссылки на доступную документацию.

Рекомендация Затронутые ресурсы Необходимая лицензия Availability
Включение адаптивной защиты Microsoft Purview и условия предварительного риска в условном доступе Пользователи Microsoft Entra Premium P2 Общедоступная версия
Преобразование MFA на пользователя в MFA условного доступа Пользователи Все лицензии Общедоступная версия
Перенос приложений из AD FS в идентификатор Microsoft Entra Приложения Все лицензии Общедоступная версия
Перенос приложений и субъектов-служб из Azure AD Graph в Microsoft Graph Приложения Все лицензии Общедоступная предварительная версия
Миграция из ADAL в MSAL Приложения Все лицензии Общедоступная версия
Миграция с сервера MFA на MFA Microsoft Entra MFA Уровень клиента Все лицензии Общедоступная версия
Миграция в Microsoft Authenticator Пользователи Все лицензии Предварительный просмотр
Минимизация запросов MFA с известных устройств Пользователи Все лицензии Общедоступная версия
Удаление неиспользуемых приложений Приложения Идентификация рабочей нагрузки Microsoft Entra Premium Общедоступная предварительная версия
Удаление неиспользуемых учетных данных из приложений Приложения Идентификация рабочей нагрузки Microsoft Entra Premium Общедоступная предварительная версия
Продление учетных данных приложения с истекающим сроком действия Приложения Идентификация рабочей нагрузки Microsoft Entra Premium Общедоступная предварительная версия
Продление учетных данных субъекта-службы с истекающим сроком действия Приложения Идентификация рабочей нагрузки Microsoft Entra Premium Общедоступная предварительная версия

Microsoft Entra отображает только рекомендации, которые применяются к вашему клиенту, поэтому могут не отображаться все поддерживаемые рекомендации.

Функция рекомендаций Microsoft Entra — это конкретная реализация Помощника по Azure Microsoft Entra, которая является персонализированным облачным консультантом, который поможет вам следовать рекомендациям по оптимизации развертываний Azure. Помощник по Azure анализирует данные о конфигурации ресурсов и использовании, чтобы рекомендовать решения, которые помогут повысить эффективность затрат, производительность, надежность и безопасность ресурсов Azure.

Рекомендации Microsoft Entra используют аналогичные данные для поддержки развертывания и управления рекомендациями Майкрософт по обеспечению безопасности и работоспособности клиента Microsoft Entra. Функция рекомендаций Microsoft Entra предоставляет целостное представление о безопасности, работоспособности и использовании клиента.

Уведомления по электронной почте (предварительная версия)

Рекомендации Microsoft Entra теперь создают Уведомления по электронной почте при создании новой рекомендации. Эта новая функция предварительной версии отправляет сообщения электронной почты в предопределенный набор ролей для каждой рекомендации. Например, рекомендации, связанные с работоспособностью приложений клиента, отправляются пользователям с ролью администратора приложений.

В следующей таблице перечислены встроенные роли Майкрософт, которые получают Уведомления по электронной почте для каждой рекомендации:

Название рекомендации Целевые роли
Не рекомендуется использовать AAD Connect Администратор гибридных удостоверений
Преобразование MFA на пользователя в MFA условного доступа Администратор безопасности
Назначение нескольких глобальных администраторов Глобальный администратор
Не разрешать пользователям предоставлять согласие ненадежным приложениям Глобальный администратор
Срок действия паролей не истекает Глобальный администратор
Включение синхронизации хэша паролей при гибридной среде Администратор гибридных удостоверений
Включить политику, чтобы заблокировать проверку подлинности прежних версий Администратор условного доступа, администратор безопасности
Включить самостоятельный сброс паролей Администратор политики проверки подлинности
Убедитесь, что все пользователи могут выполнять многофакторную проверку подлинности Администратор условного доступа, администратор безопасности
Длительные учетные данные в приложениях Глобальный администратор
Перенос приложений из устаревших API Graph Azure AD в Microsoft Graph Администратор приложений
Перенос приложений из AD FS в идентификатор Microsoft Entra Администратор приложений, администратор гибридной идентификации администратора проверки подлинности
Перенос методов проверки подлинности из устаревших политик MFA и SSPR Глобальный администратор
Перенос данных из ADAL в MSAL Администратор приложений
Миграция с сервера MFA на MFA Microsoft Entra MFA Глобальный администратор
Перенос субъектов-служб из устаревших API Azure AD Graph в Microsoft Graph Администратор приложений
Управление версиями MS Graph Глобальный администратор
Оптимизация MFA клиента Администратор безопасности
Защита всех пользователей с помощью политики риска входа Администратор условного доступа, администратор безопасности
Защита всех пользователей с помощью политики риска пользователей Администратор условного доступа, администратор безопасности
Защита клиента с помощью политики условного доступа для предварительной оценки рисков Администратор условного доступа, администратор безопасности
Удаление избыточных разрешений для приложений Глобальный администратор
Удаление неиспользуемых приложений Администратор приложений
Удаление неиспользуемых учетных данных из приложений Администратор приложений
Продление учетных данных приложения с истекающим сроком действия Администратор приложений
Продление учетных данных с истекающим сроком действия для субъектов-служб Администратор приложений
Требовать MFA для административных ролей Администратор условного доступа, администратор безопасности
Просмотр неактивных пользователей с помощью проверок доступа Администратор управления удостоверениями
Защита и управление приложениями с помощью автоматической подготовки пользователей и групп Администратор приложений, администратор управления ИТ-службами
Использование наименее привилегированных административных ролей Администратор привилегированных ролей
Проверка издателя приложений Глобальный администратор

Если ваша организация использует управление привилегированными пользователями (PIM), получатели должны быть повышены до роли, указанной для получения уведомления по электронной почте. Если никто не назначен роли, сообщения электронной почты не отправляются. По этой причине рекомендуется регулярно проверять рекомендации, чтобы убедиться, что вы знаете о новых рекомендациях.