Vad är Microsoft Entra-rekommendationer?
Det kan vara överväldigande att hålla reda på alla inställningar och resurser i klientorganisationen. Funktionen Microsoft Entra-rekommendationer hjälper dig att övervaka statusen för din klientorganisation så att du inte behöver göra det. De här rekommendationerna hjälper till att säkerställa att din klientorganisation är i ett säkert och felfritt tillstånd samtidigt som du kan maximera värdet för de funktioner som är tillgängliga i Microsoft Entra-ID.
Microsoft Entra-rekommendationer innehåller nu rekommendationer för identitetssäkerhetspoäng . De här rekommendationerna ger liknande insikter om din klientorganisations säkerhet. Rekommendationerna för säker identitetspoäng innehåller säkerhetspoäng som beräknas som en övergripande poäng baserat på flera säkerhetsfaktorer. Mer information finns i Vad är identitetssäkerhetspoäng.
Alla dessa Microsoft Entra-rekommendationer ger dig personliga insikter med användbar vägledning för att:
- Hjälp dig att identifiera möjligheter att implementera metodtips för Microsoft Entra-relaterade funktioner.
- Förbättra tillståndet för din Microsoft Entra-klientorganisation.
- Optimera konfigurationerna för dina scenarier.
Den här artikeln ger dig en översikt över hur du kan använda Microsoft Entra-rekommendationer.
Hur fungerar det?
Microsoft Entra ID analyserar dagligen konfigurationen av din klientorganisation. Under den här analysen jämför Microsoft Entra-ID konfigurationen av din klientorganisation med metodtips för säkerhet och rekommendationsdata. Om en rekommendation flaggas enligt vad som gäller för din klientorganisation visas rekommendationen i avsnittet Rekommendationer i microsoft Entra-identitetsöversiktsområdet. Rekommendationerna visas i prioritetsordning så att du snabbt kan avgöra var du ska fokusera först.
Din identitetssäkerhetspoäng, som visas överst på sidan, är en numerisk representation av hälsotillståndet för din klientorganisation. Rekommendationer som gäller för identitetens säkerhetspoäng ges individuella poäng i tabellen längst ned på sidan. Dessa poäng läggs till för att generera din identitetssäkerhetspoäng. Mer information finns i Vad är identitetssäkerhetspoäng.
Varje rekommendation innehåller en beskrivning, en sammanfattning av värdet för att hantera rekommendationen och en steg-för-steg-åtgärdsplan. Om tillämpligt visas berörda resurser som är associerade med rekommendationen, så att du kan lösa varje berört område. Om en rekommendation inte har några associerade resurser är den påverkade resurstypen Klientnivå, så din stegvisa åtgärdsplan påverkar hela klientorganisationen och inte bara en specifik resurs.
Rekommendationstillgänglighet och licenskrav
Rekommendationerna som anges i följande tabell är för närvarande tillgängliga i offentlig förhandsversion eller allmän tillgänglighet. Licenskraven för rekommendationer i offentlig förhandsversion kan komma att ändras. Tabellen innehåller de resurser och länkar som påverkas till tillgänglig dokumentation.
Microsoft Entra visar bara de rekommendationer som gäller för din klientorganisation, så du kanske inte ser alla rekommendationer som stöds.
Är Microsoft Entra-rekommendationer relaterade till Azure Advisor?
Microsoft Entra-rekommendationsfunktionen är microsoft entra-specifik implementering av Azure Advisor, som är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure-distributioner. Azure Advisor analyserar dina resurskonfigurations- och användningsdata för att rekommendera lösningar som kan hjälpa dig att förbättra kostnadseffektiviteten, prestandan, tillförlitligheten och säkerheten för dina Azure-resurser.
Microsoft Entra-rekommendationer använder liknande data för att stödja dig med distribution och hantering av Microsofts bästa praxis för Microsoft Entra-klienter för att hålla din klientorganisation i ett säkert och felfritt tillstånd. Microsoft Entra-rekommendationsfunktionen ger en holistisk vy över klientorganisationens säkerhet, hälsa och användning.
E-postaviseringar (förhandsversion)
Microsoft Entra-rekommendationer genererar nu e-postmeddelanden när en ny rekommendation genereras. Den här nya förhandsgranskningsfunktionen skickar e-postmeddelanden till en fördefinierad uppsättning roller för varje rekommendation. Rekommendationer som är associerade med hälsotillståndet för klientorganisationens program skickas till användare som har rollen Programadministratör.
I följande tabell visas de inbyggda Microsoft-roller som tar emot e-postmeddelanden för varje rekommendation:
| Rekommendationsrubrik | Målroller |
|---|---|
| AAD Connect inaktuell | Hybrididentitetsadministratör |
| Konvertera MFA per användare till MFA för villkorsstyrd åtkomst | Säkerhetsadministratör |
| Utse fler än en global administratör | Global administratör |
| Tillåt inte att användare beviljar medgivande till otillförlitliga program | Global administratör |
| Upphör inte att gälla lösenord | Global administratör |
| Aktivera synkronisering av lösenordshash om hybrid | Hybrididentitetsadministratör |
| Aktivera princip för att blockera äldre autentisering | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Aktivera lösenordsåterställning med självbetjäning | Administratör för autentiseringsprincip |
| Se till att alla användare kan slutföra multifaktorautentisering | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Långlivade autentiseringsuppgifter i program | Global administratör |
| Migrera program från de tillbakadragna Azure AD Graph-API:erna till Microsoft Graph | Programadministratör |
| Migrera program från AD FS till Microsoft Entra-ID | Programadministratör, hybrididentitetsadministratör för autentiseringsadministratör |
| Migrera autentiseringsmetoder från äldre MFA- och SSPR-principer | Global administratör |
| Migrera från ADAL till MSAL | Programadministratör |
| Migrera från MFA Server till Microsoft Entra MFA | Global administratör |
| Migrera tjänstens huvudnamn från de tillbakadragna Azure AD Graph-API:erna till Microsoft Graph | Programadministratör |
| MS Graph-versionshantering | Global administratör |
| Optimera MFA för klientorganisation | Säkerhetsadministratör |
| Skydda alla användare med en princip för inloggningsrisk | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Skydda alla användare med en användarriskprincip | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Skydda din klientorganisation med princip för villkorsstyrd åtkomst för insiderrisk | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Ta bort överprivilegierade behörigheter för dina program | Global administratör |
| Ta bort program som inte används | Programadministratör |
| Ta bort oanvända autentiseringsuppgifter från program | Programadministratör |
| Förnya programautentiseringsuppgifter som upphör att gälla | Programadministratör |
| Förnya utgångna autentiseringsuppgifter för tjänstens huvudnamn | Programadministratör |
| Kräv MFA för administrativa roller | Administratör för villkorlig åtkomst, säkerhetsadministratör |
| Granska inaktiva användare med åtkomstgranskningar | Administratör för identitetsstyrning |
| Skydda och styra dina appar med automatisk etablering av användare och grupper | Programadministratör, IT-styrningsadministratör |
| Använda minst privilegierade administrativa roller | Privilegierad rolladministratör |
| Verifiera App Publisher | Global administratör |
Om din organisation använder Privileged Identity Management (PIM) måste mottagarna höjas till den roll som anges för att kunna ta emot e-postmeddelandet. Om ingen aktivt tilldelas rollen skickas inga e-postmeddelanden. Därför rekommenderar vi att du kontrollerar rekommendationerna regelbundet för att se till att du är medveten om nya rekommendationer.