Chia sẻ qua

Bắt đầu - Đánh giá theo yêu cầu Azure Active Directory

Đánh giá theo yêu cầu - Azure Active Directory (AD) là một dịch vụ đám mây phân tích và cung cấp hướng dẫn quản lý danh tính và truy nhập (IAM) cho Azure AD và các thành phần liên quan. Phân tích tạo ra danh sách các đề xuất cần giải quyết với hướng dẫn khắc phục và các phương pháp hay nhất để cải thiện tình trạng và bảo mật của tài nguyên Azure. Ngoài ra, đánh giá xác định các tính năng có thể được bật để mở rộng khả năng của Azure AD. Các đánh giá có sẵn thông qua Trung tâm Dịch vụ để giúp tối ưu hóa tính khả dụng, bảo mật và hiệu suất của các khoản đầu tư công nghệ của Microsoft. Các đánh giá này sử dụng Microsoft Azure Log Analytics, được thiết kế để đơn giản hóa việc quản lý CNTT và bảo mật trên toàn môi trường.

Đánh giá này được thiết kế để cung cấp hướng dẫn cụ thể có thể hành động được nhóm theo các lĩnh vực trọng tâm để giảm thiểu rủi ro cho Azure Active Directory và tổ chức.

Các trụ cột chính của Đánh giá Azure AD:

  • Quản lý danh tính và truy cập
  • Quản trị
  • Operations
  • Xác thực
  • Bảo mật

Chạy đánh giá Azure AD

Điều kiện tiên quyết

Để tận dụng tối đa các Đánh giá theo yêu cầu có sẵn thông qua Trung tâm Dịch vụ, bạn cần:

  1. Đã liên kết Đăng ký Azure đang hoạt động với Trung tâm Dịch vụ và thêm đánh giá Azure AD. Để biết thêm thông tin, hãy xem Bắt đầu với Đánh giá theo yêu cầu hoặc xem video cách liên kết.

  2. Có tài khoản tác vụ theo lịch đánh giá (miền hoặc người dùng cục bộ) với các quyền sau:

    • Quyền truy cập quản trị vào máy thu thập dữ liệu
    • Đăng nhập dưới dạng đặc quyền công việc hàng loạt trên máy thu thập dữ liệu

  3. Có tài khoản Azure AD để thiết lập ứng dụng đã đăng ký Azure AD với các thuộc tính sau:

    • Quản trị viên toàn cầu
    • Không liên kết

  4. Xem lại Điều kiện tiên quyết về đánh giá Azure AD. Tài liệu này giải thích tài liệu kỹ thuật chi tiết về Đánh giá Azure AD và chuẩn bị máy chủ cần thiết để chạy đánh giá. Nó cũng ghi lại các loại dữ liệu khác nhau được thu thập bởi đánh giá.

Lưu ý

Trung bình, phải mất hai giờ để đặt cấu hình môi trường ban đầu để chạy Đánh giá theo yêu cầu. Sau khi chạy đánh giá, bạn có thể xem lại dữ liệu trong Azure Log Analytics. Dữ liệu cung cấp cho bạn danh sách các đề xuất được ưu tiên, được phân loại trên sáu lĩnh vực trọng tâm. Danh sách này cho phép bạn và nhóm của bạn nhanh chóng hiểu mức độ rủi ro, tình trạng của môi trường, hành động để giảm rủi ro và cải thiện tình trạng CNTT tổng thể của bạn.

Thiết lập Đánh giá Microsoft Azure AD trên máy thu thập dữ liệu

Lưu ý

Bạn chỉ có thể thiết lập thành công đánh giá sau khi đã liên kết Đăng ký Azure của mình với Trung tâm Dịch vụ và thêm Đánh giá Azure AD từ Tình trạng CNTT -> Đánh giá theo yêu cầu trong Trung tâm Dịch vụ.

Đăng ký ứng dụng Microsoft Assessments trong đối tượng thuê Azure AD trong phạm vi

  1. Trên máy thu thập dữ liệu của bạn, hãy tạo thư mục sau: C:\OMS\AzureAD (hoặc bất kỳ thư mục nào khác mà bạn muốn).

  2. Mở PowerShell thông thường (không phải ISE) ở chế độ Quản trị viên và chạy lệnh ghép ngắn sau để tạo ứng dụng đã đăng ký trong đối tượng thuê Azure AD đang được đánh giá:

     New-MicrosoftAssessmentsApplication

    Lưu ý

    Nếu lệnh New-MicrosoftAssessmentsApplication không khả dụng, mô-đun vẫn chưa được tìm thấy. Có thể mất một thời gian sau khi cài đặt tác nhân trước khi nó hiển thị.

  3. Cung cấp thông tin đăng nhập tài khoản Azure AD bắt buộc đáp ứng các yêu cầu được đề cập trong bài viết này trước đó. Chọn "Chấp nhận" trên lời nhắc đồng ý của quản trị viên cho các quyền đọc mà ứng dụng này yêu cầu để đánh giá.

    Lưu ý

    Để biết chi tiết về sự đồng ý, hãy xem Quyền cho Ứng dụng Đánh giá Microsoft Azure AD.

Tạo nhiệm vụ theo lịch đánh giá

  1. Mở PowerShell thông thường (không phải ISE) ở chế độ Quản trị viên và chạy lệnh ghép ngắn sau bằng cách sử dụng các tham số sau, thay thế <Thư mục và><Tên> tài khoản bằng thư mục làm việc đánh giá và tên tài khoản tác vụ theo lịch đánh giá:

    Quan trọng

    Đừng sử dụng C:\ODA làm đường dẫn thư mục làm việc, vì nó được hệ thống dành riêng!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provides ID for the Log Analytics workspace that will be used to store the uploaded data

    Lưu ý

    Nếu lệnh Add-AzureAssessmentTask không khả dụng, mô-đun vẫn chưa được tìm thấy. Có thể mất một thời gian sau khi cài đặt tác nhân trước khi nó hiển thị.

  2. Tập lệnh tiếp tục với cấu hình cần thiết và tạo một tác vụ theo lịch trình kích hoạt thu thập dữ liệu.

  3. Thu thập dữ liệu được kích hoạt bởi tác vụ đã lên lịch có tên AzureAssessment trong vòng một giờ sau khi bạn chạy tập lệnh trước đó, sau đó một lần nữa bảy ngày một lần. Bạn có thể sửa đổi tác vụ để chạy vào một ngày/giờ khác hoặc thậm chí buộc tác vụ chạy ngay lập tức bằng cách điều hướng đến thư viện bộ lập lịch tác vụ - Microsoft> -> Operations Management Suite -> AOI*** -> Đánh giá -> AzureAssessment.

Thực hiện đánh giá

Trong quá trình thu thập và phân tích, dữ liệu được lưu trữ tạm thời trong thư mục Thư mục làm việc đã được định cấu hình trong quá trình thiết lập.

Sau vài giờ, kết quả đánh giá của bạn sẽ có sẵn trên Trung tâm Dịch vụ và Phân tích Nhật ký của bạn.

Bạn có thể điều hướng để xem kết quả bằng cách vào Trung tâm Dịch vụ -> Tình trạng -> Đánh giá rồi chọn "Xem tất cả các đề xuất" trong đánh giá đang hoạt động.

Nếu bạn muốn nhờ Kỹ sư được Microsoft công nhận xem xét các vấn đề về Đánh giá Azure AD của bạn, bạn có thể liên hệ với Đại diện Microsoft của mình và hỏi họ về việc phân phối CSA từ xa hoặc tại chỗ.

Thỏa thuận Kỹ sư từ xa Kỹ sư tại chỗ
Thủ tướng Bảng dữ liệu từ xa Azure AD Bảng dữ liệu tại chỗ Azure AD
Thống nhất Bảng dữ liệu từ xa Azure AD Bảng dữ liệu tại chỗ Azure AD