แชร์ผ่าน

เริ่มต้นใช้งาน - การประเมินตามความต้องการของ Azure Active Directory

การประเมินตามความต้องการ - Azure Active Directory (AD) เป็นบริการระบบคลาวด์ที่วิเคราะห์และให้ข้อมูลเอกลักษณ์และการจัดการการเข้าถึง (IAM) สําหรับ Azure AD และคอมโพเนนต์ที่เกี่ยวข้อง การวิเคราะห์สร้างรายการคําแนะนําเพื่อจัดการกับคําแนะนําการแก้ไขและแนวทางปฏิบัติที่ดีที่สุดในการปรับปรุงสุขภาพและการรักษาความปลอดภัยของทรัพยากร Azure นอกจากนี้ การประเมินยังระบุคุณลักษณะที่สามารถเปิดใช้งานเพื่อขยายความสามารถของ Azure AD การประเมินมีให้บริการผ่านฮับบริการเพื่อช่วยปรับความพร้อมใช้งาน ความปลอดภัย และประสิทธิภาพของการลงทุนด้านเทคโนโลยีของ Microsoft ให้เหมาะสม การประเมินเหล่านี้ใช้ Microsoft Azure Log Analytics ซึ่งออกแบบมาเพื่อลดความซับซ้อนของการจัดการไอทีและความปลอดภัยทั่วทั้งสภาพแวดล้อม

การประเมินนี้ออกแบบมาเพื่อให้คําแนะนําที่สามารถดําเนินการได้ซึ่งจัดกลุ่มในพื้นที่โฟกัสเพื่อลดความเสี่ยงต่อ Azure Active Directory และองค์กร

หลักสําคัญของการประเมิน Azure AD:

  • การจัดการข้อมูลประจําตัวและการเข้าถึง
  • การควบคุมดูแล
  • ฝ่ายการปฏิบัติงาน
  • การรับรองความถูกต้อง
  • การรักษาความปลอดภัย

กําลังเรียกใช้การประเมิน Azure AD

ข้อกำหนดเบื้องต้น

เพื่อให้ได้รับประโยชน์สูงสุดจากการประเมินตามความต้องการที่พร้อมใช้งานผ่านฮับบริการ คุณจําเป็นต้อง:

  1. ได้เชื่อมโยงการสมัครใช้งาน Azure ที่ใช้งานอยู่กับฮับบริการและเพิ่มการประเมิน Azure AD สําหรับข้อมูลเพิ่มเติม ดูเริ่มต้นใช้งานการประเมินตามความต้องการ หรือดูวิธีลิงก์วิดีโอ

  2. มีบัญชีงานตามกําหนดเวลาการประเมิน (โดเมนหรือผู้ใช้ภายในเครื่อง) ที่มีสิทธิ์ต่อไปนี้:

    • จัดการการเข้าถึงเครื่องเก็บรวบรวมข้อมูล
    • เข้าสู่ระบบในฐานะสิทธิ์ชุดงานบนเครื่องรวบรวมข้อมูล

  3. มีบัญชี Azure AD สําหรับการตั้งค่าของแอปพลิเคชันที่ลงทะเบียน Azure AD ด้วยคุณสมบัติต่อไปนี้:

    • ผู้ดูแลระบบ Global
    • ไม่รวมกลุ่ม

  4. ตรวจสอบข้อกําหนดเบื้องต้นในการประเมิน Azure AD เอกสารนี้อธิบายเอกสารทางเทคนิคโดยละเอียดของการประเมิน Azure AD และการเตรียมเซิร์ฟเวอร์ที่จําเป็นในการเรียกใช้การประเมิน นอกจากนี้ยังจัดทําเอกสารข้อมูลประเภทต่างๆที่รวบรวมโดยการประเมิน

หมายเหตุ

โดยเฉลี่ยแล้ว จะใช้เวลาสองชั่วโมงในการกําหนดค่าสภาพแวดล้อมของคุณเบื้องต้นเพื่อเรียกใช้การประเมินตามความต้องการ เมื่อคุณเรียกใช้การประเมิน คุณสามารถตรวจสอบข้อมูลใน Azure Log Analytics ได้ ข้อมูลช่วยให้คุณมีรายการคําแนะนําที่จัดลําดับความสําคัญทั่วทั้งหกพื้นที่โฟกัส รายการนี้ช่วยให้คุณและทีมของคุณเข้าใจระดับความเสี่ยง สถานภาพของสภาพแวดล้อมของคุณ ลดความเสี่ยง และปรับปรุงสุขภาพโดยรวมของ IT ของคุณได้อย่างรวดเร็ว

ตั้งค่าการประเมิน Microsoft Azure AD บนเครื่องรวบรวมข้อมูล

หมายเหตุ

คุณสามารถตั้งค่าการประเมินได้สําเร็จเท่านั้นหลังจากที่คุณได้เชื่อมโยงการสมัครใช้งาน Azure ของคุณกับฮับบริการและเพิ่มการประเมิน Azure AD จากสุขภาพ IT -> การประเมินตามความต้องการในฮับบริการ

ลงทะเบียนแอปพลิเคชันการประเมิน Microsoft ในผู้เช่า Azure AD ในขอบเขต

  1. บนเครื่องคอลเลกชันข้อมูลของคุณ ให้สร้างโฟลเดอร์ต่อไปนี้: C:\OMS\AzureAD (หรือโฟลเดอร์อื่นที่คุณต้องการ)

  2. เปิด PowerShell ทั่วไป (ไม่ใช่ ISE) ในโหมดผู้ดูแลระบบและเรียกใช้ cmdlet ต่อไปนี้เพื่อสร้างแอปที่ลงทะเบียนในผู้เช่า Azure AD ที่กําลังประเมิน:

     New-MicrosoftAssessmentsApplication

    หมายเหตุ

    ถ้าคําสั่ง New-MicrosoftAssessmentsApplication ไม่พร้อมใช้งาน คุณยังไม่พบมอดูล อาจใช้เวลาสักครู่หลังจากติดตั้งตัวแทนก่อนที่จะปรากฏขึ้น

  3. ระบุข้อมูลประจําตัวบัญชี Azure AD ที่จําเป็นที่เป็นไปตามข้อกําหนดที่ระบุไว้ในบทความนี้ก่อนหน้านี้ เลือก "ยอมรับ" บนพร้อมท์ความยินยอมของผู้ดูแลระบบสําหรับสิทธิ์การอ่านที่แอปพลิเคชันนี้จําเป็นต้องมีสําหรับการประเมิน

    หมายเหตุ

    สําหรับรายละเอียดความยินยอม ดู การอนุญาตสําหรับแอปพลิเคชันการประเมิน Microsoft Azure AD

สร้างงานตามกําหนดเวลาการประเมิน

  1. เปิด PowerShell ทั่วไป (ไม่ใช่ ISE) ในโหมดผู้ดูแลระบบและเรียกใช้ cmdlet ต่อไปนี้โดยใช้พารามิเตอร์ต่อไปนี้ แทนที่ <ไดเรกทอรี> และ <AccountName> ด้วยไดเรกทอรีการทํางานการประเมินและชื่อบัญชีงานตามกําหนดเวลาการประเมิน:

    สำคัญ

    อย่าใช้ C:\ODA เป็นเส้นทางไดเรกทอรีที่ทํางานตามที่ระบบสงวนไว้!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provides ID for the Log Analytics workspace that will be used to store the uploaded data

    หมายเหตุ

    ถ้าคําสั่ง Add-AzureAssessmentTask ไม่พร้อมใช้งาน โมดูลจะยังไม่พบ อาจใช้เวลาสักครู่หลังจากติดตั้งตัวแทนก่อนที่จะปรากฏขึ้น

  2. สคริปต์จะดําเนินการต่อด้วยการกําหนดค่าที่จําเป็นและสร้างงานตามกําหนดเวลาที่ทริกเกอร์การรวบรวมข้อมูล

  3. คอลเลกชันข้อมูลถูกทริกเกอร์ โดยงานที่จัดกําหนดการที่ชื่อว่า AzureAssessment ภายในหนึ่งชั่วโมงของคุณเรียกใช้สคริปต์ก่อนหน้า แล้วอีกครั้งทุก เจ็ดวัน คุณสามารถปรับเปลี่ยนงานที่จะเรียกใช้ในวันที่/เวลาอื่นหรือบังคับให้ทํางานทันทีโดยนําทางไปยังไลบรารีตัวจัดกําหนดการงาน -> Microsoft -> Operations Management Suite -> AOI*** -> การประเมิน -> AzureAssessment

การดําเนินการประเมิน

ในระหว่างการรวบรวมและการวิเคราะห์ ข้อมูลจะถูกเก็บไว้ชั่วคราวภายใต้โฟลเดอร์ Working Directory ที่กําหนดค่าไว้ระหว่างการตั้งค่า

หลังจากสองสามชั่วโมง ผลลัพธ์การประเมินของคุณจะพร้อมใช้งานบนฮับการวิเคราะห์รายการบันทึกและบริการของคุณ

คุณสามารถนําทางเพื่อดูผลลัพธ์ได้โดยการเข้าไปที่ฮับบริการ -> สุขภาพ -> การประเมิน จากนั้นเลือก "ดูคําแนะนําทั้งหมด" ในการประเมินที่ใช้งานอยู่

หากคุณต้องการให้วิศวกรที่ได้รับการรับรองของ Microsoft แก้ไขปัญหาเกี่ยวกับการประเมิน Azure AD ของคุณกับคุณ คุณสามารถติดต่อตัวแทน Microsoft ของคุณ และถามพวกเขาเกี่ยวกับ CSA ระยะไกลหรือในสถานที่นําส่ง

ข้อตกลง วิศวกรระยะไกล วิศวกรภายในสถานที่
พรีเมียร์ แผ่นข้อมูลระยะไกลของ Azure AD แผ่นข้อมูลภายในสถานที่ของ Azure AD
แบบครบวงจร แผ่นข้อมูลระยะไกลของ Azure AD แผ่นข้อมูลภายในสถานที่ของ Azure AD