Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La evaluación a petición - Azure Active Directory (AD) es un servicio en la nube que analiza y proporciona una guía para la Administración de identidades y acceso (IAM) para Azure AD y los componentes relacionados. El análisis genera una lista de recomendaciones que se deben abordar con ayuda de correcciones y procedimientos recomendados que permiten mejorar el mantenimiento y la seguridad de los recursos de Azure. Además, la evaluación identifica las características que se pueden activar para ampliar las capacidades de Azure AD. Las evaluaciones están disponibles a través de Services Hub para ayudar a optimizar la disponibilidad, seguridad y rendimiento de las inversiones en tecnología de Microsoft. Estas evaluaciones usan Microsoft Azure Log Analytics, que se ha diseñado para simplificar la administración de la TI y seguridad en todo el entorno.
Esta evaluación se diseñó para proporcionar instrucciones accionables específicas agrupadas en áreas de enfoque que permiten mitigar los riesgos para Azure Active Directory y la organización.
Pilares clave de la evaluación de Azure AD
- Administración de identidades y acceso
- Gobernanza
- Operaciones
- Autenticación
- Seguridad
Ejecución de la evaluación de Azure AD
Requisitos previos
Para sacar el máximo partido a las evaluaciones a petición disponibles a través de Services Hub, debe cumplir los siguientes requisitos:
Haber vinculado una suscripción de Azure activa a Services Hub y haber agregado la evaluación de Azure AD. Para obtener más información, consulte Introducción a las evaluaciones a petición o vea el vídeo sobre vinculación.
Disponer de una cuenta de tarea programada de evaluación (dominio o usuario local) con los siguientes derechos:
- Acceso administrativo en el equipo de recopilación de datos
- Iniciar sesión con privilegios de proceso por lotes en la máquina de recopilación de datos
- Una cuenta de Azure AD para configurar la aplicación registrada de Azure AD con las siguientes propiedades:
- Administrador global
- No federada
- Consulte los requisitos previos para la evaluación de Azure AD. En este documento se explica la documentación técnica detallada de la evaluación de Azure AD y la preparación del servidor que se requiere para ejecutar la evaluación. También se describen los distintos tipos de datos que recopila la evaluación.
Nota:
De media, se tarda dos horas en realizar la configuración inicial del entorno para ejecutar una evaluación a petición. Tras la ejecución de una evaluación, puede consultar los datos en Azure Log Analytics. De este modo, se obtiene una lista de recomendaciones ordenada por prioridades y dividida en seis áreas principales. Esto ayuda a que usted y su equipo comprendan rápidamente los niveles de riesgo y el estado del entorno, y a que tomen acciones para reducir los riesgos y mejorar la integridad de TI.
Configurar la Evaluación de Microsoft Azure AD en la máquina de recolección de datos
Nota:
Solo podrá configurar la evaluación correctamente una vez que haya vinculado la suscripción de Azure a Services Hub y que haya agregado la evaluación de Azure AD desde Estado de TI -> Evaluaciones a petición en Services Hub.
Registra la aplicación Evaluaciones de Microsoft en el inquilino de Azure AD en el ámbito
- En la máquina de recolección de datos, cree la siguiente carpeta: C:\OMS\AzureAD (o cualquier otra carpeta que le conste)
- Abra la versión regular de PowerShell (no ISE) en modo Administrador y ejecute el siguiente cmdlet para crear la app registrada en el inquilino de Azure AD que se está evaluando:
New-MicrosoftAssessmentsApplication
Nota:
Si el comando New-MicrosoftAssessmentsApplication no está disponible, aún no se ha encontrado el módulo. El agente puede tardar algo de tiempo en aparecer después de la instalación.
- Proporcione las credenciales de la cuenta de Azure AD necesarias que cumplen con los requisitos que se mencionan anteriormente en este artículo. En el mensaje de consentimiento del administrador, seleccione Aceptar y lea los permisos que esta aplicación necesita para la evaluación.
Nota:
Para obtener más información sobre el consentimiento, consulte Permisos para la aplicación Microsoft Azure AD Assessment.
Crear la tarea programada de evaluación
- Abra la versión regular de PowerShell (no ISE) en modo de administrador y ejecute el siguiente cmdlet con los parámetros indicados, reemplazando <Directory> y <AccountName> con el directorio de trabajo de evaluación y el nombre de cuenta de la tarea programada de evaluación:
[¡IMPORTANTE!] No use "C:\ODA" como ruta de acceso del directorio de trabajo, ya que está reservado por el sistema.
Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Nota:
Si el comando Add-AzureAssessmentTask no está disponible, aún no se ha encontrado el módulo. El agente puede tardar algo de tiempo en aparecer después de la instalación.
El script continuará con la configuración necesaria y creará una tarea programada que desencadenará la recopilación de datos.
La recopilación de datos la desencadena la tarea programada denominada AzureAssessment en el plazo de una hora después de ejecutar el script anterior y, posteriormente, cada 7 días. La tarea se puede modificar para que se ejecute en una fecha u hora diferentes, o incluso se puede forzar para que se ejecute inmediatamente desde la Biblioteca del Programador de tareas -> Microsoft -> Operations Management Suite -> AOI*** -> Evaluaciones -> AzureAssessment.
Ejecución de la evaluación
Durante la recopilación y el análisis, los datos se almacenan temporalmente en la carpeta Directorio de trabajo que se estableció durante la configuración.
Después de algunas horas, los resultados de la evaluación estarán disponibles en su Azure Log Analytics y Services Hub. Para ver los resultados, vaya a Services Hub -> Mantenimiento -> Evaluaciones y seleccione "Ver todas las recomendaciones" en la evaluación activa.
Si deseas que un ingeniero acreditado de Microsoft repase contigo los problemas de tu evaluación de Azure AD, puedes ponerte en contacto con tu representante de Microsoft y preguntarle sobre la entrega remota o in situ dirigida por CSA.
| Contrato | Ingeniero remoto | Ingeniero in situ |
|---|---|---|
| Premier | Hoja de datos remota de Azure AD | Hoja de datos in situ de Azure AD |
| Unificado | Hoja de datos remota de Azure AD | Hoja de datos in situ de Azure AD |