Poznámka

Výhody hodnotenia stavu IT a hodnotenia na požiadanie si môžete vychutnať so zmluvou Premier, a to zakúpením aplikácie TOM Ako predplatného služby. Ďalšie informácie vám poskytne zástupca spoločnosti Microsoft.

Začíname s Azure Active Directory na požiadanie

Hodnotenie na požiadanie – Azure Active Directory (AD) je cloudová služba, ktorá analyzuje a poskytuje pokyny na riadenie identite a prístupu (IAM) pre Azure AD a súvisiace súčasti. Pri analýze sa vygeneruje zoznam odporúčaní na riešenie bezpečnostných pokynov a najvhodnejších postupov na zlepšenie stavu a zabezpečenia zdrojov platformy Azure. Hodnotenie okrem toho identifikuje funkcie, ktoré je možné povoliť na rozšírenie možností služby Azure AD. Hodnotenia sú k dispozícii prostredníctvom centra služieb s cieľom optimalizovať dostupnosť, zabezpečenie a výkon investícií do technológií spoločnosti Microsoft. Pri týchto hodnoteniach sa používa analýza denníkov Microsoft Azure, ktorá je navrhnutá tak, aby sa zjednodušila správa IT a zabezpečenia v celom prostredí.

Toto hodnotenie je navrhnuté tak, aby poskytovali špecifické pomoc s akciami zoskupené v oblastiach zamerania na zmiernenie rizík Azure Active Directory organizácie.

Hodnotenie služby Azure AD sa zameriava na niekoľko kľúčových stĺpov vrátane týchto:

  • Spravovanie identite a prístupu
  • Riadenie
  • Operácie
  • Overovanie
  • Zabezpečenie

Spustenie hodnotenia služby Azure AD

Predpoklady

Ak chcete naplno využívať hodnotenia na požiadanie dostupné prostredníctvom centra služieb, je potrebné:

  1. Prepoji ste aktívne predplatné služby Azure do centra služieb a pridali hodnotenie služby Azure AD. Ďalšie informácie nájdete v téme: Začíname s hodnotením na požiadanie alebo si pozrite, ako prepojiť video.

  2. Nainštalujte agenta sledovania spoločnosti Microsoft a vyberte príslušnú možnosť nastavenia agenta v podporovanej Windows serveri. Môžete si tiež pozrieť videopríručky o inštalácii agenta alebo o konfigurácii brány.

  3. Konto naplánovanej úlohy hodnotenia (doména alebo lokálny používateľ) s týmito právami:

    • Administratívna priepustosť k stroju na zhromažďovanie údajov
    • Prihláste sa ako oprávnenia na dávkové úlohy v zariadení na zhromažďovanie údajov
  4. Konto Azure AD na nastavenie registrovanej aplikácie Azure AD s týmito vlastnosťami:

    • Globálny správca
    • Mimo federované
  5. Konto Azure AD na vykonanie hodnotenia (môže byť samostatným kontom ako vyššie) s týmito vlastnosťami:

    • Rola globálneho čitateľa
    • Mimo federované
    • MfA vypnuté
  6. Pozrite si dokument Predpoklady na hodnotenie služby Azure AD. V tomto dokumente sa vysvetľuje podrobná technická dokumentácia hodnotenia služby Azure AD a príprava servera potrebná na spustenie hodnotenia. Takisto obsahuje informácie o rôznych typoch údajov zhromaždených na základe hodnotenia.

Poznámka

V priemere trvá dve hodiny, kým sa na začiatku nakonfiguruje vaše prostredie na spustenie hodnotenia na požiadanie. Po spustení hodnotenia môžete skontrolovať údaje v analýze denníkov služby Azure. Budete mať k dispozícii prioritne zoradený zoznam odporúčaní kategorizovaných v šiestich oblastiach zamerania. Vďaka tomu vám a vášmu tímu môžete rýchlo porozumieť úrovniam rizík, stavu vašich prostredí, znížiť riziko a zlepšiť celkový stav IT.

Nastavenie Microsoft Azure AD údajov v zariadení na zhromažďovanie údajov – Pozrite si videopríručky

Poznámka

Po pripojení predplatného na Azure so centrom služieb a pridaní hodnotenia Služby Azure AD z hodnotenia IT Health -> na požiadanie v centre Služby budete môcť úspešne nastaviť hodnotenie.

  1. V počítači na zhromažďovanie údajov vytvorte nasledujúci priečinok: C:\OMS\AzureAD (alebo ľubovoľný iný priečinok, ako môžete)
  2. Otvorte bežné prostredie Powershell (nie ISE) v režime správcu a spustením rutiny typu cmdlet nižšie vytvorte registrovanú aplikáciu v nájomníkovi Azure AD, ktorý sa vyhodnotil:
    New-MicrosoftAssessmentsApplication

Poznámka

Ak príkaz New-MicrosoftAssessmentsApplication k dispozícii, modul sa zatiaľ nenašiel. Zobrazenie agenta môže nejaký čas trvať, kým sa agent zobrazí.

  1. Zadajte požadované poverenia konta Azure AD, ktoré spĺňajú požiadavky uvedené v tomto článku vyššie. V výzve so súhlasom správcu, ktorá zobrazí povolenia na čítanie, ktoré táto aplikácia vyžaduje na hodnotenie, kliknite na položku Prijať.

Poznámka

Podrobnosti o súhlase nájdete v Microsoft Azure AD hodnotenia povolení pre používateľov.

  1. Otvorte bežné powershell (nie ISE) v režime správcu a spustením rutiny typu cmdlet nižšie definujte poverenia Azure AD, ktoré bude používať naplánovaná úloha:
    $AzureGlobalReader = Get-Credential
  1. Zadajte požadované poverenia konta Azure AD, ktoré spĺňajú požiadavky uvedené v tomto článku vyššie.

Poznámka

Pozrite si časť Aktualizácia hodnotenia služby Azure AD na aktualizáciu existujúcich poverení.

  1. Spustite príkaz Add-AzureAssessmentTask pomocou parametrov uvedených nižšie, ktoré nahradia názov konta pre konto naplánovanej úlohy pracovného adresára hodnotenia a hodnotenia a <Directory> <AccountName> nahrajú ho názvom pracovného adresára hodnotenia:
    Add-AzureAssessmentTask -AADUsername $AzureGlobalReader.Username -AADPassword $AzureGlobalReader.password -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

Poznámka

Ak príkaz Add-AzureAssessmentTask k dispozícii, modul sa zatiaľ nenašiel. Zobrazenie agenta môže nejaký čas trvať, kým sa agent zobrazí.

  1. Skript bude pokračovať s nevyhnutnou konfiguráciou a vytvorí naplánovanú úlohu, ktorá spustí zhromažďovanie údajov.

  2. Zhromažďovanie údajov spúšťa naplánovaná úloha s názvom AzureA sasyment do hodiny od spustenia predchádzajúceho skriptu a potom každých 7 dní. Úlohu možno upraviť tak, aby sa spúšťala v inom dátume alebo čase, alebo ju možno dokonca spustiť okamžite z knižnice plánovača úloh – > Balík správy operácií Microsoft -> -> AOI*** -> Hodnotenia -> AzureA suite

  3. Počas zhromažďovania a analýzy sa údaje dočasne ukladajú v priečinku Pracovný adresár, ktorý bol nakonfigurovaný počas inštalácie.

  4. Po niekoľkých hodinách budú vaše výsledky hodnotenia k dispozícii vo vašom Centre analýz denníkov a služieb. K výsledkom sa môžete dostať tak, že prejdete do časti Centrum služieb a > – > –Hodnotenia a potom v aktívnom hodnotení kliknete na položku Zobraziť všetky odporúčania.

  5. Ak chcete, aby vám akreditovaný inžinier spoločnosti Microsoft preveril problémy týkajúce sa hodnotenia Azure AD, môžete sa obrátiť na svojho zástupcu spoločnosti Microsoft a spýtať sa ho na doručenie vedeného vzdialenému alebo miestneho CE.

    Zmluva Vzdialený inžinier Inžinier lokality
    Premier Azure AD Remote Datasheet Údajový hárok lokality Azure AD
    Zjednotené Azure AD Remote Datasheet Údajový hárok lokality Azure AD

Aktualizácia existujúceho Microsoft Azure AD údajov

Poverenia konta služby Azure AD

Platnosť hesla používateľského konta služby Azure AD predvolene uplynie po 90 dňoch. Poverenia Microsoft Azure AD služby hodnotenia poverení sú uložené v aplikácii Windows Správca poverení a je možné ju aktualizovať pomocou nasledujúcej syntaxe:

$azureglobalreader = get-credential
$User = $AzureGlobalReader.UserName
$Pass = $azureglobalreader.getnetworkcredential().password
invoke-expression -command "cmdkey /generic:Microsoft Assessment:Azure AD /user:$User /pass:$Pass"
$Cred = get-storedcredential -Target "Microsoft Assessment:Azure AD"

Ak chcete získať všeobecné pripomienky k Strediska zdrojov alebo k obsahu, pošlite svoje pripomienky zástupcovi spoločnosti Microsoft. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.