共用方式為

快速入門 - Microsoft Entra Id 隨選評定

  • 發行項

隨選評定 Microsoft Entra Id 是一種雲端服務,會針對 Microsoft Entra Id 和相關元件,分析並提供身分識別和存取管理 (IAM) 指導。 分析後會產生待解決的建議清單,並提供指引及最佳做法,以改善 Azure 資源的健康情況與安全性。 此外,評定能識別出可啟用的功能,以展開 Microsoft Entra Id 功能。 評定透過服務中樞提供,可協助最佳化 Microsoft 技術投資的可用性、安全性和效能。 評定使用 Microsoft Azure Log Analytics,其設計可以簡化環境的 IT 和安全性管理。

這項評定旨在提供可執行得特定指引,才能在重點區進行分組。Microsoft Entra Id 和組織有潛在風險,才能降低風險。

Microsoft Entra Id 評定的關鍵支柱

  • 身分識別與存取管理
  • 治理
  • 作業
  • 驗證
  • 安全性

執行 Microsoft Entra Id 評定

先決條件

爲了充分利用服務中樞提供的隨選評定,其必須:

  1. 已將作用中的 Azure 訂用帳戶連結至 Services Hub,並新增 Microsoft Entra Id 評定。 如需詳細資訊,請參閱隨選評定快速入門 (英文),或觀看如何建立連結影片 (英文)。

  2. 具備下列權限的評定排定工作帳戶 (網域或本機使用者):

  • 資料收集電腦的系統管理存取權限
  • 在資料收集電腦上以批次作業權限登入
  1. Microsoft Entra Id 帳戶用於設定 Microsoft Entra Id 已註冊應用程式的下列屬性:
  • 全域管理員
  • 非同盟

注意事項

若要執行隨選評定,首次完成環境設定通常需要兩小時左右。 執行評定後,您可以在 Azure Log Analytics 中檢閱資料。 將為您提供六個重點區的分類建議清單。 這讓您和您的團隊能夠快速了解風險等級和環境健康情況,以便您採取措施降低風險並改善整體 IT 健康情況。

在資料收集電腦上設定 Microsoft Entra Id 評定

注意事項

只有在將 Azure [訂用帳戶] 連結至 Services Hub,並從 Services Hub 的 [IT 健康情況] -> [隨選評定] 新增 Microsoft Entra Id 評定,才能成功設定評定。

在範圍中的 Microsoft Entra Id 租戶中註冊 Microsoft 評估應用程式

  1. 在資料收集電腦上建立下列資料夾:C:\OMS\AzureAD (或您想要的任何其他資料夾)。
  2. 以系統管理員模式開啟一般 Powershell (不是 ISE),然後執行下列 Cmdlet,以在要評定的 Microsoft Entra Id 租用戶中建立註冊應用程式:
 New-MicrosoftAssessmentsApplication

注意事項

如果無法使用 New-MicrosoftAssessmentsApplication 命令,表示尚未找到該模組。 安裝代理程式之後,其可能需要一段時間才會顯示。

  1. 提供必要的 Microsoft Entra Id 帳戶認證,以符合本文前述需求。 在管理員同意提示上按一下 [接受],以取得此應用程式對評估所需的讀取權限。

注意事項

關於同意詳細資料,請參閱 Microsoft Microsoft Entra Id 評定應用程式的使用權限

建立評定排程工作

  1. 在管理員模式下開啟常規 Powershell (不是 ISE),並使用下面的參數執行下面的 Cmdlet,使用評估工作目錄和評估排定的工作帳戶名稱替換<目錄> 和 <帳戶名稱>:

[!重要] 請勿使用 「C:\ODA」 作為工作目錄路徑,因為系統會保留此路徑!

 Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

注意事項

如果無法使用 Add-AzureAssessmentTask 命令,表示尚未找到該模組。 安裝代理程式之後,其可能需要一段時間才會顯示。

  1. 指令碼會繼續設定必要的組態,並建立將會觸發資料收集的排定工作。

  2. 名為 AzureAssessment 的排定工作會在執行先前指令碼一小時內觸發資料收集,然後每 7 天觸發一次。 您可以修改此工作,以在其他日期/時間執行,或是透過 [工作排程器程式庫] -> [Microsoft] -> [Operations Management Suite] -> [AOI***] -> [評定] -> [AzureAssessment] 立即強制執行

評估執行

  1. 在收集和分析期間,系統會將資料暫存於安裝期間設定的工作目錄資料夾。

  2. 數小時後,評定結果會顯示在 Log Analytics 和 Services Hub 儀表板上。 您可以前往 [服務中樞] -> [健康情況] -> [評定],然後在作用中評定中,按一下 [檢視所有建議],查看結果。

  3. 如果您希望找 Microsoft 認證工程師與您一起檢討關於 Microsoft Endpoint Manager 環境問題,可以聯絡您的 Microsoft 代表,詢問對方關於遠端或現場 CSA 主導的交貨問題。

合約 遠端工程師 現場工程師
頂級 Microsoft Entra Id 遠端資料表 Microsoft Entra Id 現場資料表
整合 Microsoft Entra Id 遠端資料表 Microsoft Entra Id 現場資料表