Microsoft Entra 建議是什麼?
追蹤租用戶中的所有設定和資源可能會非常困難。 Microsoft Entra 建議功能可協助您監視租用戶的狀態,因此您不必親自監視。 這些建議可協助您確保租用戶處於安全且狀況良好的狀態,同時協助您將 Microsoft Entra ID 中可用功能的價值最大化。
Microsoft Entra 建議現在包含身分識別安全分數建議。 這些建議提供租用戶安全性的類似深入解析。 如需詳細資訊,請參閱什麼是身分識別安全分數。
這些 Microsoft Entra 建議全都會為您提供個人化深入解析,並提供可採取動作的指引:
- 協助您找出實作 Microsoft Entra 相關功能最佳做法的機會。
- 改善 Microsoft Entra 租用戶的狀態。
- 最佳化案例的設定。
本文提供如何使用 Microsoft Entra 建議的概觀。
如何運作?
Microsoft Entra ID 每天分析租用戶的設定。 在此分析期間,Microsoft Entra ID 會比較租用戶的設定與安全性最佳做法和建議資料。 如果建議標幟為適用於您的租用戶,則建議會出現在 [Microsoft Entra 身分識別概觀] 區域的 [建議] 區段中。
![租用戶 [概觀] 頁面的螢幕擷取畫面,其中已醒目提示 [建議] 選項。](media/overview-recommendations/recommendations-overview.png)
每個建議都包含描述、解決建議值的摘要,以及逐步行動計劃。 如果適用,則會列出與建議相關聯的受影響資源,以便您可以解決每個受影響的區域。 如果建議沒有任何相關聯的資源,受影響的資源類型則為租用戶層級,因此您的逐步行動計劃會影響整個租用戶,而不只是特定資源。
建議概觀數據表
下表所列的建議,目前可在公開預覽階段或正式運作階段取得,並提及所涵蓋的資源類型及其他內容。 公開預覽中建議的授權需求可能會變更。 下表提供可用文件的連結,以取得需要個別指引的建議。
| 建議 | 受影響的資源 | 可用性 | 身分識別安全分數 | 電子郵件通知的目標角色 |
|---|---|---|---|---|
| AAD Connect 已被取代 | 房客 | 預覽 | 不 | 混合式身分識別管理員 |
| 按使用者 MFA 轉換為條件式存取 MFA | 使用者 | 正式推出 | 不 | 安全性系統管理員 |
| 指定多個全域系統管理員 | 使用者 | 正式推出 | 是的 | 全域系統管理員 |
| 不允許使用者同意不可靠的應用程式 | 房客 | 預覽 | 是的 | 全域系統管理員 |
| 不要讓密碼過期 | 房客 | 預覽 | 是的 | 全域系統管理員 |
| 如果混合,則啟用密碼雜湊同步 | 房客 | 正式推出 | 是的 | 混合式身分識別管理員 |
| 啟用原則以封鎖舊版驗證 | 使用者 | 正式推出 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 啟用自助式密碼重設 | 使用者 | 預覽 | 是的 | 驗證原則管理員 |
| 確定所有使用者都可以完成多重要素驗證 | 使用者 | 預覽 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 應用程式中長期存在的認證 | 應用程式 | 預覽 | 不 | 全域系統管理員 |
| 將應用程式從 AD FS 移轉至 Microsoft Entra ID | 應用程式 | 正式推出 | 不 | 應用程式系統管理員、驗證系統管理員、混合式身分識別管理員 |
| 將應用程式從淘汰的 Azure AD Graph API 遷移至 Microsoft Graph | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 從 ADAL 移轉至 MSAL | 應用程式 | 正式推出 | 不 | 應用程式系統管理員 |
| 從 MFA 伺服器移轉至 Microsoft Entra MFA | 房客 | 正式推出 | 不 | 全域系統管理員 |
| 將服務主體從淘汰的 Azure AD Graph API 遷移至 Microsoft Graph | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 移轉至 Microsoft Authenticator | 使用者 | 預覽 | 不 | 全域系統管理員 |
| 將已知裝置中的 MFA 提示最小化 | 使用者 | 正式推出 | 不 | 全域系統管理員 |
| 使用登入風險原則保護所有使用者 | 使用者 | 正式推出 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 使用使用者風險原則保護所有使用者 | 使用者 | 正式推出 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 使用測試人員風險條件式存取原則保護您的租使用者 | 使用者 | 正式推出 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 移除應用程式的過度權限 | 應用程式 | 預覽 | 不 | 全域系統管理員 |
| 移除未使用的應用程式 | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 從應用程式移除未使用的認證 | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 拿掉應用程式組態中未使用的重新導向 URI | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 更新即將到期的應用程式認證 | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 更新即將到期的服務主體認證 | 應用程式 | 預覽 | 不 | 應用程式系統管理員 |
| 需要系統管理角色的 MFA | 使用者 | 正式推出 | 是的 | 條件式存取系統管理員、安全性系統管理員 |
| 使用存取權檢閱來檢閱非作用中使用者 | 使用者 | 預覽 | 不 | 身分識別控管系統管理員 |
| 使用自動使用者和群組佈建來保護及控管您的應用程式 | 應用程式 | 預覽 | 不 | 應用程式系統管理員、IT 治理系統管理員 |
| 更新配置不正確的多租戶應用程式登入受眾 | 應用程式 | 預覽 | 現在 | 應用程式系統管理員 |
| 使用最低權限管理角色 | 使用者 | 預覽 | 是的 | 特殊權限角色管理員 |
| 驗證應用程式發行者 | 應用程式 | 預覽 | 不 | 全域系統管理員 |
Microsoft Entra 只會顯示套用至租用戶的建議,因此您可能不會看到所有支援的建議都列出。
身分識別安全分數
您的身分識別安全分數會顯示在頁面頂端,是租用戶健康情況的數值表示法。 適用於身分識別安全分數的建議會在頁面底部的資料表中提供個別分數。 您可以使用 安全性 篩選卡片,將建議清單篩選為僅限身分識別安全分數建議。 身分識別安全分數建議包含安全分數,這些分數是根據數個安全性因素計算為整體分數。
這些分數加起來會產生您的身分識別安全分數。 如需詳細資訊,請參閱什麼是身分識別安全分數。
Microsoft Entra 建議是否與 Azure Advisor 相關?
Microsoft Entra 建議功能是 Azure Advisor 的 Microsoft Entra 特定實作,這是個人化雲端顧問,可協助您遵循最佳做法來最佳化 Azure 部署。 Azure Advisor 可分析您的資源設定和使用量資料,以建議可協助您改善 Azure 資源的成本效益、效能、可靠性和安全性的解決方案。
Microsoft Entra 建議會使用類似資料支援您推出及管理 Microsoft Entra 租用戶的最佳做法,讓租用戶保持安全且狀況良好。 Microsoft Entra 建議功能可讓您全面檢視租用戶的安全性、健康情況和使用方式。
電子郵件通知 (概觀)
Microsoft Entra 建議現在會在產生新的建議時產生電子郵件通知。 此新預覽功能會將電子郵件傳送至每個建議的預先決定角色集。 例如,與租用戶應用程式健康情況相關聯的建議會傳送給具有應用程式系統管理員角色的使用者。
如果您的組織使用 Privileged Identity Management (PIM),收件者必須提升為指定的角色,才能接收電子郵件通知。 如果未主動指派給角色,則不會傳送任何電子郵件。 基於這個理由,建議您定期檢查建議,以確保您知道任何新的建議。