Microsoft Entra 建議是什麼?
追蹤租用戶中的所有設定和資源可能會非常困難。 Microsoft Entra 建議功能可協助您監視租用戶的狀態,因此您不必親自監視。 這些建議可協助您確保租用戶處於安全且狀況良好的狀態,同時協助您將 Microsoft Entra ID 中可用功能的價值最大化。
Microsoft Entra 建議現在包含身分識別安全分數建議。 這些建議提供租用戶安全性的類似深入解析。 身分識別安全分數建議包含安全分數,這些分數是根據數個安全性因素計算為整體分數。 如需詳細資訊,請參閱什麼是身分識別安全分數。
這些 Microsoft Entra 建議全都會為您提供個人化深入解析,並提供可採取動作的指引:
- 協助找出實作 Microsoft Entra 相關功能最佳做法的機會。
- 改善 Microsoft Entra 租用戶的狀態。
- 最佳化案例的設定。
本文提供如何使用 Microsoft Entra 建議的概觀。
如何運作?
Microsoft Entra ID 每天分析租用戶的設定。 在此分析期間,Microsoft Entra ID 會比較租用戶的設定與安全性最佳做法和建議資料。 如果建議標幟為適用於您的租用戶,則建議會出現在 [Microsoft Entra 身分識別概觀] 區域的 [建議] 區段中。 建議會依優先順序列出,因此您可以快速判斷要先專注的位置。
![租用戶 [概觀] 頁面的螢幕擷取畫面,其中已醒目提示 [建議] 選項。](media/overview-recommendations/recommendations-overview.png)
您的身分識別安全分數會顯示在頁面頂端,是租用戶健康情況的數值表示法。 適用於身分識別安全分數的建議會在頁面底部的資料表中提供個別分數。 這些分數隨後會加總,以產生您的身分識別安全分數。 如需詳細資訊,請參閱什麼是身分識別安全分數。
每個建議都包含描述、解決建議值的摘要,以及逐步行動計劃。 如果適用,則會列出與建議相關聯的受影響資源,以便您可以解決每個受影響的區域。 如果建議沒有任何相關聯的資源,受影響的資源類型則為租用戶層級,因此您的逐步行動計劃會影響整個租用戶,而不只是特定資源。
建議可用性和授權需求
下表中所列的建議目前可在公開預覽或正式發行中取得。 公開預覽中建議的授權需求可能會變更。 下表提供受影響的資源和可用文件的連結。
| 建議 | 受影響的資源 | 必要的授權 | 可用性 |
|---|---|---|---|
| 在條件式存取中啟用 Microsoft Purview 調適型保護和內部風險條件 | 使用者 | Microsoft Entra Premium P2 | 正式推出 |
| 按使用者 MFA 轉換為條件式存取 MFA | 使用者 | 所有授權 | 正式推出 |
| 將應用程式從 AD FS 移轉至 Microsoft Entra ID | 應用程式 | 所有授權 | 正式推出 |
| 將應用程式和服務主體從 Azure AD Graph 移轉至 Microsoft Graph | 應用程式 | 所有授權 | 公開預覽 |
| 從 ADAL 移轉至 MSAL | 應用程式 | 所有授權 | 正式推出 |
| 從 MFA 伺服器移轉至 Microsoft Entra MFA | 租用戶層級 | 所有授權 | 正式推出 |
| 移轉至 Microsoft Authenticator | 使用者 | 所有授權 | 預覽 |
| 將來自已知裝置的 MFA 提示最小化 | 使用者 | 所有授權 | 正式推出 |
| 移除未使用的應用程式 | 應用程式 | Microsoft Entra 工作負載 ID 進階版 | 公開預覽 |
| 從應用程式移除未使用的認證 | 應用程式 | Microsoft Entra 工作負載 ID 進階版 | 公開預覽 |
| 續訂即將到期的應用程式認證 | 應用程式 | Microsoft Entra 工作負載 ID 進階版 | 公開預覽 |
| 續訂即將到期的服務主體認證 | 應用程式 | Microsoft Entra 工作負載 ID 進階版 | 公開預覽 |
Microsoft Entra 只會顯示套用至租用戶的建議,因此您可能不會看到所有支援的建議都列出。
Microsoft Entra 建議是否與 Azure Advisor 相關?
Microsoft Entra 建議功能是 Azure Advisor 的 Microsoft Entra 特定實作,這是個人化雲端顧問,可協助您遵循最佳做法來最佳化 Azure 部署。 Azure Advisor 可分析您的資源設定和使用量資料,以建議可協助您改善 Azure 資源的成本效益、效能、可靠性和安全性的解決方案。
Microsoft Entra 建議會使用類似資料支援您推出及管理 Microsoft Entra 租用戶的最佳做法,讓租用戶保持安全且狀況良好。 Microsoft Entra 建議功能可讓您全面檢視租用戶的安全性、健康情況和使用方式。
電子郵件通知 (概觀)
Microsoft Entra 建議現在會在產生新的建議時產生電子郵件通知。 此新預覽功能會將電子郵件傳送至每個建議的預先決定角色集。 例如,與租用戶應用程式健康情況相關聯的建議會傳送給具有應用程式系統管理員角色的使用者。
下表列出 Microsoft 內建角色,這些角色會接收每個建議的電子郵件通知:
| 建議標題 | 目標角色 |
|---|---|
| AAD Connect 已被取代 | 混合式身分識別管理員 |
| 按使用者 MFA 轉換為條件式存取 MFA | 安全性系統管理員 |
| 指定多個全域系統管理員 | 全域系統管理員 |
| 不允許使用者同意不可靠的應用程式 | 全域系統管理員 |
| 不要讓密碼過期 | 全域系統管理員 |
| 如果混合,則啟用密碼雜湊同步 | 混合式身分識別管理員 |
| 啟用原則以封鎖舊版驗證 | 條件式存取系統管理員、安全性系統管理員 |
| 啟用自助式密碼重設 | 驗證原則管理員 |
| 確定所有使用者都可以完成多重要素驗證 | 條件式存取系統管理員、安全性系統管理員 |
| 應用程式中長期存在的認證 | 全域系統管理員 |
| 將應用程式從即將淘汰的 Azure AD Graph API 移轉至 Microsoft Graph | 應用程式系統管理員 |
| 將應用程式從 AD FS 移轉至 Microsoft Entra ID | 應用程式系統管理員、驗證系統管理員、混合式身分識別管理員 |
| 從舊版 MFA 和 SSPR 原則移轉驗證方法 | 全域系統管理員 |
| 從 ADAL 移轉至 MSAL | 應用程式系統管理員 |
| 從 MFA 伺服器移轉至 Microsoft Entra MFA | 全域系統管理員 |
| 將服務主體從即將淘汰的 Azure AD Graph API 移轉至 Microsoft Graph | 應用程式系統管理員 |
| MS Graph 版本設定 | 全域系統管理員 |
| 最佳化租用戶 MFA | 安全性系統管理員 |
| 使用登入風險原則保護所有使用者 | 條件式存取系統管理員、安全性系統管理員 |
| 使用使用者風險原則保護所有使用者 | 條件式存取系統管理員、安全性系統管理員 |
| 使用內部風險條件式存取原則保護您的租用戶 | 條件式存取系統管理員、安全性系統管理員 |
| 移除應用程式的過度權限 | 全域系統管理員 |
| 移除未使用的應用程式 | 應用程式系統管理員 |
| 從應用程式移除未使用的認證 | 應用程式系統管理員 |
| 續訂即將到期的應用程式認證 | 應用程式系統管理員 |
| 續訂即將到期的服務主體認證 | 應用程式系統管理員 |
| 需要系統管理角色的 MFA | 條件式存取系統管理員、安全性系統管理員 |
| 使用存取權檢閱來檢閱非作用中使用者 | 身分識別控管系統管理員 |
| 使用自動使用者和群組佈建來保護及控管您的應用程式 | 應用程式系統管理員、IT 治理系統管理員 |
| 使用最低權限管理角色 | 特殊權限角色管理員 |
| 驗證應用程式發行者 | 全域系統管理員 |
如果您的組織使用 Privileged Identity Management (PIM),收件者必須提升為指定的角色,才能接收電子郵件通知。 如果未主動指派給角色,則不會傳送任何電子郵件。 基於這個理由,建議您定期檢查建議,確保您知道任何新的建議。