分享方式:

什麼是身分識別安全分數?

  • 文章

身分識別安全分數會顯示為百分比指標,可以指出您有多符合 Microsoft 對於安全性的建議。 身分識別安全分數中的每個改進動作都是為您的設定量身訂做而來。

安全分數

此分數有助於:

  • 客觀測量您的身分識別安全性態勢
  • 方案身分識別安全性改進項目
  • 檢閱您改進項目的成功

您可以在 Microsoft Entra 建議中存取分數,並檢視與分數相關的個別建議。 您也可以檢視分數和完整的身分識別安全分數儀表板,這會將您的分數與相同產業中相同大小的其他租用戶進行比較。 儀表板也會顯示分數隨著時間變更的方式。

您可以遵循 Microsoft Entra 建議中的改進動作:

  • 改進您的安全性態勢和您的分數
  • 利用可供貴組織使用的功能做為身分識別投資的一部分

如何取得我的安全分數?

身分識別安全分數可供免費和付費客戶使用。

  1. 至少以全域讀取者的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[身分識別安全分數] 以檢視儀錶板。

分數和相關建議也位於 [身分識別]>[概觀]>[建議]

如何運作?

每隔 24 小時,我們就會查看安全性組態,並將您的設定與建議的最佳做法進行比較。 根據此評估的結果,計算出目錄的新分數。 您的安全性設定可能未完全符合最佳做法指引,而且只達成部分改進動作。 在這些情況下,您會獲得該控制措施最高分數的一部分。

在儀表板上使用改進動作

系統會根據組態測量每項建議。 若您使用第三方產品實施最佳做法建議,則可在改進動作的設定中指出此設定。 此外,您可以設定忽略不適用於環境的建議。 遭到忽略的建議則不會列入分數的計算中。

忽略或標示協力廠商涵蓋的動作

  • 待解決 - 您知道改進動作是必要步驟,並規劃在未來的某個時間點加以解決。 此狀態也適用於偵測到已部分完成但未完全完成的動作。
  • 已接受風險 - 安全性應一律與可行性權衡,且並非每個建議都適用於每個人員。 當發生此情況時,您可以選擇接受風險或保持風險,而不實施改進動作。 您不會獲得任何積分,且動作不會顯示在改進動作的清單中。 您可以在歷程記錄中查看此動作,或隨時復原。
  • 已規劃 - 有適當的具體計畫可完成改進動作。
  • 透過第三方解決透過風險降低替代方案解決 - 改進動作由第三方應用程式、軟體或內部工具解決。 您會獲得動作應得的分數,讓您的分數更能反映整體安全性態勢。 如果協力廠商或內部工具不再涵蓋此控制措施,您可以選擇其他狀態。 請注意,若改進動作標記為其中任一種狀態,則 Microsoft 無法看到實施的完整程度。

使用安全分數建議

身分識別安全分數改進動作也會出現在 Microsoft Entra 建議中。 這兩者都出現在相同的清單中,但安全分數建議會顯示分數。

已醒目提示安全分數建議的建議清單螢幕擷取畫面。

若要解決安全分數建議,請從清單中選取,以檢視詳細資料和動作計劃。 如果您採取適當的動作,則下次執行服務時,狀態會自動變更。 您也可以將建議標示為已關閉延後。 如需使用建議的詳細資訊,請參閱如何使用建議

它對我有什麼幫助?

此安全分數可協助您:

  • 客觀測量您的身分識別安全性態勢
  • 方案身分識別安全性改進項目
  • 檢閱您改進項目的成功

您應該知道的事情

使用身分識別安全分數時,需要考量幾個事項。

誰可以使用身分識別安全分數?

若要存取身分識別安全分數,您必須在 Microsoft Entra ID 中獲派下列其中一個角色。

讀取和寫入角色

透過讀取和寫入存取權,您可以進行變更,並直接與身分識別安全分數互動。

  • 安全性系統管理員
  • Exchange 系統管理員
  • Sharepoint 系統管理員

唯讀角色

使用唯讀存取權時,您無法編輯改進動作的狀態。

  • 服務台系統管理員
  • 使用者管理員
  • 服務支援管理員
  • 安全性讀取者
  • 安全性操作員
  • 全域讀取者

控制項如何評分?

控制項可透過兩種方式來評分。 某些控制項是以二進位方式進行評分 - 若您根據我們的建議來設定功能或設定,則將獲得滿分。 其他分數則是計算為設定總計的百分比。 例如,若改善建議說明您將在使用 MFA 保護所有使用者時最多增加 10.71%,而您總共只保護了 5/100 個使用者,則您會獲得大約 0.53% 的部分分數 (5 個受保護使用者 / 共 100 個使用者 * 10.71% 最大值 = 0.53% 部分分數)。

[不計分] 是什麼意思?

標示為 [不計分] 的動作是可在組織中執行,但不會予以計分。 因此,您仍可改善安全性,但目前不會因為這些動作而獲得點數。

分數多久會更新一次?

分數會每天計算一次 (大約在太平洋標準時間上午 1:00)。 如果您變更了測量的動作,分數會在隔天自動更新。 最久可能需要 48 小時的時間,分數中才會反映出該項變更。

已醒目提示上次更新日期和時間的安全分數螢幕擷取畫面。

分數變了。 要如何找出原因?

前往 Microsoft 365 Defender 入口網站,您可以在其中找到完整的 Microsoft 安全分數。 您可以透過檢閱 [歷程記錄] 索引標籤上的詳細變更,輕鬆查看安全分數的所有變更。

安全分數是否會測量我遭到入侵的風險?

否,安全分數並不表示入侵機率的絕對量值。 其僅表示您所採用的功能有多大程度可以抵銷風險。 沒有任何服務可以保證受到保護,請勿將安全分數視為保證。

我應如何解譯我的分數?

設定建議的安全性功能或執行安全性相關工作 (例如閱讀報告),您的分數就會提高。 某些動作部份完成即會評分,例如為使用者啟用多重要素驗證 (MFA)。 您的安全分數會直接代表您使用的 Microsoft 安全性服務。 請記住,必須在安全性與可用性之間取得平衡。 所有安全性控制項都有使用者影響元件。 使用者影響程度低的控制項對於您使用者日常作業的影響應該會很低甚至沒有影響。

若要查看您的分數歷程記錄,請前往 Microsoft 365 Defender 入口網站,並檢閱您的整體 Microsoft 安全分數。 按一下 [檢視歷程記錄],即可檢閱整體安全分數的變更。 選擇特定日期,即可查看當天啟用了哪些控制,以及這些控制各自獲得的分數。

身分識別安全分數與 Microsoft 365 安全分數有何關聯?

Microsoft 安全分數包含五個相異的控制措施與分數類別:

  • 身分識別
  • 資料
  • 裝置
  • 基礎結構
  • 應用程式

身分識別安全分數代表 Microsoft 安全分數的身分識別部分。 這部分的重疊表示對身分識別安全分數與 Microsoft 中身分識別分數所提出的建議相同。