Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Keeping track of all the settings and resources in your tenant can be overwhelming. Функция рекомендаций Microsoft Entra помогает отслеживать состояние вашего тенанта, избавляя вас от этой необходимости. Эти рекомендации помогают гарантировать, что клиент находится в безопасном и работоспособном состоянии, а также помогает максимально повысить ценность функций, доступных в идентификаторе Microsoft Entra.
Рекомендации Microsoft Entra теперь включают рекомендации по оценке безопасности удостоверений. Эти рекомендации предоставляют аналогичные аналитические сведения о безопасности вашего клиента. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".
Все эти рекомендации Microsoft Entra предоставляют персонализированные аналитические сведения с практическими рекомендациями:
- Помочь вам определить возможности применения лучших практик для функций, связанных с Microsoft Entra.
- Improve the state of your Microsoft Entra tenant.
- Оптимизируйте конфигурации для сценариев.
В этой статье представлен обзор использования рекомендаций Microsoft Entra.
Как это работает?
На ежедневной основе идентификатор Microsoft Entra анализирует конфигурацию клиента. Во время этого анализа Microsoft Entra ID сравнивает конфигурацию арендатора с передовыми практиками безопасности и данными рекомендаций. Если рекомендация помечена как применимой к клиенту, эта рекомендация отображается в разделе "Рекомендации " области обзора удостоверений Microsoft Entra.
Каждая рекомендация содержит описание, сводку по значению решения этой рекомендации и пошаговый план действий. Если применимо, затронутые ресурсы, связанные с рекомендацией, перечислены, чтобы можно было разрешить каждую затронутую область. Если рекомендация не имеет связанных ресурсов, то затронутый тип ресурса — уровень арендатора, поэтому ваш пошаговый план действий влияет на всего арендатора, а не только на определенный ресурс.
Таблица обзора рекомендаций
Рекомендации, перечисленные в следующей таблице, в настоящее время доступны в общедоступной предварительной версии или в стадии общей доступности. Они охватывают различные типы ресурсов, на которые направлены эти рекомендации, и многое другое. Требования к лицензии для рекомендаций в общедоступной предварительной версии могут быть изменены. В таблице приведены ссылки на доступную документацию для этих рекомендаций, которые требуют отдельных рекомендаций.
| Рекомендация | Затронутые ресурсы | Доступность | Оценка безопасности учетных записей | Целевые роли для уведомлений по электронной почте |
|---|---|---|---|---|
| Не рекомендуется использовать AAD Connect | Съёмщик | Предварительный просмотр | Нет | Hybrid Identity Administrator |
| Convert per-user MFA to Conditional Access MFA | Пользователи | Общедоступная версия | Нет | Администратор безопасности |
| Назначение нескольких глобальных администраторов | Пользователи | Общедоступная версия | Да | Глобальный администратор |
| Не разрешать пользователям предоставлять согласие ненадежным приложениям | Съёмщик | Предварительный просмотр | Да | Глобальный администратор |
| Срок действия паролей не истекает | Съёмщик | Предварительный просмотр | Да | Глобальный администратор |
| Включение синхронизации хэша паролей при гибридной среде | Съёмщик | Общедоступная версия | Да | Hybrid Identity Administrator |
| Включить политику для блокировки устаревшей аутентификации | Пользователи | Общедоступная версия | Да | Администратор условного доступа, администратор безопасности |
| Enable self-service password reset | Пользователи | Предварительный просмотр | Да | Администратор политики проверки подлинности |
| Убедитесь, что все пользователи могут выполнять многофакторную проверку подлинности | Пользователи | Предварительный просмотр | Да | Администратор условного доступа, администратор безопасности |
| Перенос приложений из AD FS в идентификатор Microsoft Entra | Приложения | Общедоступная версия | Нет | Администратор приложений, администратор аутентификации, администратор гибридной идентификации |
| Перенос приложений из устаревших API Azure AD Graph в Microsoft Graph | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Миграция из ADAL в MSAL | Приложения | Общедоступная версия | Нет | Администратор приложений |
| Миграция с сервера MFA на Microsoft Entra MFA | Съёмщик | В общем доступе | Нет | Глобальный администратор |
| Migrate service principals from the retiring Azure AD Graph APIs to Microsoft Graph | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Перейти на Microsoft Authenticator | Пользователи | Предварительный просмотр | Нет | Глобальный администратор |
| Минимизация запросов MFA с известных устройств | Пользователи | Общедоступная версия | Нет | Глобальный администратор |
| Защита всех пользователей с помощью политики риска входа | Пользователи | Общедоступная версия | Да | Администратор условного доступа, администратор безопасности |
| Защищайте всех пользователей с помощью политики управления рисками пользователей | Пользователи | Общедоступная версия | Да | Администратор условного доступа, администратор безопасности |
| Protect your tenant with Insider Risk Conditional Access policy | Пользователи | Общедоступная версия | Да | Администратор условного доступа, администратор безопасности |
| Удаление неиспользуемых приложений | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Удаление неиспользуемых учетных данных из приложений | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Продление учетных данных приложения с истекающим сроком действия | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Renew expiring service principal credentials | Приложения | Предварительный просмотр | Нет | Администратор приложений |
| Требовать MFA для административных ролей | Пользователи | Общедоступная версия | Да | Администратор условного доступа, администратор безопасности |
| Просмотр неактивных пользователей с помощью проверок доступа | Пользователи | Предварительный просмотр | Нет | Администратор управления удостоверениями |
| Secure and govern your apps with automatic user and group provisioning | Приложения | Предварительный просмотр | Нет | Администратор приложений, администратор управления ИТ-службами |
| Использование наименее привилегированных административных ролей | Пользователи | Предварительный просмотр | Да | Privileged Role Administrator |
| Проверка издателя приложений | Приложения | Предварительный просмотр | Нет | Глобальный администратор |
Microsoft Entra отображает только рекомендации, которые применяются к вашему клиенту, поэтому могут не отображаться все поддерживаемые рекомендации.
Оценка безопасности учетных записей
Your Identity Secure Score, which appears at the top of the page, is a numerical representation of the health of your tenant. Рекомендации, относящиеся к Оценке безопасности идентификации, получают индивидуальные оценки в таблице в нижней части страницы. Список рекомендаций можно отфильтровать, чтобы показывать только рекомендации по оценке безопасности удостоверений, с помощью карточки фильтрации безопасности . Identity Secure Score recommendations include secure score points, which are calculated as an overall score based on several security factors.
Эти оценки суммируются для создания Оценки безопасности личности. Дополнительные сведения см. в разделе "Что такое оценка безопасности удостоверений".
Связаны ли рекомендации Microsoft Entra с Помощником по Azure?
Функция рекомендаций Microsoft Entra — это конкретная реализация Помощника по Azure Microsoft Entra, которая является персонализированным облачным консультантом, который поможет вам следовать рекомендациям по оптимизации развертываний Azure. Помощник по Azure анализирует данные о конфигурации ресурсов и использовании, чтобы рекомендовать решения, которые помогут повысить эффективность затрат, производительность, надежность и безопасность ресурсов Azure.
Microsoft Entra recommendations use similar data to support you with the roll-out and management of Microsoft's best practices for Microsoft Entra tenants to keep your tenant in a secure and healthy state. Функция рекомендаций Microsoft Entra предоставляет целостное представление о безопасности, работоспособности и использовании клиента.
Уведомления по электронной почте (предварительная версия)
Рекомендации Microsoft Entra теперь создают Уведомления по электронной почте при создании новой рекомендации. This new preview feature sends emails to a predetermined set of roles for each recommendation. Например, рекомендации, связанные с работоспособностью приложений клиента, отправляются пользователям с ролью администратора приложений.
Если ваша организация использует управление привилегированными пользователями (PIM), получатели должны быть повышены до роли, указанной для получения уведомления по электронной почте. Если никто активно не назначен на роль, сообщения электронной почты не отправляются. По этой причине рекомендуется регулярно проверять рекомендации, чтобы убедиться, что вы знаете о новых рекомендациях.