Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La Valutazione on demand di Microsoft Entra ID è un servizio cloud che analizza e fornisce le linee guida per la Gestione delle identità e dell'accesso (IAM) per Azure Active Directory e i componenti correlati. L'analisi genera un elenco di problemi da risolvere con indicazioni per la correzione e best practice per migliorare lo stato e la sicurezza delle risorse Azure. Inoltre, la valutazione identifica le funzionalità che possono essere attivate per espandere le capacità di Microsoft Entra ID. Le valutazioni disponibili in Services Hub consentono di migliorare la disponibilità, la sicurezza e le prestazioni degli investimenti in tecnologia Microsoft. Tali valutazioni utilizzano Microsoft Azure Log Analytics, espressamente concepito per semplificare la gestione dei componenti IT e della sicurezza dell'ambiente.
Questa valutazione ha lo scopo di fornire specifiche indicazioni attuabili, raggruppate per area di interesse, al fine di mitigare i rischi per Microsoft Entra ID e per l'intera organizzazione.
I pilastri principali della valutazione di Microsoft Entra ID
- Gestione di identità e accessi
- Governance
- Operazioni
- Autenticazione
- Sicurezza
Esecuzione della Valutazione di Microsoft Entra ID
Prerequisiti
Per ottenere il massimo dalle valutazioni on demand disponibili in Services Hub, è necessario:
Collegare una sottoscrizione di Azure attiva a Services Hub e aggiungere la Valutazione di Microsoft Entra ID. Per ulteriori informazioni, consultare Introduzione alle valutazioni on demand o guardare il video sul collegamento.
Creare un account per l'attività pianificata di valutazione (utente locale o di dominio), con i diritti seguenti:
- Accesso di amministrazione al sistema di raccolta dei dati
- Accedere con privilegi per processi batch sul computer di raccolta dati
- Un account Microsoft Entra ID per l'impostazione dell'applicazione registrata Microsoft Entra ID con le seguenti proprietà:
- Amministratore globale
- Non federato
Nota
per configurare l'ambiente ed eseguire la valutazione la prima volta sono necessarie in media due ore. Dopo aver eseguito una valutazione puoi esaminare i dati su Azure Log Analytics. Questo ti fornirà un elenco di raccomandazioni in ordine di priorità suddivise in sei aree di attenzione. Questo permette a te e al tuo team di capire rapidamente i livelli di rischio, l’integrità dei tuoi ambienti e di agire per ridurre il rischio e migliorare l’integrità IT generale.
Configurare la valutazione di Microsoft Entra ID sul computer per la raccolta dei dati
Nota
Sarà possibile configurare correttamente la valutazione solo dopo aver collegato la sottoscrizione di Azure a Services Hub e aver aggiunto la valutazione di Microsoft Entra ID da Integrità IT -> Valutazioni on demand in Services Hub.
Registrare l'applicazione Valutazioni Microsoft nel tenant di Microsoft Entra ID appartenente all'ambito
- Sul computer per la raccolta di dati, creare la seguente cartella: C:\OMS\AzureAD (o qualsiasi altra cartella a piacimento)
- Aprire la versione standard di PowerShell (non ISE) in modalità Amministratore ed eseguire il cmdlet riportato di seguito per creare l'app registrata nel tenant di Microsoft Entra ID in fase di valutazione:
New-MicrosoftAssessmentsApplication
Nota
Se il comando New-MicrosoftAssessmentsApplication non è disponibile, significa che il modulo non è ancora stato trovato. Per la visualizzazione, potrebbe essere necessario attendere alcuni istanti dopo l'installazione dell'agente.
- Fornire le credenziali dell'account utente Microsoft Entra ID richiesto e conforme ai requisiti precedentemente indicati in questo articolo. Selezionare l'opzione "Accetta" nella richiesta di consenso dell'amministratore per le autorizzazioni di lettura richieste da questa applicazione per la valutazione.
Nota
Per le informazioni sul consenso, fare riferimento alle Autorizzazioni per l'applicazione di Valutazione di Microsoft Entra ID.
Creare l'attività di valutazione pianificata
- Aprire la versione standard di Powershell (non ISE) in modalità Amministratore ed eseguire il seguente cmdlet usando i parametri indicati, sostituendo <Directory> e <AccountName> con la directory di lavoro della valutazione e il nome account dell'attività di valutazione pianificata:
[! IMPORTANTE] Non usare "C:\ODA" come percorso di directory di lavoro, in quanto è riservata dal sistema.
Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment
Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data
Nota
Se il comando Add-AzureAssessmentTask non è disponibile, significa che il modulo non è ancora stato trovato. Per la visualizzazione, potrebbe essere necessario attendere alcuni istanti dopo l'installazione dell'agente.
Lo script continuerà con la configurazione necessaria e creerà un'attività pianificata che avvierà la raccolta dei dati.
La raccolta dei dati verrà avviata dall'attività pianificata denominata AzureAssessment entro un'ora dall'esecuzione dello script precedente e quindi ogni 7 giorni. L'attività può essere modificata per essere eseguita in una data/ora diversa o addirittura forzata per essere eseguita immediatamente dalla libreria dell'utilità di pianificazione -> Microsoft -> Operations Management Suite -> AOI*** -> Valutazioni -> AzureAssessment
Esecuzione della valutazione
Durante la raccolta e l'analisi, i dati vengono temporaneamente archiviati nella cartella Directory di lavoro configurata durante l'impostazione.
Dopo alcune ore, i risultati della valutazione saranno disponibili sul tuo Log Analytics e Services Hub. Per visualizzare i risultati, passare a Services Hub -> Integrità -> Valutazioni e quindi selezionare "Visualizza tutti i suggerimenti" per la valutazione attiva.
Se si desidera che un tecnico accreditato Microsoft esamini i problemi relativi alla valutazione di Microsoft Entra ID, contattare il rappresentante Microsoft e chiedere informazioni sulla consegna remota o in loco guidata dal CSA.
| Contratto | Tecnico remoto | Tecnico sul posto |
|---|---|---|
| Premier | Foglio dati remoto per Microsoft Entra ID | Foglio dati locale per Microsoft Entra ID |
| Unified | Foglio dati remoto per Microsoft Entra ID | Foglio dati locale per Microsoft Entra ID |