什麼是身分識別安全分數?

  • 文章

身分識別安全分數會顯示為百分比,可做為與 Microsoft 安全性建議對齊方式的指標。 身分識別安全分數中的每個改進動作都會針對您的設定量身打造。

安全分數

此分數有助於:

  • 客觀測量您的身分識別安全性態勢
  • 方案身分識別安全性改進項目
  • 檢閱您改進項目的成功

您可以在Microsoft Entra建議中存取分數,並檢視與分數相關的個別建議。 您也可以檢視分數和完整的身分識別安全分數儀表板,這會將您的分數與相同產業中的其他租使用者和類似的大小進行比較。 儀表板也會顯示您的分數隨著時間變更的方式。

您可以遵循Microsoft Entra建議中的改進動作:

  • 改進您的安全性態勢和您的分數
  • 利用可供貴組織使用的功能做為身分識別投資的一部分

如何取得我的安全分數?

身分識別安全分數可供免費和付費客戶使用。

  1. 至少以全域讀取者身分登入Microsoft Entra系統管理中心
  2. 流覽至[保護>身分識別安全分數] 以檢視儀表板。

分數和相關建議也會在身分> 識別概>建議中找到。

如何運作?

每隔 24 小時,我們會查看您的安全性設定,並將您的設定與建議的最佳做法進行比較。 根據此評估的結果,計算出目錄的新分數。 您的安全性設定可能未完全符合最佳做法指引,而且只達成部分改進動作。 在這些案例中,您會獲得控制項可用最大分數的一部分。

在儀表板上使用改進動作

每個建議都是根據您的設定來測量。 如果您使用協力廠商產品來啟用最佳做法建議,您可以在改進動作的設定中指出此組態。 如果建議不適用於您的環境,您可以設定要忽略的建議。 忽略的建議不會參與分數的計算。

忽略或標示協力廠商涵蓋的動作

  • 待解決 - 您知道改進動作是必要步驟,並規劃在未來的某個時間點加以解決。 此狀態也適用於偵測到部分 (而非完全) 完成的動作。
  • 接受的風險 - 安全性應一律與可用性平衡,而且並非所有建議都適用于每個人。 當發生此情況時,您可以選擇接受風險或保持風險,而不實施改進動作。 您不會獲得任何點數,而且動作不會顯示在改進動作清單中。 您可以在歷程記錄中檢視此動作,或隨時復原。
  • 已規劃 - 有適當的具體計畫可完成改進動作。
  • 透過第三方解決透過風險降低替代方案解決 - 改進動作已由第三方應用程式、軟體或內部工具解決。 您獲得動作值得的分數,因此分數更能反映整體安全性狀態。 如果協力廠商或內部工具不再涵蓋此控制措施,您可以選擇其他狀態。 請記住,如果改進動作標示為上述其中一種狀態,Microsoft 便無法瞭解實作的完整性。

使用安全分數建議

身分識別安全分數改進動作也會出現在Microsoft Entra建議中。 這兩者都會出現在相同的清單中,但安全分數建議會顯示分數。

建議清單的螢幕擷取畫面,其中已醒目提示安全分數建議。

若要解決安全分數建議,請從清單中選取它,以檢視詳細資料和動作計畫。 如果您採取適當的動作,則下次服務執行時狀態會自動變更。 您也可以將建議標示為 已關閉延後。 如需使用建議的詳細資訊,請參閱 如何使用建議

其如何提供協助?

此安全分數可協助您:

  • 客觀地測量身分識別安全性狀態
  • 方案身分識別安全性改進項目
  • 檢閱改善是否成功

您應該知道的事情

使用身分識別安全分數時,需要考慮幾個事項。

誰可以使用身分識別安全分數?

若要存取身分識別安全分數,您必須在Microsoft Entra識別碼中獲指派下列其中一個角色。

讀取和寫入角色

透過讀取和寫入存取權,您可以進行變更,並直接與身分識別安全分數互動。

  • 全域管理員
  • 安全性系統管理員
  • Exchange 系統管理員
  • SharePoint 管理員

唯讀角色

使用唯讀存取權時,您無法編輯改進動作的狀態。

  • 服務台系統管理員
  • 使用者管理員
  • 服務支援系統管理員
  • 安全性讀取者
  • 安全性操作員
  • 全域讀取者

控制項如何評分?

控制項可透過兩種方式來評分。 某些控制項是以二進位方式進行評分 - 若您根據我們的建議來設定功能或設定,則將獲得滿分。 其他分數則是計算為設定總計的百分比。 例如,如果改進建議指出,如果您使用 MFA 保護所有使用者且擁有 100 個受保護的使用者總數,則會獲得大約 0.53% 的部分分數 (5 個受保護 / 100 總計 * 10.71% 上限 = 0.53% 部分分數) 。

[不計分] 是什麼意思?

標示為 [未評分] 的動作是您可以在組織中執行的動作,但未評分。 因此,您仍然可以改善您的安全性,但目前未提供這些動作的點數。

分數多久會更新一次?

分數會每天計算一次 (大約在太平洋標準時間上午 1:00)。 如果您變更了測量的動作,分數會在隔天自動更新。 變更最多可能需要 48 小時才會反映在您的分數中。

已醒目提示上次更新日期和時間的安全分數螢幕擷取畫面。

分數變了。 要如何找出原因?

請前往Microsoft 365 Defender入口網站,您可以在其中找到完整的 Microsoft 安全分數。 您可以透過檢閱 [歷程記錄] 索引標籤上的詳細變更,輕鬆查看安全分數的所有變更。

安全分數是否會測量我遭到入侵的風險?

否,安全分數不會表達您遭到入侵的可能性絕對量值。 它表示您已採用可位移風險的功能範圍。 沒有服務可以保證保護,而且安全分數不應以任何方式解譯為保證。

我應如何解譯我的分數?

設定建議的安全性功能或執行安全性相關工作 (例如閱讀報告),您的分數就會提高。 某些動作會針對部分完成進行評分,例如為您的使用者啟用多重要素驗證 (MFA) 。 您的安全分數會直接代表您使用的 Microsoft 安全性服務。 請記住,必須在安全性與可用性之間取得平衡。 所有安全性控制項都有使用者影響元件。 對使用者影響較低的控制應該就不會對使用者的日常作業造成什麼影響。

若要查看您的分數歷程記錄,請前往 Microsoft 365 Defender 入口網站,並檢閱您的整體 Microsoft 安全分數。 按一下 [檢視歷程記錄],即可檢閱整體安全分數的變更。 選擇特定日期,即可查看當天啟用了哪些控制,以及這些控制各自獲得的分數。

身分識別安全分數與 Microsoft 365 安全分數有何關聯?

Microsoft 安全分數包含五個相異的控制措施與分數類別:

  • 身分識別
  • 資料
  • 裝置
  • 基礎結構
  • 應用程式

身分識別安全分數代表 Microsoft 安全分數的身分識別部分。 這部分的重疊表示對身分識別安全分數與 Microsoft 中身分識別分數所提出的建議相同。