Поділитися через


Початок роботи з Azure Active Directory на вимогу оцінювання – Центр залучення Microsoft (Центр послуг)

Оцінка на вимогу – Azure Active Directory (AD) – це хмарна служба, яка аналізує та надає вказівки з керування ідентичностями та доступом (IAM) для Azure AD та пов'язаних компонентів. Аналіз створює список рекомендацій для вирішення з рекомендаціями з виправлення та рекомендаціями щодо покращення справності та безпеки ресурсів Azure. Крім того, оцінювання визначає функції, які можна ввімкнути, щоб розширити можливості Azure AD. Оцінки доступні в Центрі залучення Microsoft, щоб оптимізувати доступність, безпеку та продуктивність інвестицій у технології Microsoft. Ці оцінки використовують Microsoft Azure Log Analytics, яка покликана спростити керування ІТ та безпекою в усьому середовищі.

Ця оцінка призначена для надання конкретних дієвих рекомендацій, згрупованих у фокус-областях для зменшення ризиків для Azure Active Directory та організації.

Ключові стовпи оцінки Azure AD

  • Посвідчення та керування записами
  • Керування
  • Операційна діяльність
  • Автентифікація
  • Безпека

Запуск Azure AD

Попередні вимоги

Щоб скористатися всіма перевагами на вимогу, доступними через Центр залучення Microsoft, необхідно:

  1. Спочатку потрібно налаштувати з'єднувач концентратора послуг, щоб настроїти оцінки на вимогу. Дотримуйтеся цих вказівок, щоб налаштувати з'єднувач концентратора служб, підключитися до робочої області Log Analytics, а потім додати на вимогу s , які потрібно настроїти.

  2. Див . статтю Початок роботи з оцінками на вимогу.

  3. Обліковий запис запланованого завдання оцінювання (домен або локальний користувач) із такими правами:

    • Адміністративний доступ до комп'ютера збору даних
    • Вхід у систему як права групового завдання на комп'ютері збору даних
  4. Обліковий запис Azure AD для налаштування зареєстрованої програми Azure AD з такими властивостями:

    • Глобальний адміністратор
    • Не федеративний
  5. Перегляньте попередні вимоги до оцінювання Azure AD. У цьому документі пояснюється детальна технічна документація Azure AD Assessment і підготовка сервера, необхідна для проведення оцінки. Він також документує різні типи даних, зібраних оцінкою.

Нотатка

У середньому спочатку потрібно дві години, щоб настроїти середовище для запуску на вимогу . Після оцінювання ви можете переглянути дані в Azure Log Analytics. Таким чином ви отримаєте пріоритетний список рекомендацій, призначений для категорії в шести областях фокусування. Це дає змогу вам і вашій команді швидко зрозуміти рівень ризику, здоров'я середовища, діяти для зниження ризику та покращити загальний стан ІТ-здоров'я.

Налаштування оцінювання Microsoft Azure AD на комп'ютері збору даних

Нотатка

Спочатку потрібно налаштувати з'єднувач концентратора послуг, щоб настроїти оцінки на вимогу. Дотримуйтеся цих вказівок, щоб налаштувати з'єднувач концентратора служб, підключіться до робочої області Log Analytics, а потім додайте оцінки на вимогу, які потрібно настроїти.

Зареєструйте програму Microsoft Assessments у клієнті Azure AD в області

  1. На комп'ютері збору даних створіть таку папку: C:\OMS\AzureAD (або будь-яку іншу папку, як вам може знадобитися)

  2. Відкрийте звичайну оболонку PowerShell (не ISE) у режимі адміністратора та запустіть наведений нижче командлет, щоб створити зареєстровану програму в клієнті Azure AD, який оцінюється:

     New-MicrosoftAssessmentsApplication
    

    Нотатка

    Якщо команда New-MicrosoftAssessmentsApplication недоступна, модуль ще не знайдено. Перш ніж він з'явиться, може знадобитися деякий час після інсталяції агента.

  3. Укажіть необхідні облікові дані облікового запису Azure AD, які відповідають вимогам, згаданим у цій статті вище. Виберіть прийняти в запиті на згоду адміністратора дозволи на читання, які ця програма вимагає для оцінювання.

    Нотатка

    Докладні відомості див . в розділі Дозволи для програми оцінювання Microsoft Azure AD.

Створення запланованого завдання оцінювання

  1. Відкрийте звичайну оболонку PowerShell (не ISE) у режимі адміністратора та запустіть наведений нижче командлет, використовуючи параметри, замінивши та \<AccountName\> оцінюючи \<Directory\> робочий каталог і оцінку, заплановане ім'я облікового запису завдання:

    Важливо

    Не використовуйте C:\ODA шлях до робочого каталогу, оскільки це зарезервовано системою!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>
    

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

    Нотатка

    Якщо команда Add-AzureAssessmentTask недоступна, модуль ще не знайдено. Перш ніж він з'явиться, може знадобитися деякий час після інсталяції агента.

  2. Сценарій продовжиться з необхідною конфігурацією та створить заплановане завдання, яке ініціюватиме збирання даних.

  3. Збирання даних ініціюється запланованим завданням під назвою AzureAssessment протягом години після виконання попереднього сценарію, а потім кожні 7 днів. Завдання можна змінити, щоб виконати в іншу дату або час або навіть примусово запустити відразу з бібліотеки планувальника завдань -> Microsoft -> Operations Management Suite -> AOI *** -> Assessments -> AzureAssessment

Оцінювання виконання

  1. Під час збирання та аналізу дані тимчасово зберігаються в папці "Робочий каталог", настроєній під час налаштування.

  2. Через кілька годин результати оцінювання будуть доступні в журналі Log Analytics і Центрі залучення Microsoft. Щоб переглянути результати, перейдіть до Центру залучення Microsoft –> Здоров'я –> Оцінки, а потім виберіть пункт "Переглянути всі рекомендації" в активному оцінюванні.

  3. Якщо ви хочете отримати акредитованого інженера Microsoft, щоб вирішити проблеми з вашою оцінкою Azure AD з вами, ви можете звернутися до представника корпорації Майкрософт і запитати його про віддалену або onsite CSA під керівництвом доставки.

Угода Віддалений інженер Інженер-на місці
Прем'єр Віддалена таблиця даних Azure AD Таблиця даних на сайті Azure AD
Уніфікованого Віддалена таблиця даних Azure AD Таблиця даних на сайті Azure AD