Freigeben über


Was sind Microsoft Entra-Empfehlungen?

Es ist nicht immer einfach, den Überblick über alle Einstellungen und Ressourcen in Ihrem Mandanten zu behalten. Die Microsoft Entra-Empfehlungsfunktion (Vorschau) nimmt Ihnen die Überwachung des Mandantenstatus ab. Diese Empfehlungen tragen dazu bei, dass Ihr Mandant sicher und fehlerfrei ist, und ermöglichen Ihnen, den größtmöglichen Nutzen aus den in Microsoft Entra ID verfügbaren Features zu ziehen.

Zu den Microsoft Entra-Empfehlungen zählen jetzt Empfehlungen zum Identitätssicherheitsscore. Diese Empfehlungen bieten ähnliche Einblicke in die Sicherheit Ihres Mandanten. Empfehlungen zum Identitätssicherheitsscore umfassen Sicherheitsscorepunkte, die basierend auf mehreren Sicherheitsfaktoren als Gesamtbewertung berechnet werden. Weitere Informationen finden Sie unter Was ist Identitätssicherheitsbewertung.

Alle diese Microsoft Entra-Empfehlungen bieten Ihnen personalisierte Erkenntnisse mit umsetzbaren Anleitungen für Folgendes:

  • Hilft Ihnen dabei, Möglichkeiten zur Implementierung bewährter Methoden für Microsoft Entra-bezogene Features zu identifizieren.
  • Verbessern Sie den Zustand Ihres Microsoft Entra-Mandanten.
  • Optimierung der Konfigurationen für Ihre Szenarien

Dieser Artikel bietet Ihnen einen Überblick über die Verwendung von Microsoft Entra-Empfehlungen.

Wie funktioniert dies?

Microsoft Entra ID analysiert die Konfiguration Ihres Mandanten täglich. Während dieser Analyse vergleicht Microsoft Entra-ID die Konfiguration Ihres Mandanten mit bewährten Sicherheitsmethoden und Empfehlungsdaten. Wenn eine Empfehlung als geeignete Empfehlung für Ihren Mandanten gekennzeichnet ist, wird sie im Abschnitt Empfehlungen des Microsoft Entra-Identitätsübersichtsbereichs angezeigt. Empfehlungen werden in der Reihenfolge ihrer Priorität aufgeführt, sodass Sie schnell erkennen, worauf Sie sich zuerst konzentrieren sollten.

Screenshot: Übersichtsseite des Mandanten mit hervorgehobener Option „Empfehlungen“

Ihr oben auf der Seite angezeigter Identitätssicherheitsscore ist eine numerische Darstellung der Integrität Ihres Mandanten. Empfehlungen, die für die Identitätssicherheitsbewertung gelten, erhalten einzelne Bewertungen in der Tabelle am unteren Rand der Seite. Diese Bewertungen werden addiert, um Ihre Identitätssicherheitsbewertung zu generieren. Weitere Informationen finden Sie unter Was ist Identitätssicherheitsbewertung.

Screenshot: Identitätssicherheitsbewertung.

Jede Empfehlung enthält eine Beschreibung, eine Zusammenfassung des Nutzens, die die Umsetzung der Empfehlung mit sich bringt, sowie einen schrittweisen Aktionsplan. Sofern zutreffend, werden betroffene Ressourcen aufgeführt, die mit der Empfehlung zusammenhängen, sodass Sie die einzelnen betroffenen Bereiche behandeln können. Wenn eine Empfehlung keine zugeordneten Ressourcen hat, ist der betroffenen Ressourcentyp Mandantenebene, sodass sich Ihr Schritt-für-Schritt-Aktionsplan auf den gesamten Mandanten und nicht nur auf eine bestimmte Ressource auswirkt.

Verfügbarkeits- und Lizenzanforderungen für Empfehlungen

Die in der folgenden Tabelle aufgeführten Empfehlungen sind derzeit in der öffentlichen Vorschauversion oder in der allgemeinen Verfügbarkeit. Die Lizenzanforderungen für Empfehlungen in der öffentlichen Vorschauversion können sich ändern. Die Tabelle enthält die betroffenen Ressourcen sowie Links zur verfügbaren Dokumentation.

Empfehlung Betroffene Ressourcen Erforderliche Lizenz Verfügbarkeit
Aktivieren des adaptiven Microsoft Purview-Schutzes und der Insider-Risikobedingung im bedingten Zugriff Benutzer Microsoft Entra Premium P2 Allgemein verfügbar
Konvertieren von MFA pro Benutzer in MFA für bedingten Zugriff Benutzer Alle Lizenzen Allgemein verfügbar
Migrieren von Anwendungen von AD FS zu Microsoft Entra ID Anwendungen Alle Lizenzen Allgemein verfügbar
Migrieren von Apps und Dienstprinzipalen in Azure AD Graph zu Microsoft Graph Anwendungen Alle Lizenzen Öffentliche Vorschauversion
Migrieren von ADAL zu MSAL Anwendungen Alle Lizenzen Allgemein verfügbar
Migrieren von MFA-Server zur Multi-Faktor-Authentifizierung von Microsoft Entra Mandantenebene Alle Lizenzen Allgemein verfügbar
Migrieren zu Microsoft Authenticator Benutzer Alle Lizenzen Vorschau
Minimieren von MFA-Eingabeaufforderungen von bekannten Geräten Benutzer Alle Lizenzen Allgemein verfügbar
Entfernen nicht verwendeter Anwendungen Anwendungen Microsoft Entra Workload ID Premium Öffentliche Vorschauversion
Entfernen nicht verwendeter Anmeldeinformationen aus Anwendungen Anwendungen Microsoft Entra Workload ID Premium Öffentliche Vorschauversion
Erneuern auslaufender Anwendungsanmeldeinformationen Anwendungen Microsoft Entra Workload ID Premium Öffentliche Vorschauversion
Erneuern auslaufender Anmeldeinformationen des Dienstprinzipals Anwendungen Microsoft Entra Workload ID Premium Öffentliche Vorschauversion

Microsoft Entra zeigt nur Empfehlungen an, die für Ihren Mandanten relevant sind. Daher werden möglicherweise nicht alle aufgeführten unterstützten Empfehlungen angezeigt.

Bei der Funktion „Microsoft Entra-Empfehlungen“ handelt es sich um die Microsoft Entra-spezifische Implementierung von Azure Advisor – einem personalisierten Cloudberater, der Ihnen dabei hilft, bewährte Methoden zu verwenden, um Ihre Azure-Bereitstellungen zu optimieren. Der Azure Advisor analysiert Ihre Ressourcenkonfiguration und Nutzungsdaten, um Lösungen zu empfehlen, mit denen Sie die Kosteneffizienz, Leistung, Zuverlässigkeit und Sicherheit Ihrer Azure-Ressourcen verbessern können.

Für Microsoft Entra-Empfehlungen werden ähnliche Daten genutzt, um Sie bei der Einführung und Verwaltung der bewährten Methoden von Microsoft für Microsoft Entra-Mandanten zu unterstützen, damit Ihr Mandant sicher und fehlerfrei bleibt. Die Funktion „Microsoft Entra-Empfehlungen“ bieten einen ganzheitlichen Einblick in die Sicherheit, die Integrität und die Nutzung Ihres Mandanten.

E-Mail-Benachrichtigungen (Vorschau)

Microsoft Entra-Empfehlungen generieren jetzt E-Mail-Benachrichtigungen, wenn eine neue Empfehlung generiert wird. Diese neue Previewfunktion sendet E-Mails an einen vordefinierten Satz von Rollen für jede Empfehlung. Zum Beispiel werden Empfehlungen, die mit dem Zustand der Anwendungen Ihres Mandanten zusammenhängen, an Benutzer mit der Rolle Anwendungsadministrator gesendet.

In der folgenden Tabelle sind die integrierten Microsoft-Rollen aufgeführt, die E-Mail-Benachrichtigungen für jede Empfehlung erhalten:

Empfehlungstitel Zielrollen
AAD Connect veraltet Hybrid-Identitätsadministrator
Konvertieren von MFA pro Benutzer in MFA für bedingten Zugriff Sicherheitsadministrator
Festlegen mehrerer globaler Administratoren Globaler Administrator
Benutzern nicht erlauben, Einwilligung für unzuverlässige Anwendungen zu geben Globaler Administrator
Kennwörter laufen nicht ab Globaler Administrator
Aktivieren der Synchronisierung von Kennworthashes, wenn hybrid Hybrid-Identitätsadministrator
Aktivieren der Richtlinie zum Blockieren älterer Authentifizierungsmethoden Administrator für bedingten Zugriff, Sicherheitsadministrator
Aktivieren der Self-Service-Kennwortzurücksetzung Authentifizierungsrichtlinienadministrator
Sicherstellen, dass alle Benutzer*innen die Multi-Faktor-Authentifizierung durchführen können Administrator für bedingten Zugriff, Sicherheitsadministrator
Langlebige Anmeldeinformationen in Anwendungen Globaler Administrator
Migrieren von Anwendungen aus den ausgemusterten Azure AD Graph-APIs zu Microsoft Graph Anwendungsadministrator
Migrieren von Anwendungen von AD FS zu Microsoft Entra ID Anwendungsadministrator, Hybrididentitätsadministrator für Authentifizierungsadministrator
Migrieren Sie Authentifizierungsmethoden aus den alten MFA- und SSPR-Richtlinien Globaler Administrator
Migrieren von ADAL zu MSAL Anwendungsadministrator
Migrieren von MFA-Server zur Multi-Faktor-Authentifizierung von Microsoft Entra Globaler Administrator
Migrieren von Dienstprinzipalen von den auslaufenden Azure AD Graph-APIs zu Microsoft Graph Anwendungsadministrator
MS Graph-Versionsverwaltung Globaler Administrator
Optimieren der Mandanten-MFA Sicherheitsadministrator
Schützen aller Benutzer mit einer Anmelderisiko-Richtlinie Administrator für bedingten Zugriff, Sicherheitsadministrator
Schützen aller Benutzer mit einer Benutzerrisiko-Richtlinie Administrator für bedingten Zugriff, Sicherheitsadministrator
Schützen Ihres Mandanten mit der Richtlinie für bedingten Zugriff für Insider-Risiko Administrator für bedingten Zugriff, Sicherheitsadministrator
Entfernen von überprivilegierten Berechtigungen für Ihre Anwendungen Globaler Administrator
Entfernen nicht verwendeter Anwendungen Anwendungsadministrator
Entfernen nicht verwendeter Anmeldeinformationen aus Anwendungen Anwendungsadministrator
Erneuern auslaufender Anwendungsanmeldeinformationen Anwendungsadministrator
Erneuern auslaufender Anmeldedaten für Dienstprinzipale Anwendungsadministrator
Erfordert MFA für administrative Rollen Administrator für bedingten Zugriff, Sicherheitsadministrator
Überprüfung inaktiver Benutzer mit Zugriffsüberprüfungen Identitätsverwaltung-Administrator
Sichern und Steuern Ihrer Apps mit automatischer Benutzer- und Gruppenbereitstellung Anwendungsadministrator, IT-Governance-Administrator
Verwenden von administrativen Rollen mit den geringsten Rechten Administrator für privilegierte Rollen
Überprüfen des App-Herausgebers Globaler Administrator

Wenn Ihre Organisation Privileged Identity Management (PIM) verwendet, müssen die Empfänger zur angegebenen Rolle erhöht werden, um die E-Mail-Benachrichtigung zu erhalten. Wenn der Rolle niemand aktiv zugewiesen ist, werden keine E-Mails gesendet. Aus diesem Grund empfehlen wir, die Empfehlungen regelmäßig zu überprüfen, um sicherzustellen, dass Sie über neue Empfehlungen informiert sind.