Что такое рекомендации Microsoft Entra?

Отслеживание всех параметров и ресурсов в клиенте может оказаться сложным. Функция рекомендаций Microsoft Entra помогает отслеживать состояние вашего тенанта, избавляя вас от этой необходимости. Эти рекомендации помогают гарантировать, что клиент находится в безопасном и работоспособном состоянии, а также помогает максимально повысить ценность функций, доступных в идентификаторе Microsoft Entra.

Рекомендации Microsoft Entra теперь включают рекомендации по оценке безопасности удостоверений. Эти рекомендации предоставляют аналогичные аналитические сведения о безопасности вашего клиента. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".

Все эти рекомендации Microsoft Entra предоставляют персонализированные аналитические сведения с практическими рекомендациями:

  • Помогите определить возможности реализации рекомендаций по идентификации.
  • Улучшение состояния клиента Microsoft Entra.
  • Оптимизируйте конфигурации для сценариев.

В этой статье представлен обзор использования рекомендаций Microsoft Entra.

Как это работает?

На ежедневной основе идентификатор Microsoft Entra анализирует конфигурацию клиента. Во время этого анализа Microsoft Entra ID сравнивает конфигурацию арендатора с передовыми практиками безопасности и данными рекомендаций. Если рекомендация помечена как применимой к клиенту, эта рекомендация отображается в разделе "Рекомендации " области обзора удостоверений Microsoft Entra.

Снимок экрана: страница обзора клиента с выделенным параметром

Каждая рекомендация содержит описание, сводку по значению решения этой рекомендации и пошаговый план действий. Если применимо, затронутые ресурсы, связанные с рекомендацией, перечислены, чтобы можно было разрешить каждую затронутую область. Если рекомендация не имеет связанных ресурсов, то затронутый тип ресурса — уровень арендатора, поэтому ваш пошаговый план действий влияет на всего арендатора, а не только на определенный ресурс. Система обрабатывает данные рекомендаций ежедневно, отражая действия из предыдущего 24-часового окна. Иногда синхронизация данных может продлиться до 72 часов.

Роли и лицензии

Следующие роли и разрешения Microsoft Graph предоставляют доступ к рекомендациям Microsoft Entra. Требования к лицензии зависят от конкретной рекомендации; См. таблицу обзора рекомендаций для сведений о каждой рекомендации.

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra Тип доступа
Просмотрщик отчетов Только для чтения
Обозреватель безопасности Только для чтения
Глобал Ридер Только для чтения
Администратор политики проверки подлинности Обновите и прочтите
Администратор Exchange Обновите и прочтите
Администратор безопасности Обновите и прочтите
DirectoryRecommendations.Read.All Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All Обновление и чтение данных в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в обзорной таблице рекомендаций .

Таблица обзора рекомендаций

Рекомендации, перечисленные в следующей таблице, в настоящее время доступны в общедоступной предварительной версии или в стадии общей доступности. Они охватывают различные типы ресурсов, на которые направлены эти рекомендации, и многое другое. Требования к лицензии для рекомендаций в общедоступной предварительной версии могут быть изменены. В таблице приведены ссылки на доступную документацию для этих рекомендаций, которые требуют отдельных рекомендаций.

Рекомендация Затронутые ресурсы Доступность Оценка безопасности учетных записей Целевые роли для уведомлений по электронной почте
Не рекомендуется использовать AAD Connect Съёмщик Предварительный просмотр Нет Администратор гибридных идентичностей
Настройка интеграции VPN Пользователи Предварительный просмотр Да Не применимо
Преобразование MFA на пользователя в MFA условного доступа Пользователи Общедоступная версия Нет Администратор безопасности
Назначение нескольких глобальных администраторов Пользователи Общедоступная версия Да Глобальный администратор
Отключение диспетчера очереди печати на доменных контроллерах Съёмщик Предварительный просмотр Да Не применимо
Не разрешать пользователям предоставлять согласие ненадежным приложениям Съёмщик Общедоступная версия Да Глобальный администратор
Срок действия паролей не истекает Съёмщик Общедоступная версия Да Глобальный администратор
Изменение ACL неправильно настроенного центра сертификации Приложения Предварительный просмотр Да Не применимо
Редактирование списков управления доступом для неправильно настроенных шаблонов сертификатов. Приложения Предварительный просмотр Да Не применимо
Изменение владельца неправильно настроенных шаблонов сертификатов Приложения Предварительный просмотр Да Не применимо
Изменение неправильно настроенного шаблона сертификата агента регистрации Приложения Предварительный просмотр Да Не применимо
Изменение чересчур разрешающего шаблона сертификата с привилегированным EKU Приложения Предварительный просмотр Да Не применимо
Изменение параметра уязвимого удостоверяющего центра Приложения Предварительный просмотр Да Не применимо
Включение синхронизации хэша паролей при гибридной среде Съёмщик Общедоступная версия Да Администратор гибридных идентичностей
Включить политику для блокировки устаревшей аутентификации Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Включите самостоятельный сброс пароля Пользователи Общедоступная версия Да Администратор политики проверки подлинности
Убедитесь, что все пользователи могут выполнять многофакторную проверку подлинности Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Убедитесь, что привилегированные учетные записи не делегированы Пользователи Предварительный просмотр Да Не применимо
Объект групповой политики назначает непривилегированные удостоверения локальным группам с повышенными привилегиями Пользователи Предварительный просмотр Да Не применимо
Перенос приложений из AD FS в идентификатор Microsoft Entra Приложения Общедоступная версия Нет Администратор приложений, администратор аутентификации, администратор гибридной идентификации
Перенос приложений из устаревших API Azure AD Graph в Microsoft Graph Приложения Предварительный просмотр Нет Администратор приложений
Миграция с сервера MFA на Microsoft Entra MFA Съёмщик В общем доступе Нет Глобальный администратор
Перенос субъектов-служб из устаревших API Graph Azure AD в Microsoft Graph Приложения Предварительный просмотр Нет Администратор приложений
Перейти на Microsoft Authenticator Пользователи Предварительный просмотр Нет Глобальный администратор
Минимизация запросов MFA с известных устройств Пользователи Общедоступная версия Нет Глобальный администратор
Изменение небезопасных делегирований Kerberos для предотвращения олицетворения Приложения Предварительный просмотр Да Не применимо
Предотвращение регистрации сертификатов с помощью произвольных политик приложений Приложения Предварительный просмотр Да Не применимо
Защита всех пользователей с помощью политики риска входа Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Защищайте всех пользователей с помощью политики управления рисками пользователей Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Защита паролей локального администратора и управление ими с помощью Microsoft LAPS Пользователи Предварительный просмотр Да Не применимо
Защитите своего клиента с помощью политики условного доступа для риска от внутренних угроз Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Снизьте риск латерального перемещения для чувствительных объектов Пользователи Предварительный просмотр Да Не применимо
Удалите права доступа на подозрительных учетных записях с разрешением Admin SDHolder Пользователи Предварительный просмотр Да Не применимо
Удаление неактивных учетных записей из конфиденциальных групп Пользователи Предварительный просмотр Да Не применимо
Удалите учетные записи, не являющиеся администраторами, с разрешениями DCsync Пользователи Предварительный просмотр Да Не применимо
Удаление небезопасных разрешений для конфиденциальных учетных записей Microsoft Entra Connect Пользователи Предварительный просмотр Да Не применимо
Удаление неиспользуемых приложений Приложения Предварительный просмотр Нет Администратор приложений
Удаление неиспользуемых учетных данных из приложений Приложения Предварительный просмотр Нет Администратор приложений
Продление учетных данных приложения с истекающим сроком действия Приложения Предварительный просмотр Нет Администратор приложений
Обновление истекающих учетных данных служебного субъекта Приложения Предварительный просмотр Нет Администратор приложений
Замена учетной записи администратора предприятия или домена для коннектора Microsoft Entra Connect AD DS Пользователи Предварительный просмотр Да Не применимо
Требовать MFA для административных ролей Пользователи Общедоступная версия Да Администратор условного доступа, администратор безопасности
Разрешение небезопасных атрибутов учетной записи Пользователи Предварительный просмотр Да Не применимо
Обратимые пароли, найденные в объекте групповой политики Пользователи Предварительный просмотр Да Не применимо
Просмотр неактивных пользователей с помощью проверок доступа Пользователи Предварительный просмотр Нет Администратор управления удостоверениями
Смена пароля для учетной записи соединителя AD DS Microsoft Entra Connect Пользователи Предварительный просмотр Да Не применимо
Обеспечение безопасности и управление вашими приложениями с помощью автоматического предоставления пользователей и групп Приложения Предварительный просмотр Нет Администратор приложений, администратор управления ИТ-службами
Остановите раскрытие учетных данных в открытом тексте Пользователи Предварительный просмотр Да Не применимо
Остановка слабого использования шифров Съёмщик Предварительный просмотр Да Не применимо
Использование наименее привилегированных административных ролей Пользователи Общедоступная версия Да Администратор привилегированных ролей
Проверка издателя приложений Приложения Предварительный просмотр Нет Глобальный администратор

Microsoft Entra отображает только рекомендации, которые применяются к вашему клиенту, поэтому могут не отображаться все поддерживаемые рекомендации.

Оценка безопасности учетных записей

Оценка безопасности идентификаторов, которая отображается в верхней части страницы, представляет собой числовое представление состояния безопасности вашего тенанта. Рекомендации, относящиеся к Оценке безопасности идентификации, получают индивидуальные оценки в таблице в нижней части страницы. Список рекомендаций можно отфильтровать, чтобы показывать только рекомендации по оценке безопасности удостоверений, с помощью карточки фильтрации безопасности . Рекомендации по оценке безопасности удостоверений включают очки оценки безопасности, которые вычисляются как общая оценка на основе нескольких факторов безопасности.

Эти оценки суммируются для создания Оценки безопасности личности. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".

Снимок экрана оценки безопасности идентификации.

Функция рекомендаций Microsoft Entra — это конкретная реализация Помощника по Azure Microsoft Entra, которая является персонализированным облачным консультантом, который поможет вам следовать рекомендациям по оптимизации развертываний Azure. Помощник по Azure анализирует данные о конфигурации ресурсов и использовании, чтобы рекомендовать решения, которые помогут повысить эффективность затрат, производительность, надежность и безопасность ресурсов Azure.

Рекомендации Microsoft Entra используют аналогичные данные для поддержки развертывания и управления рекомендациями Майкрософт по обеспечению безопасности и работоспособности клиента Microsoft Entra. Функция рекомендаций Microsoft Entra предоставляет целостное представление о безопасности, работоспособности и использовании клиента.

Уведомления по электронной почте (предварительная версия)

Рекомендации Microsoft Entra теперь создают Уведомления по электронной почте при создании новой рекомендации. Эта новая предварительная функция отправляет сообщения электронной почты в заранее определённый набор ролей для каждой рекомендации. Например, рекомендации, связанные с работоспособностью приложений клиента, отправляются пользователям с ролью администратора приложений.

Если ваша организация использует управление привилегированными пользователями (PIM), получатели должны быть повышены до роли, указанной для получения уведомления по электронной почте. Если никто активно не назначен на роль, сообщения электронной почты не отправляются. По этой причине рекомендуется регулярно проверять рекомендации, чтобы убедиться, что вы знаете о новых рекомендациях.