Udostępnij za pośrednictwem

Pierwsze kroki — oceny na żądanie usługi Azure Active Directory

Ocena na żądanie — Azure Active Directory (AD) to usługa chmury, która analizuje i zapewnia wskazówki dotyczące zarządzania tożsamościami i dostępem (IAM), dotyczące usługi Azure Active Directory i powiązanych z nimi składników. Analiza generuje listę problemów do rozwiązania wraz ze wskazówkami dotyczącymi korekt i najlepszych rozwiązań na potrzeby ulepszenia kondycji i zabezpieczeń zasobów Azure. Ponadto ocena identyfikuje funkcje, które po włączeniu pozwalają zwiększyć możliwości Azure AD. Oceny znajdują się w Services Hub. Pomagają one optymalizować dostępność, bezpieczeństwo i wydajność wszystkich zakupionych rozwiązań technologicznych firmy Microsoft. Oceny korzystają z usługi Microsoft Azure Log Analytics, która upraszcza zarządzanie zabezpieczeniami oraz infrastrukturą IT w całym środowisku.

Celem tej oceny jest udostępnienie praktycznych wskazówek, pogrupowanych w kilku kategoriach, które pozwalają zmniejszyć ryzyko dotyczące platformy Azure Active Directory i organizacji.

Główne obszary oceny usługi Azure AD:

  • Zarządzanie tożsamościami i dostępem
  • Nadzór
  • Operacje
  • Uwierzytelnianie
  • Bezpieczeństwo

Uruchamianie oceny platformy Azure AD

Wymagania wstępne

Aby móc w pełni wykorzystać możliwości ocen na żądanie dostępnych w portalu Services Hub, należy najpierw:

  1. Połączenie aktywnej subskrypcji Azure z Services Hub i dodanie oceny usługi Azure AD. Aby dowiedzieć się więcej, zapoznaj się z dokumentem pt. Ocena na żądanie — pierwsze kroki lub obejrzyj film pt. Jak zalinkować wideo.

  2. Konto zaplanowanego zadania oceny (domena lub użytkownik lokalny) o następujących uprawnieniach:

    • Dostęp administracyjny do komputera zbierającego dane
    • Zalogowany w trybie wsadowym na maszynie zbierającej dane

  3. Konto Azure AD na potrzeby konfiguracji aplikacji zarejestrowanej w Azure AD o następujących właściwościach:

    • Administrator globalny
    • Brak federacji

  4. Zapoznaj się z artykułem Wymagania wstępne oceny usługi AD platformy Azure. Ten dokument zawiera szczegółową dokumentację techniczną oceny platformy Azure AD oraz opis przygotowań serwera do uruchomienia oceny. Przedstawiono w nim również różne rodzaje danych zbieranych w ramach oceny.

Uwaga

Pierwsze skonfigurowanie środowiska w celu przeprowadzenia oceny na żądanie trwa średnio 2 godziny. Po przeprowadzeniu oceny można sprawdzić dane w usłudze Analizy dzienników Azure. Jest to uszeregowana według priorytetu lista zaleceń podzielonych na sześć głównych kategorii. Pozwala ona szybko oszacować poziomy zagrożeń i kondycję środowisk, a także podjąć działania mające na celu zminimalizowanie ryzyka i poprawę stanu infrastruktury IT.

Konfigurowanie oceny usługi Microsoft Azure AD na komputerze zbierającym dane

Uwaga

Ocenę można pomyślnie skonfigurować tylko po połączeniu subskrypcji platformy Azure z Services Hub i dodaniu oceny platformy Azure AD za pomocą opcji Kondycja IT -> Oceny na żądanie, dostępnych w Services Hub.

Rejestrowanie aplikacji Oceny firmy Microsoft w dzierżawie usługi Azure AD w zakresie

  1. Na maszynie zbierającej dane utwórz następujący folder: C:\OMS\AzureAD (lub inny folder).

  2. Otwórz program PowerShell w zwykłej wersji (nie w wersji ISE) w trybie administratora i uruchom poniższe polecenie cmdlet, aby utworzyć zarejestrowaną aplikację w poddawanej ocenie dzierżawie usługi Azure AD:

     New-MicrosoftAssessmentsApplication

    Uwaga

    Jeśli polecenie New-MicrosoftAssessmentsApplication jest niedostępne, moduł nie został jeszcze znaleziony. Jego wyświetlenie po zainstalowaniu agenta może zająć trochę czasu.

  3. Podaj wymagane poświadczenia konta Azure AD, które spełniają wymagania wymienione wcześniej w tym artykule. Kliknij przycisk „Akceptuj” w oknie monitu o zgodę administratora dotyczącą uprawnień do odczytu wymaganych przez tę aplikację na potrzeby oceny.

    Uwaga

    Szczegółowe informacje na temat zgody można znaleźć w Uprawnienia dla aplikacji Microsoft Azure AD Assessment.

Tworzenie zaplanowanego zadania oceny

  1. Otwórz zwykły program PowerShell (nie ISE) w trybie administratora i uruchom poniższe polecenie cmdlet, korzystając z poniższych parametrów, zastępując parametry <Katalog> i <NazwaUżytkownika>, katalogiem roboczym oceny i nazwą konta zaplanowanego zadania oceny:

    Ważne

    Nie używaj folderu C:\ODA jako ścieżki katalogu roboczego, ponieważ jest on zarezerwowany przez system!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provides ID for the Log Analytics workspace that will be used to store the uploaded data

    Uwaga

    Jeśli polecenie Add-AzureAssessmentTask jest niedostępne, moduł nie został jeszcze znaleziony. Jego wyświetlenie po zainstalowaniu agenta może zająć trochę czasu.

  2. Skrypt przeprowadzi dalsze potrzebne działania konfiguracyjne i utworzy zaplanowane zadanie, które uruchomi zbieranie danych.

  3. Zbieranie danych zostanie uruchomione przez zaplanowane zadanie o nazwie AzureAssessment w ciągu godziny od uruchomienia poprzedniego skryptu, a następnie będzie uruchamiane co 7 dni. Zadanie można zmodyfikować, aby zostało uruchomione w innym dniu lub o innej godzinie. Można nawet wymusić jego natychmiastowe uruchomienie z poziomu biblioteki zaplanowanych zadań -> Microsoft -> Operations Management Suite -> AOI*** -> Oceny -> AzureAssessment.

Wykonanie oceny

Podczas zbierania i analizowania dane są tymczasowo przechowywane w katalogu roboczym skonfigurowanym podczas instalacji.

Po kilku godzinach wyniki oceny będą dostępne w usłudze Log Analytics i na pulpicie nawigacyjnym Services Hub.

Aby wyświetlić wyniki, przejdź do obszaru Services Hub -> Kondycja -> Oceny, a następnie wybierz opcję „Wyświetl wszystkie zalecenia” dla aktywnej oceny.

Jeśli chcesz, aby akredytowany inżynier firmy Microsoft przejrzał razem z Tobą problemy dotyczące usługi Azure AD Assessment, możesz skontaktować się z przedstawicielem firmy Microsoft i zapytać go o zdalne lub lokalne usługi dostarczane przez CSA.

Umowa Inżynier zdalny Inżynier lokalny
Premier Zdalny arkusz danych usługi Azure AD Lokalny arkusz danych usługi Azure AD
Unified Zdalny arkusz danych usługi Azure AD Lokalny arkusz danych usługi Azure AD