你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure Active Directory 中的标识安全评分?

你的 Azure AD 租户有多安全? 如果不知道此问题的答案,本文将介绍标识安全分数如何帮助你监视和改进标识安全状况。

标识安全评分是什么?

标识安全分数是一个百分比指标,反映你与 Microsoft 安全最佳做法建议保持一致的情况。 标识安全分数中的每项改进操作都是根据特定配置定制的。

Secure score

评分有助于:

  • 客观衡量标识安全状况
  • 规划标识安全改进
  • 审查改进措施的成败

可以在安全评分仪表板上访问评分和标识相关的信息。 此仪表板提供:

  • 你的标识安全分数
  • 对比图,显示你的标识安全分数与同行业类似大小的其他租户的对比情况
  • 趋势图,显示你的标识安全分数随时间的变化情况
  • 可能的改进列表

遵循改进操作可以:

  • 改进安全状况和分数
  • 作为标识投资的一部分利用组织可用的功能

如何获取安全评分?

所有 Azure AD 版本中都提供标识安全分数。 组织可以从“Azure 门户”>“Azure Active Directory”>“安全”>“标识安全分数”中访问自己的标识安全分数。

它是如何工作的?

Azure 每隔 48 小时检查安全配置,并将你的设置与建议的最佳做法进行比较。 然后,根据此项评估的结果为目录计算新的分数。 安全配置可能与最佳做法指南并不完全一致,仅满足部分改进操作。 在这些情况下,你只能获得该控件可用最大分数的一部分。

每条建议是根据 Azure AD 配置来衡量的。 如果使用第三方产品来实现建议的最佳做法,可以在改进操作的设置中指示此配置。 此外,如果建议不适用于你的环境,还可以选择设置要忽略的建议。 评分计算不考虑已忽略的建议。

Ignore or mark action as covered by third party

  • 待解决 - 你认识到有必要采取改进操作,并计划在将来某个时间解决这个问题。 此状态也适用于检测为部分完成(而非全部完成)的操作。
  • 已计划 - 用于完成改进操作的具体计划已准备到位。
  • 接受风险 - 应始终在安全性与可用性之间进行平衡,并不是每个建议都适合你的环境。 在这种情况下,你可以选择接受该风险或其余的风险,而不执行改进操作。 你不会获得任何点数,而该操作也不会再显示在改进操作列表中。 你可以在历史记录中查看此操作,也可以随时撤消此操作。
  • “已通过第三方解决”和“已通过备用缓解措施解决”- 改进操作已由第三方应用程序或软件或内部工具解决 。 你将获得该操作所值的点数,因此你的分数会更好地反映出你的总体安全态势。 如果某个第三方工具或内部工具不再涵盖该控制,你可以选择另一个状态。 请记住,如果将改进操作标记为这些状态之一,Microsoft 将无法了解实现的完成情况。

评分有什么作用?

安全评分有助于:

  • 客观衡量标识安全状况
  • 规划标识安全改进
  • 审查改进措施的成败

要点

谁可以使用标识安全评分?

若要访问标识安全分数,必须在 Azure Active Directory 中获得以下角色之一。

读取和写入角色

通过读取和写入访问权限,可以进行更改,并与标识安全分数直接交互。

  • 全局管理员
  • 安全管理员
  • Exchange 管理员
  • SharePoint 管理员

只读角色

使用只读访问权限,无法编辑改进操作的状态。

  • 支持管理员
  • 用户管理员
  • 服务支持管理员
  • 安全读取者
  • 安全操作员
  • 全局读取者

控件的评分原理

控件通过两种方式进行评分。 有些以二进制方式评分 - 如果根据建议配置了功能或设置,则会获得 100% 的分数。 其他分数以总配置的百分比计算。 例如,如果改进建议指出,使用 MFA 保护所有用户则会获得最大分值 10.71%;而你只对 100 个总用户当中的 5 个进行了保护,则只能获得部分分数,约为 0.53%(5 个受保护用户/100 个总用户 * 最大分值 10.71% = 0.53% 部分分数)。

[未评分] 是什么意思?

标记为 [未评分] 的操作是可以在组织中执行的,但由于尚未挂接到工具中,因而不会评分的操作。 因此,仍可以改进安全性,但这些操作不能马上带来积分。

评分的更新频率如何?

评分每天计算一次(大约在太平洋标准时间 1:00 AM)。 如果对衡量的操作做了更改,评分将在下一日自动更新。 最长需要在 48 小时之后,更改才会反映在评分中。

我的评分已更改。 如何找出更改的原因?

前往 Microsoft 365 Defender 门户,从中可找到完整的 Microsoft 安全分数。 通过查看“历史记录”选项卡上的详细变化,可以轻松地查看安全分数的所有变化。

安全分数是否衡量违规的风险?

简单地说,不会。 安全分数并不会表明违规可能性的绝对衡量结果。 它展示的信息仅限于采用的哪些功能可以缓解违规风险。 任何服务都不能保证你不会违规,不应以任何方式将安全分数解释为一项保证。

如何解释评分?

你的分数会随着配置建议的安全功能或执行安全相关的任务(例如读取报表)而改进。 某些操作是根据部分完成状态评分的,例如,为用户启用多重身份验证 (MFA)。 安全分数直接代表你所用的 Microsoft 安全服务。 请记住,安全性与可用性之间必须保持平衡。 所有安全控制措施都有影响用户的一面。 用户影响较小的控制措施对用户日常操作的影响很小,甚至没有任何影响。

要查看分数历史记录,请转到 Microsoft 365 Defender 门户,并查看整体 Microsoft 安全分数。 单击“查看历史记录”,可以查看整体安全分数的变化情况。 选择特定的日期以查看在该日期启用的控制措施,以及从每个控制措施赢得的积分。

标识安全分数与 Microsoft 365 安全分数之间有什么关系?

Microsoft 安全分数包含五个不同的控制和评分类别:

  • 标识
  • 数据
  • 设备
  • 基础结构
  • “应用”

标识安全分数代表 Microsoft 安全分数的标识部分。 重叠意味着,标识安全分数与 Microsoft 中标识分数提供的建议相同。

后续步骤

详细了解 Microsoft 安全分数