Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tenere traccia di tutte le impostazioni e le risorse nel tenant può essere eccessivamente impegnativo. La funzionalità di consigli di Microsoft Entra aiuta a monitorare lo stato del tenant, così non devi farlo tu. Questi consigli consentono di garantire che il tenant si trovi in uno stato sicuro e integro, consentendo allo stesso tempo di ottimizzare il valore delle funzionalità disponibili in Microsoft Entra ID.
I consigli di Microsoft Entra includono ora consigli sul punteggio di sicurezza delle identità. Questi consigli forniscono informazioni dettagliate simili sulla sicurezza del tenant. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
I consigli di Microsoft Entra offrono informazioni dettagliate personalizzate con indicazioni utili per:
- Aiuta a identificare opportunità per implementare le migliori pratiche per l'identità.
- Migliora lo stato del tuo tenant di Microsoft Entra.
- Ottimizzare le configurazioni per gli scenari.
Questo articolo offre una panoramica di come usare i consigli di Microsoft Entra.
Come funziona?
Su base giornaliera, Microsoft Entra ID analizza la configurazione del tenant. Durante questa analisi, Microsoft Entra ID confronta la configurazione del tenant con le procedure consigliate per la sicurezza e i dati dei consigli. Se un consiglio è contrassegnato come applicabile al tenant, viene visualizzato nella sezione Consigli dell'area panoramica di Microsoft Entra ID.
Ogni consiglio contiene una descrizione, un riepilogo del valore dell'indicazione e un piano di azione dettagliato. Se applicabile, vengono elencate le risorse interessate associate al consiglio, in modo da poter risolvere ogni area interessata. Se un consiglio non include risorse associate, il tipo di risorsa interessato è a Livello di tenant, quindi il piano di azione dettagliato influisce sull'intero tenant e non solo su una risorsa specifica.
Tabella di panoramica delle raccomandazioni
Le raccomandazioni elencate nella tabella seguente sono attualmente disponibili nell'anteprima pubblica o nella disponibilità generale, includono i tipi di risorse a cui si riferiscono le raccomandazioni e altro ancora. I requisiti di licenza per le raccomandazioni nell'anteprima pubblica sono soggetti a modifiche. La tabella fornisce collegamenti alla documentazione disponibile per le raccomandazioni che richiedono indicazioni separate.
| Raccomandazione | Risorse interessate | Disponibilità | Punteggio di Sicurezza dell'Identità | Ruoli di destinazione per le notifiche tramite posta elettronica |
|---|---|---|---|---|
| AAD Connect obsoleto | Inquilino | Anteprima | NO | Amministratore dell’identità ibrida |
| Configurare l'integrazione VPN | Utenti | Anteprima | Sì | Non disponibile |
| Convertire MFA per utente in MFA con accesso condizionale | Utenti | Generalmente disponibile | NO | Amministratore della sicurezza |
| Designare più di un amministratore globale | Utenti | Generalmente disponibile | Sì | Amministratore globale |
| Non consentire agli utenti di autorizzare le applicazioni non affidabili | Inquilino | Generalmente disponibile | Sì | Amministratore globale |
| Non impostare la scadenza delle password | Inquilino | Generalmente disponibile | Sì | Amministratore globale |
| Modificare gli elenchi di controllo di accesso ai modelli di certificato non configurati correttamente | Applicazioni | Anteprima | Sì | Non disponibile |
| Modificare un modello di certificato dell'agente di registrazione non configurato correttamente | Applicazioni | Anteprima | Sì | Non disponibile |
| Abilitare la sincronizzazione degli hash delle password se ibride | Inquilino | Generalmente disponibile | Sì | Amministratore dell’identità ibrida |
| Abilitare la politica per bloccare l'autenticazione legacy | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Abilitare la reimpostazione automatica delle password | Utenti | Generalmente disponibile | Sì | Amministratore dei criteri di autenticazione |
| Assicurarsi che tutti gli utenti possano completare l'autenticazione a più fattori | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Eseguire la migrazione da AD FS a Microsoft Entra ID | Applicazioni | Generalmente disponibile | NO | Amministratore delle applicazioni, Amministratore dell'autenticazione, Amministratore dell'identità ibrida |
| Eseguire la migrazione delle applicazioni dalle API Graph di Azure AD in fase di dismissione a Microsoft Graph | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Eseguire la migrazione da ADAL a MSAL | Applicazioni | Generalmente disponibile | NO | Amministratore di applicazioni |
| Eseguire la migrazione dal server MFA a Microsoft Entra MFA | Inquilino | Generalmente disponibile | NO | Amministratore globale |
| Eseguire la migrazione dei principali di servizio dalle API Graph di Azure AD in fase di ritiro a Microsoft Graph | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Eseguire la migrazione a Microsoft Authenticator | Utenti | Anteprima | NO | Amministratore globale |
| Ridurre al minimo le richieste di MFA dai dispositivi noti | Utenti | Generalmente disponibile | NO | Amministratore globale |
| Modificare le deleghe Kerberos non sicure per impedire l'impersonificazione | Applicazioni | Anteprima | Sì | Non disponibile |
| Proteggere tutti gli utenti con criteri di rischio di accesso | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggere tutti gli utenti con criteri di rischio utente | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Proteggere e gestire le password di amministratore locale con Microsoft LAPS | Utenti | Anteprima | Sì | Non disponibile |
| Proteggi il tenant con la politica di accesso condizionale al rischio Insider | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Rimuovere gli account inattivi dai gruppi sensibili | Utenti | Anteprima | Sì | Non disponibile |
| Rimuovere le autorizzazioni unsafe per gli account Microsoft Entra Connect sensibili | Utenti | Anteprima | Sì | Non disponibile |
| Rimuovere le applicazioni inutilizzate | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Rimuovere le credenziali inutilizzate dalle applicazioni | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Rinnovare le credenziali in scadenza dell'applicazione | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Rinnovare le credenziali del principale del servizio in scadenza | Applicazioni | Anteprima | NO | Amministratore di applicazioni |
| Sostituire l'account Enterprise o di amministratore del dominio per il connettore di Active Directory Domain Services di Microsoft Entra Connect | Utenti | Anteprima | Sì | Non disponibile |
| Richiedere la MFA per i ruoli amministrativi | Utenti | Generalmente disponibile | Sì | Amministratore dell'accesso condizionale, amministratore della sicurezza |
| Password reversibili trovate negli oggetti Criteri di gruppo | Utenti | Anteprima | Sì | Non disponibile |
| Controllare gli utenti inattivi con verifiche di accesso | Utenti | Anteprima | NO | Amministratore di Identity Governance |
| Aggiornare la password per l'account del connettore Servizi di dominio Active Directory di Microsoft Entra Connect | Utenti | Anteprima | Sì | Non disponibile |
| Proteggendo e governando le tue app con il provisioning automatico di utenti e gruppi | Applicazioni | Anteprima | NO | Amministratore di applicazioni, amministratore della governance IT |
| Impedire l'esposizione delle credenziali in testo in chiaro | Utenti | Anteprima | Sì | Non disponibile |
| Interrompere l'utilizzo della crittografia debole | Inquilino | Anteprima | Sì | Non disponibile |
| Usare ruoli amministrativi con privilegi minimi | Utenti | Generalmente disponibile | Sì | Amministratore di ruolo privilegiato |
| Verificare l'autore dell'app | Applicazioni | Anteprima | NO | Amministratore globale |
Microsoft Entra visualizza solo i consigli che si applicano al tenant, pertanto è possibile che non vengano visualizzati tutti i consigli supportati elencati.
Punteggio di Sicurezza dell'Identità
Il Punteggio di Sicurezza dell'Identità, visualizzato nella parte superiore della pagina, è una rappresentazione numerica dello stato di salute del tenant. Le raccomandazioni che si applicano al punteggio di sicurezza delle identità ricevono dei punteggi individuali nella tabella alla fine della pagina. È possibile filtrare l'elenco di raccomandazioni in modo che vengano visualizzate solo le raccomandazioni di Identity Secure Score usando la scheda di filtro sicurezza. Le raccomandazioni di Identity Secure Score includono punti di punteggio di sicurezza, che vengono calcolati come punteggio complessivo in base a diversi fattori di sicurezza.
Questi punteggi vengono aggiunti per generare il punteggio di sicurezza delle identità. Per altre informazioni, vedere Che cos'è il punteggio di sicurezza delle identità.
Le raccomandazioni di Microsoft Entra sono correlate ad Azure Advisor?
La funzionalità consigli di Microsoft Entra è l'implementazione specifica di Microsoft Entra di Azure Advisor, un consulente cloud personalizzato che consente di seguire le procedure consigliate per ottimizzare le distribuzioni di Azure. Azure advisor analizza i dati di utilizzo e la configurazione delle risorse di Azure per consigliare soluzioni che consentano di migliorarne l'efficienza dei costi, le prestazioni, la disponibilità elevata e la sicurezza.
I consigli di Microsoft Entra usano dati simili per supportare l'implementazione e la gestione delle procedure consigliate di Microsoft per i tenant di Microsoft Entra per mantenere il tenant in uno stato sicuro e integro. La funzionalità consigli di Microsoft Entra offre una vista olistica della sicurezza, dello stato e dell'utilizzo del tenant.
Notifiche email (anteprima)
I consigli di Microsoft Entra ora generano notifiche tramite posta elettronica quando viene generato un nuovo consiglio. Questa nuova funzionalità di anteprima invia email a un set predeterminato di ruoli per ogni consiglio. Ad esempio, i consigli associati all'integrità delle applicazioni del tenant vengono inviati agli utenti con il ruolo Di amministratori dell'applicazione.
Se l'organizzazione usa Privileged Identity Management (PIM), i destinatari devono essere elevati al ruolo indicato per ricevere la notifica email. Se nessuno viene assegnato attivamente al ruolo, non vengono inviate email. Per questo motivo, è consigliabile controllare regolarmente le raccomandazioni per assicurarsi di conoscere eventuali nuove raccomandazioni.