Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die On-Demand-Bewertung - Azure Active Directory (AD) ist ein Cloud-Service, der Identitäts- und Zugriffsmanagement (IAM) für Azure AD und verwandte Komponenten analysiert und bereitstellt. Aus dieser Analyse ergibt sich eine Liste von Problemen mit Hinweisen zu deren Behebung, sowie bewährte Methoden zur Verbesserung der Integrität und Sicherheit von Azure-Ressourcen. Außerdem werden in der Bewertung Funktionen ermittelt, die aktiviert werden können, um die Azure AD-Funktionen zu erweitern. Mit den im Services Hub verfügbaren Bewertungen können Sie die Verfügbarkeit, Sicherheit und Leistung Ihrer Investitionen in Microsoft-Technologien optimieren. Diese Bewertungen verwenden Microsoft Azure Log Analytics, womit die IT- und Sicherheitsverwaltung in der gesamten Umgebung vereinfacht wird.
Diese Bewertung soll konkrete, umsetzbare Anleitungen liefern, die in Schwerpunktbereichen gruppiert sind, um die Risiken für Azure Active Directory und die Organisation zu mindern.
Hauptbestandteile der Azure AD-Bewertung
- Identitäts- und Zugriffsverwaltung
- Governance
- Betrieb
- Authentifizierung
- Sicherheit
Ausführen der Azure AD-Bewertung
Voraussetzungen
Um den vollen Leistungsumfang der im Diensthub verfügbaren On-Demand-Bewertungen nutzen zu können, ist Folgendes erforderlich:
Ein aktives Azure-Abonnement mit dem Services Hub verknüpft und die Azure-AD-Bewertung hinzugefügt zu haben. Weitere Informationen finden Sie unter Erste Schritte mit On-Demand-Bewertungen oder im Anleitungsvideo.
Ein Konto für die geplante Bewertungsaufgabe (Domäne oder lokaler Benutzer) mit folgenden Rechten:
- Administrativer Zugang zur Datensammelmaschine
- Anmeldung als Batchauftrag mit Berechtigungen auf der Datensammelmaschine
- Ein Azure AD-Konto für die Einrichtung der bei Azure AD registrierten Anwendung mit den folgenden Eigenschaften:
- Globaler Administrator
- Kein Verbund
- Prüfen Sie die Voraussetzungen für die Azure AD-Bewertung. Dieses Dokument erklärt die detaillierte technische Dokumentation der Azure AD-Bewertung und die Vorbereitung des Servers, die für die Durchführung der Bewertung erforderlich ist. Außerdem werden die Datentypen beschrieben, die bei der Bewertung gesammelt werden.
Hinweis
Die Erstkonfiguration einer Umgebung für die Ausführung einer On-Demand-Bewertung dauert durchschnittlich zwei Stunden. Im Anschluss an die Bewertung können Sie die Daten in Azure Log Analytics überprüfen. Dort erhalten Sie eine priorisierte Liste von Empfehlungen, kategorisiert in sechs Kernbereiche. Mit diesen Empfehlungen können Sie und Ihr Team sich schnell über Risiken informieren, die Integrität der Umgebungen einschätzen, Risiken senken und die IT-Gesamtintegrität verbessern.
Einrichten der Microsoft Azure AD-Bewertung auf der Datensammelmaschine
Hinweis
Sie können die Bewertung erst dann erfolgreich einrichten, wenn Sie Ihr Azure-Abonnement mit dem Services Hub verknüpft und die Azure-AD-Bewertung von IT-Integrität -> On-Demand-Bewertung in Services Hub hinzugefügt haben.
Registrieren Sie die Microsoft Bewertungs-Anwendung im Gültigkeitsbereich des Azure AD-Mandanten
- Erstellen Sie auf dem Datensammlungscomputer den folgenden Ordner: C:\OMS\AzureAD (oder einen anderen Ordner, wie Sie möchten)
- Öffnen Sie eine normale PowerShell-Instanz (nicht ISE) im Administratormodus, und führen Sie das folgende Cmdlet aus, um die registrierte App im zu bewertenden Azure AD-Mandanten zu erstellen:
New-MicrosoftAssessmentsApplication
Hinweis
Wenn der Befehl „New-MicrosoftAssessmentApplication“ nicht verfügbar ist, wurde das Modul noch nicht gefunden. Nach der Installation des Agents kann es eine Weile dauern, bis das Modul angezeigt wird.
- Geben Sie die Anmeldeinformationen eines Azure AD-Kontos ein, das die weiter oben genannten Anforderungen erfüllt. Wählen Sie bei der Eingabeaufforderung für die Administratoreinwilligung für die Leseberechtigungen, die diese Anwendung für die Bewertung benötigt, auf „Akzeptieren“.
Hinweis
Informationen zu den Zustimmungsdetails finden Sie in Berechtigungen für die Microsoft Azure AD Bewertungs-Anwendung.
Erstellen des geplanten Bewertungsvorgangs
- Öffnen Sie die normale Powershell (nicht ISE) im Verwaltungsmodus und führen Sie das folgende Cmdlet mit den folgenden Parametern aus, wobei <Verzeichnis> und <KontoName> durch das Arbeitsverzeichnis für die Bewertung und den Kontonamen für die geplante Aufgabe ersetzt werden:
[WICHTIG] Verwenden Sie nicht das Verzeichnis „C:\ODA“ als Arbeitsverzeichnispfad, da dieses vom System reserviert ist!
Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Hinweis
Wenn der Befehl „Add-AzureAssessmentTask“ nicht verfügbar ist, wurde das Modul noch nicht gefunden. Nach der Installation des Agents kann es eine Weile dauern, bis das Modul angezeigt wird.
Das Skript fährt mit der notwendigen Konfiguration fort und erstellt eine geplante Aufgabe, die die Datensammlung auslöst.
Die Datensammlung wird durch die geplante Aufgabe mit dem Namen „AzureAssessment“ innerhalb von einer Stunde nach Ausführung des obigen Skripts und danach alle sieben Tage gestartet. Unter „Aufgabenplanungsbibliothek -> Microsoft -> Operations Management Suite -> AOI*** -> Bewertungen-> AzureAssessment können Sie die Aufgabe bearbeiten, um sie zu einem anderen Zeitpunkt oder auch sofort auszuführen.
Bewertungsausführung
Während der Sammlung und Analyse werden Daten temporär in dem bei der Einrichtung festgelegten Arbeitsverzeichnis gespeichert.
Nach einigen Stunden sind Ihre Bewertungsergebnisse in der Protokollanalyse und in Ihrem Services Hub verfügbar. Sie gelangen zu den Ergebnissen, indem Sie zu Services Hub -> Integrität -> Bewertungen navigieren und in der aktiven Bewertung auf „Alle Bewertungen anzeigen“ klicken.
Wenn Sie die Probleme Ihrer Azure AD-Bewertung mit einer autorisierten Microsoft-Expertin oder einem -Experten besprechen möchten, können Sie sich an Ihre Microsoft-Vertreterin oder Ihren Microsoft-Vertreter wenden und sich nach einer Remote- oder Vor-Ort-Bereitstellung durch einen CSA erkundigen.
| Vereinbarung | Remote-Experte | Vor-Ort-Experte |
|---|---|---|
| Premier | Azure AD-Remote Datenblatt | Azure AD-Onsite Datenblatt |
| Unified | Azure AD-Remote Datenblatt | Azure AD-Onsite Datenblatt |