什么是身份安全分数？

身份安全分数显示为一个百分比，该百分比作为指示器显示您与 Microsoft 的安全建议的对齐程度。 Identity Secure Score 中的每个改进操作都针对配置进行了定制。 可以在 Microsoft Entra 建议中访问分数并查看与分数相关的单个建议。 还可以查看分数随时间的变化。

标识安全分数中包括以下建议：

• 对于管理角色，要求进行多重身份验证（MFA）
• 确保所有用户都可以完成 MFA
• 启用策略以阻止旧式身份验证
• 不要使密码过期
• 使用用户风险策略保护所有用户
• 使用登录风险策略保护所有用户
• 如果混合，请启用密码哈希同步
• 不允许用户向不可靠的应用程序授予许可
• 使用最小特权管理角色
• 指定多个全局管理员
• 启用自助密码重置

标识安全功能分数如何使我受益？

此分数有助于：

• 客观地衡量身份安全态势
• 规划身份安全改进
• 检查改进的成效

通过遵循 Microsoft Entra 建议中的改进操作，可以：

• 改进安全状况和分数
• 作为标识投资的一部分利用组织可用的功能

它的工作原理是什么？

每 24 小时，我们将查看你的安全配置，并将你的设置与建议的最佳做法进行比较。 然后，根据此项评估的结果为目录计算新的分数。 安全配置可能与最佳做法指南不完全一致，并且仅部分满足改进操作。 在这些情况下，你可以获得适用于控件的最高分数的一部分。

先决条件

• 身份安全评分可供免费和付费客户使用。
• 某些建议需要付费许可证才能查看和处理。 有关详细信息，请参阅 Microsoft Entra 建议是什么。
• 若要更新改进操作的状态，需要 安全管理员、Exchange 管理员或 SharePoint 管理员 权限。
• 若要查看改进操作但不更新，需要 支持管理员、用户管理员、服务支持管理员、安全读取者、安全操作员或 全局读取者 权限。

如何使用标识安全分数？

访问标识安全分数：

1. 至少以全局读取者的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“保护”>“标识安全分数”以查看仪表板。

还可以在“标识”>“概述”>“建议”中找到分数和相关建议。

每个建议都是根据您的配置进行度量的。 如果使用非Microsoft产品启用最佳做法建议，可以在改进操作的设置中指示此配置。 如果建议不适用于你的环境，你可以设置将其忽略。 忽略的建议不会影响分数的计算。

• 待解决 - 你认识到有必要采取改进操作，并计划在将来某个时间解决这个问题。 此状态也适用于部分检测到但未完全完成的操作。
• 接受的风险 - 安全性应始终与可用性保持平衡，并非所有建议都适用于每个人。 在这种情况下，可以选择接受风险或剩余风险，而不是制定改进操作。 你不会获得任何积分，并且该操作在改进操作列表中不可见。 可以在历史记录中查看此操作，或随时撤消此操作。
• 已计划 - 用于完成改进操作的具体计划已准备到位。
• 通过第三方 解决，通过备用缓解 解决 - 改进操作由非Microsoft应用程序或软件或内部工具解决。 你会根据操作的价值获得积分，因此你的分数能更准确地反映出整体安全状况。 如果非Microsoft或内部工具不再涵盖控件，则可以选择其他状态。 请记住，如果改进操作标记为上述任一状态，则Microsoft无法了解实现的完整性。

常见问题解答

许多因素可能会影响你的分数。 下面是有关标识安全分数的一些常见问题。

如何评分建议？

可以通过两种方式对建议进行评分。 有些以二进制方式评分，因此，如果你根据建议配置了功能或设置，则会获得 100% 的分数。 其他分数以总配置的百分比计算。 例如，该建议指出，如果你通过 MFA 保护所有用户，最多可以提高 10.71%。 100 名用户中有 5 名受到保护，因此你的部分得分约为 0.53%（5 名受保护用户 / 100 名总用户 * 10.71% 最大值 = 0.53% 部分得分）。

[未评分] 的含义是什么？

被标记为“未评分”的操作是你可以在你的组织中执行的，但未被打分。 因此，你仍然可以提高安全性，但目前这些措施没有得到承认。

我的分数已更改。 如何找出原因？

Microsoft 365 Defender 门户显示完整的 Microsoft 安全功能分数。 通过查看历史记录选项卡上的详细变动，可以轻松查看安全分数的所有更改。

该分数是否衡量违规的风险？

不，分数不能准确表达你被攻破的可能性。 它表达了你采用的特性可以 抵消 风险的程度。 任何服务都无法保证保护，不应以任何方式将分数解释为保证。

如何解释分数？

配置推荐的安全功能或执行与安全相关的任务（如阅读报告）可以提高您的分数。 某些操作会针对部分完成进行评分，例如为用户启用多重身份验证（MFA）。 安全功能分数直接代表你使用的Microsoft安全服务。 请记住，安全性必须与可用性保持平衡。 所有安全控制都具有用户影响组件。 对用户的日常操作影响较低的控件应该对用户的日常操作几乎没有影响。

标识安全分数与 Microsoft 365 安全功能分数有何关联？

Microsoft 安全分数包含五个不同的控制和评分类别：

• 身份
• 数据
• 设备
• 基础设施
• 应用程序

身份安全分数表示 Microsoft 安全分数中的身份部分。 这种重叠意味着你对于身份安全分数的建议与 Microsoft 中的身份分数相同。