Chia sẻ qua

Bắt đầu - Đánh giá theo yêu cầu của Microsoft Entra ID

Đánh giá theo yêu cầu - Microsoft Entra ID là một dịch vụ đám mây phân tích và cung cấp hướng dẫn quản lý danh tính và truy cập (IAM) cho Microsoft Entra ID và các thành phần liên quan. Phân tích tạo ra danh sách các đề xuất cần giải quyết với hướng dẫn khắc phục và các phương pháp hay nhất để cải thiện tình trạng và bảo mật của tài nguyên Azure. Ngoài ra, đánh giá xác định các tính năng có thể được bật để mở rộng khả năng Microsoft Entra ID. Các đánh giá có sẵn thông qua Trung tâm Dịch vụ để giúp tối ưu hóa tính khả dụng, bảo mật và hiệu suất của các khoản đầu tư công nghệ của Microsoft. Các đánh giá này sử dụng Microsoft Azure Log Analytics, được thiết kế để đơn giản hóa việc quản lý CNTT và bảo mật trên toàn môi trường.

Đánh giá này được thiết kế để cung cấp hướng dẫn cụ thể có thể hành động được nhóm theo các lĩnh vực trọng tâm để giảm thiểu rủi ro đối với Microsoft Entra ID và tổ chức.

Các trụ cột chính của Đánh giá ID Microsoft Entra

  • Quản lý danh tính và truy cập
  • Quản trị
  • Operations
  • Xác thực
  • Bảo mật

Chạy Đánh giá ID Microsoft Entra

Điều kiện tiên quyết

Để tận dụng tối đa các Đánh giá theo yêu cầu có sẵn thông qua Trung tâm Dịch vụ, bạn cần:

  1. Có Đăng ký Azure đang hoạt động được liên kết với Trung tâm Dịch vụ, cộng với đánh giá ID Microsoft Entra được thêm vào. Để biết thêm thông tin, hãy xem Bắt đầu với Đánh giá theo yêu cầu hoặc xem cách liên kết video.

  2. Có tài khoản tác vụ theo lịch đánh giá (miền hoặc người dùng cục bộ) với các quyền sau:

    • Quyền truy cập quản trị vào máy thu thập dữ liệu
    • Đăng nhập dưới dạng đặc quyền công việc hàng loạt trên máy thu thập dữ liệu

  3. Có tài khoản Microsoft Entra ID để thiết lập ứng dụng đã đăng ký Microsoft Entra ID với các thuộc tính sau:

    • Quản trị viên toàn cầu
    • Không liên kết

Lưu ý

Trung bình, phải mất hai giờ để đặt cấu hình môi trường ban đầu để chạy Đánh giá theo yêu cầu. Sau khi chạy đánh giá, bạn có thể xem lại dữ liệu trong Azure Log Analytics. Dữ liệu cung cấp cho bạn danh sách các đề xuất được ưu tiên, được phân loại trên sáu lĩnh vực trọng tâm. Danh sách này cho phép bạn và nhóm của bạn nhanh chóng hiểu mức độ rủi ro, tình trạng của môi trường, hành động để giảm rủi ro và cải thiện tình trạng CNTT tổng thể của bạn.

Thiết lập Đánh giá ID Microsoft Entra trên máy thu thập dữ liệu

Lưu ý

Bạn sẽ chỉ có thể thiết lập thành công đánh giá sau khi đã liên kết Đăng ký Azure của mình với Trung tâm Dịch vụ và thêm Đánh giá ID Microsoft Entra từ Tình trạng CNTT -> Đánh giá theo yêu cầu trong Trung tâm Dịch vụ.

Đăng ký ứng dụng Microsoft Assessments trong đối tượng thuê Microsoft Entra ID trong phạm vi

  1. Trên máy thu thập dữ liệu, tạo thư mục sau: C:\OMS\AzureAD (hoặc bất kỳ thư mục nào khác bạn muốn).

  2. Mở PowerShell thông thường (không phải ISE) ở chế độ Quản trị viên và chạy lệnh ghép ngắn sau để tạo ứng dụng đã đăng ký trong đối tượng thuê Microsoft Entra ID đang được đánh giá:

    New-MicrosoftAssessmentsApplication

    Lưu ý

    Nếu lệnh New-MicrosoftAssessmentsApplication không khả dụng, mô-đun vẫn chưa được tìm thấy. Có thể mất một thời gian sau khi cài đặt tác nhân trước khi nó hiển thị.

  3. Cung cấp thông tin đăng nhập tài khoản ID Microsoft Entra bắt buộc đáp ứng các yêu cầu được đề cập trong bài viết này trước đó. Chọn "Chấp nhận" trên lời nhắc đồng ý của quản trị viên cho các quyền đọc mà ứng dụng này yêu cầu để đánh giá.

    Lưu ý

    Để biết chi tiết về sự đồng ý, hãy xem Quyền cho Ứng dụng Đánh giá ID Microsoft Entra của Microsoft.

Tạo nhiệm vụ theo lịch đánh giá

  1. Mở PowerShell thông thường (không phải ISE) ở chế độ Quản trị viên và chạy lệnh ghép ngắn sau bằng cách sử dụng các tham số sau, thay thế <Thư mục và><Tên> tài khoản bằng thư mục làm việc đánh giá và tên tài khoản tác vụ theo lịch đánh giá:

    Quan trọng

    Đừng sử dụng "C:\ODA" làm đường dẫn thư mục làm việc, vì nó được hệ thống dành riêng!

     Add-AzureAssessmentTask -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

    WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

    Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

    Lưu ý

    Nếu lệnh Add-AzureAssessmentTask không khả dụng, mô-đun vẫn chưa được tìm thấy. Có thể mất một thời gian sau khi cài đặt tác nhân trước khi nó hiển thị.

  2. Tập lệnh tiếp tục với cấu hình cần thiết và tạo một tác vụ theo lịch trình kích hoạt việc thu thập dữ liệu.

  3. Việc thu thập dữ liệu được kích hoạt bởi tác vụ đã lên lịch có tên là AzureAssessment trong vòng một giờ sau khi chạy tập lệnh trước đó và sau đó bảy ngày một lần. Tác vụ có thể được sửa đổi để chạy vào một ngày/giờ khác hoặc thậm chí buộc phải chạy ngay lập tức từ thư viện lập lịch tác vụ -> Microsoft -> Operations Management Suite -> AOI*** -> Đánh giá -> AzureAssessment

Thực hiện đánh giá

  1. Trong quá trình thu thập và phân tích, dữ liệu được lưu trữ tạm thời trong thư mục Thư mục làm việc đã được định cấu hình trong quá trình thiết lập.

  2. Sau vài giờ, kết quả đánh giá của bạn sẽ có sẵn trên Trung tâm Dịch vụ và Phân tích Nhật ký của bạn. Điều hướng để xem kết quả bằng cách vào Trung tâm Dịch vụ -> Tình trạng -> Đánh giá, sau đó chọn "Xem tất cả các đề xuất" trong đánh giá đang hoạt động.

  3. Nếu bạn muốn nhờ Kỹ sư được Microsoft công nhận để cùng bạn xem xét các vấn đề về Đánh giá ID Microsoft Entra của bạn, hãy liên hệ với Đại diện Microsoft của bạn và hỏi họ về việc phân phối CSA từ xa hoặc tại chỗ.

Thỏa thuận Kỹ sư từ xa Kỹ sư tại chỗ
Thủ tướng Bảng dữ liệu từ xa Microsoft Entra ID Bảng dữ liệu tại chỗ Microsoft Entra ID
Thống nhất Bảng dữ liệu từ xa Microsoft Entra ID Bảng dữ liệu tại chỗ Microsoft Entra ID