Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
跟踪租户中的所有设置和资源可能会让人不知所措。 Microsoft Entra建议功能有助于监视租户的状态,因此无需这样做。 这些建议有助于确保租户处于安全且正常的状态,同时帮助你最大程度地提高Microsoft Entra ID中可用功能的价值。
Microsoft Entra建议现在包括 Identity 安全功能分数建议。 这些建议提供有关租户安全性的类似见解。 有关详细信息,请参阅什么是标识安全分数。
所有这些 Microsoft Entra 的建议为你提供个性化见解,并附上可操作的指导,以便于执行以下操作:
- 帮助你确定实现标识最佳做法的机会。
- 优化 Microsoft Entra 租户的状态。
- 优化配置以适应您的场景。
本文概述了如何使用Microsoft Entra建议。
它是如何工作的?
Microsoft Entra ID每天会分析你的租户配置。 在此分析过程中,Microsoft Entra ID将租户的配置与安全最佳做法和建议数据进行比较。 如果建议标记为适用于租户,则建议将显示在Microsoft Entra标识概述区域的 recommendations 部分中。
每个建议包含说明、处理建议的价值摘要以及分步操作计划。 如果适用,则会列出与建议关联的受影响资源,以便你对每个受影响的区域进行处理。 如果建议没有任何关联的资源,则受影响的资源类型为租户级别,因此分步操作计划会影响整个租户,而不仅仅是特定的资源。 系统每天处理建议数据,反映前 24 小时时段的活动。 有时,数据同步可能会延长至 72 小时。
建议概述表
下表中列出的建议目前在公共预览版或正式版中提供,涵盖了建议所涉及的资源类型及其他信息。 公共预览版中的建议的许可证要求可能会发生更改。 该表提供了有关需要单独指导的这些建议的可用文档的链接。
| 建议 | 受影响的资源 | 可用性 | 身份安全分数 | 电子邮件通知的目标角色 |
|---|---|---|---|---|
| AAD Connect 已弃用 | 租户 | 预览 | 否 | 混合标识管理员 |
| 配置 VPN 集成 | 用户 | 预览 | 是的 | 无 |
| 将每用户 MFA 转换为条件访问 MFA | 用户 | 全面可用 | 否 | 安全管理员 |
| 指定多个全局管理员 | 用户 | 全面可用 | 是的 | 全局管理员 |
| 在域控制器上禁用打印后台处理程序服务 | 租户 | 预览 | 是的 | 无 |
| 不允许用户同意不可靠的应用程序 | 租户 | 全面可用 | 是的 | 全局管理员 |
| 请勿让密码过期 | 租户 | 全面可用 | 是的 | 全局管理员 |
| 编辑配置错误的证书颁发机构 ACL | 应用程序 | 预览 | 是的 | 无 |
| 编辑配置错误的证书模板访问控制列表 | 应用程序 | 预览 | 是的 | 无 |
| 编辑配置错误的证书模板所有者 | 应用程序 | 预览 | 是的 | 无 |
| 编辑配置错误的注册代理证书模板 | 应用程序 | 预览 | 是的 | 无 |
| 使用具有特权的 EKU 编辑权限过大的证书模板 | 应用程序 | 预览 | 是的 | 无 |
| 编辑易受攻击的证书颁发机构设置 | 应用程序 | 预览 | 是的 | 无 |
| 如果混合则启用密码哈希同步 | 租户 | 全面可用 | 是的 | 混合标识管理员 |
| 启用阻止旧式身份验证的策略 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 启用自助服务密码重置 | 用户 | 全面可用 | 是的 | 身份验证策略管理员 |
| 确保所有用户都可以完成多重身份验证 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 确保特权帐户不被委派 | 用户 | 预览 | 是的 | 无 |
| 组策略对象(GPO)向具有提升权限的本地组分配非特权标识 | 用户 | 预览 | 是的 | 无 |
| 将应用程序从 AD FS 迁移到 Microsoft Entra ID | 应用程序 | 全面可用 | 否 | 应用程序管理员、身份验证管理员混合标识管理员 |
| 将应用程序从即将停用的 Azure AD Graph API 迁移到 Microsoft Graph | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 将服务主体从即将停用的 Azure AD Graph API 迁移到 Microsoft Graph | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 迁移到 Microsoft Authenticator | 用户 | 预览 | 否 | 全局管理员 |
| 最大限度地减少来自已知设备的 MFA 提示 | 用户 | 全面可用 | 否 | 全局管理员 |
| 修改 Kerberos 委派中的不安全性以防止身份冒充 | 应用程序 | 预览 | 是的 | 无 |
| 使用任意应用程序策略阻止证书注册 | 应用程序 | 预览 | 是的 | 无 |
| 使用登录风险策略保护所有用户 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 使用用户风险策略保护所有用户 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 使用 Microsoft LAPS 保护和管理本地管理员密码 | 用户 | 预览 | 是的 | 无 |
| 使用 Insider Risk 条件访问策略保护租户 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 降低敏感实体的横向移动路径风险 | 用户 | 预览 | 是的 | 无 |
| 使用管理员 SDHolder 权限删除可疑帐户的访问权限 | 用户 | 预览 | 是的 | 无 |
| 从敏感组中删除休眠帐户 | 用户 | 预览 | 是的 | 无 |
| 删除具有 DCsync 权限的非管理员帐户 | 用户 | 预览 | 是的 | 无 |
| 删除敏感Microsoft Entra Connect 帐户的不安全权限 | 用户 | 预览 | 是的 | 无 |
| 删除未使用的应用程序 | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 从应用程序删除未使用的凭据 | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 续订即将过期的应用程序凭据 | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 续订即将过期的服务主体凭据 | 应用程序 | 预览 | 否 | 应用程序管理员 |
| 更换 Microsoft Entra Connect AD DS 连接器的企业管理员或域管理员帐户 | 用户 | 预览 | 是的 | 无 |
| 要求对管理员角色启用多重身份验证 | 用户 | 全面可用 | 是的 | 条件访问管理员、安全管理员 |
| 解决不安全的帐户属性 | 用户 | 预览 | 是的 | 无 |
| 在 GPO 中找到的可逆密码 | 用户 | 预览 | 是的 | 无 |
| 使用访问评审来评审非活动用户 | 用户 | 预览 | 否 | 身份治理管理员 |
| 轮换 Microsoft Entra Connect 的 AD DS 连接器帐户密码 | 用户 | 预览 | 是的 | 无 |
| 使用自动用户和组预配来保护和治理应用 | 应用程序 | 预览 | 否 | 应用程序管理员、IT 治理管理员 |
| 停止明文凭据公开 | 用户 | 预览 | 是的 | 无 |
| 停止弱密码使用 | 租户 | 预览 | 是的 | 无 |
| 使用最小特权管理角色 | 用户 | 全面可用 | 是的 | 特权角色管理员 |
| 验证应用发布者 | 应用程序 | 预览 | 否 | 全局管理员 |
Microsoft Entra仅显示适用于租户的建议,因此可能不会看到列出的所有受支持的建议。
身份安全分数
显示在页面顶部的身份安全分数是租户运行状况的数值表示。 适用于身份安全分数的建议在页面底部的表中被单独评分。 可以使用“安全”筛选器卡筛选建议列表,仅筛选出标识安全分数建议。 标识安全分数建议包括安全分数,该分数根据多个安全因素计算出总体分数。
这些分数加起来生成您的身份安全分数。 有关详细信息,请参阅什么是标识安全分数。
Microsoft Entra建议是否与Azure Advisor相关?
Microsoft Entra 建议功能是 Microsoft Entra 的特定实现,Azure Advisor 是一个个性化的云顾问,可帮助你遵循最佳实践来优化 Azure 部署。 Azure Advisor分析资源配置和使用情况数据,以推荐可帮助你提高Azure资源的成本效益、性能、可靠性和安全性的解决方案。
Microsoft Entra 建议利用相关数据来支持您推出和管理 Microsoft Entra 租户的最佳实践,以保持租户的安全和健康状态。 Microsoft Entra建议功能提供租户的安全、运行状况和使用情况的整体视图。
电子邮件通知(预览版)
Microsoft Entra建议现在会在生成新建议时生成电子邮件通知。 这一新的预览功能会针对每项建议向一组预定角色发送电子邮件。 例如,与租户应用程序的运行状况关联的建议将发送给具有应用程序管理员角色的用户。
如果组织正在使用Privileged Identity Management(PIM),则必须将收件人提升为指示的角色才能接收电子邮件通知。 如果没有人主动分配到该角色,则不会发送电子邮件。 出于此原因,我们建议定期检查建议,以确保了解任何新建议。