什麼是身分識別安全分數?
身分識別安全分數會顯示為百分比,以表示您與Microsoft安全性建議的對齊方式。 身分識別安全分數中的每個改進動作都會根據您的設定量身打造。 您可以在 Microsoft entra 建議中存取分數,並檢視與分數相關的個別建議。 您也可以查看分數隨著時間的變化。
![[建議頁面] 的螢幕截圖,並已標示出 [安全分數] 的詳細內容。](media/concept-identity-secure-score/secure-score-overview.png)
身分識別安全分數包含下列建議:
- 系統管理員角色需要多重要素驗證
- 確定所有使用者都可以完成 MFA
- 啟用原則以封鎖舊版驗證
- 不要過期密碼
- 使用用戶風險原則保護所有使用者
- 使用登入風險原則保護所有使用者
- 如果混合式,請啟用密碼哈希同步處理
- 不允許使用者授與同意不可靠的應用程式
- 使用最小權限的系統管理角色
- 指定多個全域管理員
- 啟用自助式密碼重設
身分識別安全分數如何惠及我?
此分數有助於:
- 客觀地測量您的身分識別安全性狀態
- 規劃身分識別安全性改善
- 審視您的改進成效
您可以遵循Microsoft Entra 建議中的改進動作:
- 改善您的安全防護狀態和分數
- 充分利用貴組織可用的功能,作為身分識別投資項目的一部分
其運作方式為何?
每隔 24 小時,我們會查看您的安全性設定,並將您的設定與建議的最佳做法進行比較。 根據此評估的結果,會計算目錄的新分數。 您的安全性設定可能與最佳做法指引不完全一致,而且改進動作只會部分符合。 在這些情境中,您會獲得控制項可用最大分數的一部分。
先決條件
- 身分識別安全分數可供免費和付費客戶使用。
- 某些建議需要付費授權才能檢視及採取行動。 如需詳細資訊,請參閱 Microsoft Entra 建議的相關說明。
- 若要更新改進動作的狀態,您必須 安全性系統管理員、Exchange Administrator或 SharePoint 系統管理員 許可權。
- 若要檢視改進動作但未更新,您必須 技術服務人員系統管理員、用戶系統管理員、服務支持系統管理員、安全性讀取者、安全性操作員或 全域讀取者 許可權。
如何使用身分識別安全分數?
若要存取身分識別安全分數:
- 登錄 Microsoft Entra 管理中心, 身份至少為 全域讀取者。
- 流覽至 Protection>Identity Secure Score 以檢視儀錶板。
分數和相關建議也位於 Identity>Overview>Recommendations。
每個建議都根據您的設定來評估。 如果您使用非Microsoft產品來啟用最佳做法建議,您可以在改進動作的設定中指出此設定。 如果建議不適用於您的環境,您可能會將建議設定為忽略。 忽略的建議不會影響分數的計算。
- 解決 - 您認識到改進動作是必要的,並計劃在未來某個時間點加以解決。 此狀態也適用於部分偵測到但未完全完成的動作。
- 風險接受 - 安全性應該與可用性取得平衡,並且不是每個建議都適用於每個人。 在這種情況下,您可以選擇接受風險或剩餘的風險,而不是制定改進動作。 您不會獲得任何積分,而且動作不會顯示在改進動作清單中。 您可以在歷程記錄中檢視此動作,或隨時復原。
- 已規劃 - 已有具體計劃來完成改進措施。
- 透過第三方 解決,透過替代緩解措施 解決 - 改進動作是由非 Microsoft 應用程式或軟體或內部工具解決。 您會獲得該動作應有的分數,因此您的分數能更精確地反映您的整體安全狀況。 如果非 Microsoft 或內部工具不再涵蓋控制項,您可以選擇其他狀態。 請記住,如果改進動作標示為上述任一狀態,Microsoft就無法了解實作的完整性。
常見問題
許多因素可能會影響您的分數。 以下是有關身分識別安全分數的一些常見問題。
建議的評分方式如何?
建議可透過兩種方式進行評分。 有些是以二進位方式評分,因此如果您有根據建議設定的功能或設定,您會獲得 100% 分數。 其他分數會計算為總組態的百分比。 例如,如果您使用 MFA 保護所有用戶,建議指出最多 10.71% 增加。 您在 100 個用戶中保護了 5 個,因此您獲得了大約 0.53% 的部分分數(5 位受保護用戶 / 100 位總用戶 * 10.71% 最大值 = 0.53% 部分分數)。
[未評分] 代表什麼意思?
標示為 [未評分] 的動作是您可以在組織中執行的動作,但不會評分。 因此,您仍然可以改善安全性,但您目前並未因這些行動得到認可。
我的分數變更了。 如何找出原因?
Microsoft 365 Defender 入口網站 會顯示完整的Microsoft安全分數。 您可以查看歷程標籤中的詳細變更,輕鬆掌握安全分數的所有變更。
分數會測量我遭到入侵的風險嗎?
不,分數無法準確表達你被入侵風險的絕對量值。 它表示您採用的功能範圍,可 位移 風險。 沒有服務可以保證保護,分數不應該以任何方式解譯為保證。
如何解譯我的分數?
透過設定建議的安全功能或執行相關安全任務(例如查看報告),可以提高您的評分。 某些動作會針對部分完成進行評分,例如為您的用戶啟用多重要素驗證 (MFA)。 您的安全分數會直接代表您使用Microsoft安全性服務。 請記住,安全性必須與可用性平衡。 所有安全性控制件都有用戶影響元件。 對使用者的日常作業影響低的控件應該對使用者的日常作業沒有什麼影響。
身分識別安全分數與Microsoft 365 安全分數有何關聯?
Microsoft安全分數 包含五個不同的控件和分數類別:
- 身份
- 數據
- 設備
- 基礎設施
- 應用程式
身分識別安全分數代表Microsoft安全分數的身分識別部分。 此重疊表示您針對身分識別安全分數和Microsoft中的身分識別分數的建議相同。