Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Śledzenie wszystkich ustawień i zasobów w Twojej dzierżawie może okazać się przytłaczające. Funkcja rekomendacji firmy Microsoft Entra pomaga monitorować stan dzierżawy, aby nie trzeba było tego robić. Te zalecenia pomagają zapewnić, że tenant jest w bezpiecznym i stanie zdrowym, a jednocześnie pomagają zmaksymalizować wartość funkcji dostępnych w Microsoft Entra ID.
Rekomendacje firmy Microsoft Entra obejmują teraz zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości. Te rekomendacje dostarczają podobne wglądy dotyczące bezpieczeństwa twojej dzierżawy. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Wszystkie te rekomendacje firmy Microsoft Entra udostępniają spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:
- Ułatwia identyfikowanie możliwości wdrożenia najlepszych rozwiązań dotyczących tożsamości.
- Popraw stan dzierżawy Microsoft Entra.
- Zoptymalizuj konfiguracje dla Twoich scenariuszy.
Ten artykuł zawiera omówienie sposobu korzystania z rekomendacji firmy Microsoft Entra.
Jak to działa?
Na co dzień Microsoft Entra ID analizuje konfigurację dzierżawy. Podczas tej analizy identyfikator Entra firmy Microsoft porównuje konfigurację dzierżawy z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i danymi rekomendacji. Jeśli rekomendacja jest oznaczona jako odpowiednia dla Twojej dzierżawy, rekomendacja zostanie wyświetlona w sekcji Rekomendacje w panelu przeglądu tożsamości Microsoft Entra.
Każde zalecenie zawiera opis, podsumowanie wartości zalecenia oraz szczegółowy plan działania. Jeśli ma to zastosowanie, zasoby związane z zaleceniem są wymienione, aby można było rozwiązać każdy dotknięty obszar. Jeśli zalecenie nie ma żadnych skojarzonych zasobów, wpływ na typ zasobu to Poziom dzierżawy, więc plan działania krok po kroku ma wpływ na całą dzierżawę, a nie tylko określony zasób.
Tabela przeglądu zaleceń
Zalecenia wymienione w poniższej tabeli są obecnie dostępne w wersji zapoznawczej dla ogółu lub w ogólnej dostępności, obejmują typy zasobów, których dotyczą te zalecenia, oraz więcej. Wymagania licencyjne dotyczące zaleceń w publicznej wersji zapoznawczej mogą ulec zmianie. Tabela zawiera linki do dostępnej dokumentacji dla tych zaleceń, które wymagały oddzielnych wskazówek.
| Zalecenie | Zasoby objęte wpływem | Dostępność | Wskaźnik bezpieczeństwa tożsamości | Role docelowe dla powiadomień e-mail |
|---|---|---|---|---|
| AAD Connect wycofany z użycia | Najemca | Podgląd | Nie | Administrator tożsamości hybrydowej |
| Konfigurowanie integracji sieci VPN | Użytkownicy | Podgląd | Tak | N/A |
| Konwersja MFA użytkownika na MFA oparte na dostępie warunkowym | Użytkownicy | Ogólnie dostępne | Nie | Administrator zabezpieczeń |
| Wyznaczanie więcej niż jednego administratora globalnego | Użytkownicy | Ogólnie dostępne | Tak | Globalny administrator usługi |
| Nie zezwalaj użytkownikom na udzielanie zgody na zawodne aplikacje | Najemca | Ogólnie dostępne | Tak | Globalny administrator usługi |
| Nie wygasaj haseł | Najemca | Ogólnie dostępne | Tak | Globalny administrator usługi |
| Edytuj listy kontroli dostępu nieprawidłowo skonfigurowanych szablonów certyfikatów | Aplikacje | Podgląd | Tak | N/A |
| Edytowanie nieprawidłowo skonfigurowanego szablonu certyfikatu agenta rejestracji | Aplikacje | Podgląd | Tak | N/A |
| Włącz synchronizację skrótów haseł, jeśli używasz rozwiązania hybrydowego | Najemca | Ogólnie dostępne | Tak | Administrator tożsamości hybrydowej |
| Włącz zasady blokowania starszego uwierzytelniania | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Włączanie samoobsługowego resetowania hasła | Użytkownicy | Ogólnie dostępne | Tak | Administrator zasad uwierzytelniania |
| Upewnij się, że wszyscy użytkownicy mogą ukończyć uwierzytelnianie wieloskładnikowe | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Migracja aplikacji z usług AD FS do Microsoft Entra ID | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji, administrator uwierzytelniania — administrator tożsamości hybrydowej |
| Przenieś aplikacje z wycofywanych interfejsów API Azure AD Graph do Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie z ADAL do MSAL | Aplikacje | Ogólnie dostępne | Nie | Administrator aplikacji |
| Migrowanie z serwera MFA do usługi Microsoft Entra MFA | Najemca | Dostępne ogólnie | Nie | Globalny administrator usługi |
| Migrowanie jednostek usługi z wycofywania interfejsów API programu Azure AD Graph do usługi Microsoft Graph | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Migrowanie do aplikacji Microsoft Authenticator | Użytkownicy | Podgląd | Nie | Globalny administrator usługi |
| Minimalizowanie monitów uwierzytelniania wieloskładnikowego ze znanych urządzeń | Użytkownicy | Ogólnie dostępne | Nie | Globalny administrator usługi |
| Modyfikowanie niezabezpieczonych delegacji Kerberos w celu zapobiegania podszywaniu się. | Aplikacje | Podgląd | Tak | N/A |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z logowaniem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Ochrona wszystkich użytkowników przy użyciu zasad ryzyka związanego z użytkownikiem | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Ochrona haseł administratora lokalnego i zarządzanie nimi za pomocą rozwiązania Microsoft LAPS | Użytkownicy | Podgląd | Tak | N/A |
| Chroń swoje dzierżawy za pomocą polityki dostępu warunkowego w przypadku ryzyka wewnętrznego | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Usuwanie nieaktywnych kont z poufnych grup | Użytkownicy | Podgląd | Tak | N/A |
| Usuwanie niebezpiecznych uprawnień na poufnych kontach programu Microsoft Entra Connect | Użytkownicy | Podgląd | Tak | N/A |
| Usuwanie nieużywanych aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Usuwanie nieużywanych poświadczeń z aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń aplikacji | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Odnawianie wygasających poświadczeń jednostki usługi | Aplikacje | Podgląd | Nie | Administrator aplikacji |
| Zastąp konto Enterprise lub konto administratora domeny dla łącznika AD DS w Microsoft Entra Connect | Użytkownicy | Podgląd | Tak | N/A |
| Wymaganie uwierzytelniania wieloskładnikowego dla ról administracyjnych | Użytkownicy | Ogólnie dostępne | Tak | Administrator dostępu warunkowego, administrator zabezpieczeń |
| Odwracalne hasła znalezione w obiektach zasad grupy | Użytkownicy | Podgląd | Tak | N/A |
| Przeglądanie nieaktywnych użytkowników za pomocą przeglądów dostępu | Użytkownicy | Podgląd | Nie | Administrator zarządzania tożsamością |
| Obracanie hasła dla konta łącznika usług AD DS firmy Microsoft | Użytkownicy | Podgląd | Tak | N/A |
| Zabezpiecz i zarządzaj swoimi aplikacjami dzięki automatycznej aprowizacji użytkowników i grup. | Aplikacje | Podgląd | Nie | Administrator aplikacji, administrator zarządzania IT |
| Zatrzymaj ujawnianie poświadczeń w postaci zwykłego tekstu | Użytkownicy | Podgląd | Tak | N/A |
| Zatrzymać stosowanie słabych szyfrów | Najemca | Podgląd | Tak | N/A |
| Używanie ról administracyjnych o najniższych uprawnieniach | Użytkownicy | Ogólnie dostępne | Tak | Administrator ról uprzywilejowanych |
| Weryfikowanie wydawcy aplikacji | Aplikacje | Podgląd | Nie | Globalny administrator usługi |
Firma Microsoft Entra wyświetla tylko zalecenia dotyczące twojej dzierżawy, więc możesz nie zobaczyć wszystkich obsługiwanych zaleceń wymienionych.
Wskaźnik bezpieczeństwa tożsamości
Wskaźnik bezpieczeństwa tożsamości wyświetlany w górnej części strony to liczbowa reprezentacja kondycji dzierżawy. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości otrzymują indywidualne wyniki w tabeli w dolnej części strony. Listę zaleceń można filtrować tylko do zaleceń dotyczących wskaźnika bezpieczeństwa tożsamości przy użyciu karty filtru Security. Zalecenia dotyczące wskaźnika bezpieczeństwa tożsamości obejmują punkty wskaźnika bezpieczeństwa, które są obliczane jako ogólny wynik na podstawie kilku czynników zabezpieczeń.
Te wyniki sumuje się w celu wygenerowania wskaźnika bezpieczeństwa tożsamości. Aby uzyskać więcej informacji, zobacz Co to jest wskaźnik bezpieczeństwa tożsamości.
Czy rekomendacje firmy Microsoft Entra są związane z usługą Azure Advisor?
Funkcja rekomendacji firmy Microsoft Entra to specyficzna dla firmy Microsoft implementacja usługi Azure Advisor, która jest spersonalizowanym konsultantem w chmurze, który ułatwia stosowanie najlepszych rozwiązań w celu zoptymalizowania wdrożeń platformy Azure. Usługa Azure Advisor analizuje konfigurację zasobów i dane użycia, aby zalecić rozwiązania, które mogą pomóc w zwiększeniu efektywności kosztowej, wydajności, niezawodności i bezpieczeństwa zasobów platformy Azure.
Rekomendacje dotyczące Microsoft Entra wykorzystują podobne dane, aby pomóc Ci we wdrażaniu najlepszych praktyk firmy Microsoft oraz zarządzaniu nimi dla dzierżawców Microsoft Entra, aby utrzymać ich w bezpiecznym i dobrym stanie. Funkcja rekomendacji firmy Microsoft Entra zapewnia całościowy wgląd w zabezpieczenia, kondycję i użycie dzierżawy.
Powiadomienia e-mail (wersja zapoznawcza)
Rekomendacje Microsoft Entra teraz generują powiadomienia e-mail, gdy zostanie wygenerowane nowe zalecenie. Ta nowa funkcja w wersji zapoznawczej wysyła wiadomości e-mail do wstępnie określonego zestawu ról dla każdego zalecenia. Na przykład zalecenia skojarzone z kondycją aplikacji dzierżawy są wysyłane do użytkowników, którzy mają rolę Administratora aplikacji.
Jeśli twoja organizacja korzysta z usługi Privileged Identity Management (PIM), adresaci muszą mieć podwyższony poziom uprawnień do roli wskazanej w celu otrzymania powiadomienia e-mail. Jeśli nikt nie jest aktywnie przypisany do roli, żadne wiadomości e-mail nie są wysyłane. Z tego powodu zalecamy regularne sprawdzanie zaleceń, aby upewnić się, że znasz wszelkie nowe zalecenia.