Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Zero Trust Assessment controleert uw tenantconfiguratie en raadt manieren aan om de beveiliging te verbeteren, zoals beschreven in ons overzicht.
Vereiste voorwaarden
- PowerShell 7. Zie PowerShell installeren in Windows, Linux en macOS om deze te installeren.
- Als u de eerste keer verbinding wilt maken en toestemming wilt geven voor de vereiste machtigingen, moet u een globale beheerder zijn.
- Volgende uitvoeringen kunnen de rol globale lezer gebruiken.
- Als u een eerdere versie van de Zero Trust Assessment hebt geïnstalleerd, verwijdert u deze voordat u doorgaat.
De PowerShell-modules installeren
Volg deze stappen om de evaluatie te installeren of bij te werken en verbinding te maken met Microsoft Graph en uw tenant.
Open een nieuw PowerShell 7-venster.
Voer de volgende opdracht uit om de
ZeroTrustAssessmentmodule te installeren:Install-Module ZeroTrustAssessment -Scope CurrentUser
Verbinding maken met Microsoft Graph en Microsoft Azure
Als u de Zero Trust Assessment-module wilt uitvoeren, maakt u verbinding met Microsoft Graph en Microsoft Azure. De module Zero Trust Assessment maakt eerst verbinding met Microsoft Graph en vervolgens met Microsoft Azure.
Voer deze opdracht uit om verbinding te maken met Microsoft Graph:
Connect-ZtAssessment
Wanneer u verbinding maakt door gebruik te maken van Microsoft Graph PowerShell, worden deze machtigingen aangevraagd:
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- DirectoryAanbevelingen.Lezen.Alles
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- IdentityRiskyUser.Read.All
- Beleid.Lees.Alles
- Policy.Read.ConditionalAccess
- Policy.Read.PermissionGrant
- PrivilegedAccess.Read.AzureAD
- Reports.Lezen.Alle
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Opmerking
De toestemmingsprompt wordt alleen weergegeven als de Microsoft Graph PowerShell-app nog niet over deze machtigingen beschikt. De volgende keer dat u verbinding maakt, hoeft u niet opnieuw toestemming te geven voor de machtigingen.
Aanmelden bij Microsoft Graph
- Meld u als globale beheerder aan bij Microsoft Graph.
- Selecteer Accepteren.
Aanmelden bij Microsoft Azure
Er wordt een tweede venster geopend voor de aanmelding bij Microsoft Azure. Wanneer u hierom wordt gevraagd, meldt u zich als globale beheerder aan bij Microsoft Azure.
De aanmelding van Microsoft Azure is vereist om te controleren op de export van audit- en aanmeldingslogboeken. Als u geen Microsoft Azure hebt, sluit u het venster zonder u aan te melden en negeert u de waarschuwing. De evaluatie slaat de test over die afhankelijk is van Microsoft Azure.
Als u meerdere abonnementen hebt, selecteert u een tenant en een abonnement wanneer u hierom wordt gevraagd.
De evaluatie uitvoeren
De Zero Trust-beoordeling is alleen lezen. Alle gegevens worden lokaal op het bureaublad uitgevoerd en opgeslagen. Het is een goede gewoonte om het evaluatierapport veilig op te slaan en de gegenereerde map en de inhoud ervan van de lokale schijf te verwijderen zodra de beoordeling is voltooid.
Nadat u globale beheerder toestemming hebt gegeven voor de machtigingen in de eerste uitvoering, kunnen volgende uitvoeringen worden uitgevoerd als globale lezer.
Gebruik deze opdracht om de evaluatie uit te voeren:
Invoke-ZtAssessment
De evaluatie slaat de resultaten op in de huidige werkmap .\ZeroTrustReport\ZeroTrustAssessmentReport.html. Nadat de evaluatie is voltooid, wordt het rapport automatisch geopend in de standaardbrowser.
Waarschuwing
Het rapport en de exportmap bevatten gevoelige tenantgegevens die bedreigingsactoren in hun voordeel kunnen gebruiken. Deel het rapport en de map alleen met geautoriseerd personeel in uw organisatie.
Gebruik de -Path parameter om een aangepaste locatie op te geven voor het opslaan van het evaluatierapport. Met de volgende opdracht wordt het rapport bijvoorbeeld opgeslagen in de map C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Aanbeveling
Voor grote tenants kan het langer dan 24 uur duren voordat de Zero Trust-evaluatie is uitgevoerd. Stop de evaluatie niet terwijl deze wordt uitgevoerd, zelfs niet als de evaluatie waarschuwingen of fouten registreert.
Evaluatieresultaten bekijken
Nadat de evaluatie is uitgevoerd, opent het rapport het tabblad Overzicht in uw standaardbrowser. Op het tabblad Overzicht ziet u belangrijke zero trust-informatie over de tenant.
Op de tabbladen Identiteit en Apparaten ziet u een lijst met resultaten van de tests die worden uitgevoerd op de tenant. De resultaten geven de risico - en resultaatstatus van elke test weer.
Selecteer een resultaat voor meer informatie over een test. De details beschrijven wat is getest en vermeld aanbevolen herstelacties om de tenantconfiguratie aan te pakken. Zie onze woordenlijst voor meer details over enkele van de termen die in elke controle worden gebruikt.
De module Zero Trust Assessment verwijderen
De Zero Trust Assessment-module verwijderen:
- Verwijder de PowerShell-module.
- Verwijder de app-registratie en -toestemming.
- Verwijder de map die de Zero Trust Assessment-module heeft gemaakt.
FAQs
Vorige versies verwijderen
Voer de volgende opdrachten uit om ervoor te zorgen dat alle versies van de vorige modules worden verwijderd
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Start PowerShell opnieuw en installeer de nieuwste versie.
Kan bestand of assembly Microsoft.Graph.Authentication niet laden
Deze fout treedt op wanneer er conflicterende versies van Microsoft Graph PowerShell zijn geïnstalleerd.
U kunt deze fout oplossen door alle Microsoft Graph PowerShell-modules te verwijderen die op uw systeem zijn geïnstalleerd. U kunt een helpermodule zoals uninstall-graph.merill.net gebruiken om het opschonen uit te voeren.
Wanneer u Microsoft Graph verwijdert, moet u ook alle versies van de Zero Trust Assessment verwijderen, PowerShell opnieuw starten en vervolgens de nieuwste versie installeren.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Hoe weet ik wat het script doet?
De code voor deze evaluatie is open source. Bekijk het op https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Waarom heb ik de uitzonderingsfout 'Het type initializer voor 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' een uitzondering veroorzaakt.'
Bij een nieuwe installatie van Windows ziet u mogelijk de volgende fout:
De type initializer voor DuckDB.NET.Data.DuckDBConnectionStringBuilder heeft een uitzondering veroorzaakt. Interne uitzondering: KAN DLL 'duckdb' of een van de bijbehorende afhankelijkheden niet laden: de opgegeven module is niet gevonden. (0x8007007E) Interne uitzonderingstype: DllNotFoundException
Deze fout treedt op omdat u werkt op een systeem dat Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64 niet bevat. VCRedist wordt meestal geïnstalleerd wanneer u Microsoft-producten zoals Microsoft Office of Microsoft Entra Connect Sync installeert. Als u een nieuw apparaat gebruikt, moet u dit onderdeel mogelijk handmatig installeren. Zie de meest recente versie van Microsoft Visual C++ Redistributable.
Ondersteuning voor Windows op ARM64-apparaten is momenteel niet beschikbaar.
Hoe krijg ik ondersteuning?
Meld supportvragen in de GitHub-opslagplaats Zero Trust Assessment.
Verwante inhoud
- Zero Trust-evaluatieterminologie
- Microsoft Entra configureren voor betere beveiliging
- Microsoft Intune configureren voor betere beveiliging