Začíname s Azure Active Directory na požiadanie

Hodnotenie na požiadanie – Azure Active Directory (AD) je cloudová služba, ktorá analyzuje a poskytuje pokyny na riadenie identite a prístupu (IAM) pre Azure AD a súvisiace súčasti. Pri analýze sa vygeneruje zoznam odporúčaní na riešenie bezpečnostných pokynov a najvhodnejších postupov na zlepšenie stavu a zabezpečenia zdrojov platformy Azure. Hodnotenie okrem toho identifikuje funkcie, ktoré je možné povoliť na rozšírenie možností služby Azure AD. Hodnotenia sú k dispozícii prostredníctvom centra služieb s cieľom optimalizovať dostupnosť, zabezpečenie a výkon investícií do technológií spoločnosti Microsoft. Pri týchto hodnoteniach sa používa analýza denníkov Microsoft Azure, ktorá je navrhnutá tak, aby sa zjednodušila správa IT a zabezpečenia v celom prostredí.

Toto hodnotenie je navrhnuté tak, aby poskytovali špecifické pokyny na akcie zoskupené v oblastiach zamerania na zmiernenie rizík Azure Active Directory organizácie.

Hodnotenie služby Azure AD sa zameriava na niekoľko kľúčových stĺpov vrátane týchto:

  • Spravovanie identite a prístupu
  • Riadenie
  • Operácie
  • Overovanie
  • Zabezpečenie

Spustenie hodnotenia služby Azure AD

Predpoklady

Ak chcete naplno využívať hodnotenia na požiadanie dostupné prostredníctvom centra služieb, je potrebné:

  1. Prepoji ste aktívne predplatné služby Azure do centra služieb a pridali hodnotenie služby Azure AD. Ďalšie informácie nájdete v téme: Začíname s hodnotením na požiadanie alebo si pozrite, ako prepojiť video.

  2. Nainštalujte agenta sledovania spoločnosti Microsoft a vyberte príslušnú možnosť nastavenia agenta v podporovanej Windows Serveri. Môžete si tiež pozrieť videopríručky o inštalácii agenta alebo o konfigurácii brány.

  3. Konto naplánovanej úlohy hodnotenia (doména alebo lokálny používateľ) s týmito právami:

    • Administratívna priepustosť k stroju na zhromažďovanie údajov
    • Prihláste sa ako oprávnenia na dávkové úlohy v zariadení na zhromažďovanie údajov
  4. Konto Azure AD na nastavenie registrovanej aplikácie Azure AD s týmito vlastnosťami:

    • Globálny správca
    • Mimo federované
  5. Konto Azure AD na vykonanie hodnotenia (môže byť samostatným kontom ako vyššie) s týmito vlastnosťami:

    • Rola globálneho čitateľa
    • Mimo federované

Poznámka

Pre MFA sa podporuje konto Azure AD na vykonanie hodnotenia. Nastavenie hodnotenia a podrobnosti vykonávania sa líšia v závislosti od toho, ktorú trasu vybranej je. Konto Azure AD povolené viac ako 100 alebo MFA vypnuté konto Azure AD. Vykonajte príslušnú časť Vytvorenie naplánovanej úlohy hodnotenia.

  1. Pozrite si dokument Predpoklady na hodnotenie služby Azure AD. V tomto dokumente sa vysvetľuje podrobná technická dokumentácia hodnotenia služby Azure AD a príprava servera potrebná na spustenie hodnotenia. Takisto obsahuje informácie o rôznych typoch údajov zhromaždených na základe hodnotenia.

Poznámka

V priemere trvá dve hodiny, kým sa na začiatku nakonfiguruje vaše prostredie na spustenie hodnotenia na požiadanie. Po spustení hodnotenia môžete skontrolovať údaje v analýze denníkov služby Azure. Budete mať k dispozícii prioritne zoradený zoznam odporúčaní kategorizovaných v šiestich oblastiach zamerania. Vďaka tomu vám a vášmu tímu môžete rýchlo porozumieť úrovniam rizík, stavu vašich prostredí, znížiť riziko a zlepšiť celkový stav IT.

Nastavenie Microsoft Azure AD zariadenia na zhromažďovanie údajov – Pozrite si video príručku

Poznámka

Po pripojení predplatného na Azure so centrom služieb a pridaní hodnotenia Služby Azure AD z hodnotenia IT Health -> na požiadanie v centre Služby budete môcť úspešne nastaviť hodnotenie.

Registrácia aplikácie Hodnotenia spoločnosti Microsoft v nájomníkovi služby Azure AD v rozsahu

  1. V počítači na zhromažďovanie údajov vytvorte nasledujúci priečinok: C:\OMS\AzureAD (alebo ľubovoľný iný priečinok, ako môžete)
  2. Otvorte bežné prostredie Powershell (nie ISE) v režime správcu a spustením rutiny typu cmdlet nižšie vytvorte registrovanú aplikáciu v nájomníkovi Azure AD, ktorý sa vyhodnotil:
    New-MicrosoftAssessmentsApplication

Poznámka

Ak príkaz New-MicrosoftAssessmentsApplication k dispozícii, modul sa zatiaľ nenašiel. Zobrazenie agenta môže nejaký čas trvať, kým sa agent zobrazí.

  1. Zadajte požadované poverenia konta Azure AD, ktoré spĺňajú požiadavky uvedené v tomto článku vyššie. V výzve so súhlasom správcu, ktorá zobrazí povolenia na čítanie, ktoré táto aplikácia vyžaduje na hodnotenie, kliknite na položku Prijať.

Poznámka

Podrobnosti o súhlase nájdete v Microsoft Azure AD hodnotenia povolení pre používateľov.

Vytvorenie naplánovanej úlohy hodnotenia používateľského konta Azure AD s povolenou viachodnotou

  1. Otvorte bežné prostredie PowerShell (nie ISE) v režime správcu a spustite rutinu typu cmdlet nižšie pomocou nižšie uvedených parametrov, ktoré nahradia a nahrajú a pomocou používateľského konta Azure AD, pracovného adresára hodnotenia a názvu konta pre konto naplánovaného <AADUserName> <Directory> <AccountName> hodnotenia:
    Add-AzureAssessmentTask -AADUsername <AADUserName> -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname> -MFA $true
  1. Skript bude pokračovať s nevyhnutnou konfiguráciou a vytvorí naplánovanú úlohu, ktorá spustí zhromažďovanie údajov.

  2. Zhromažďovanie údajov spúšťa naplánovaná úloha s názvom AzureA sa premenuje prostredníctvom manuálneho vykonania úlohy v rámci knižnice Plánovač úloh – > Balík služby Microsoft -> Operations Management Suite -> AOI*** -> Hodnotenia -> AzureA suite. Prípadne sa hodnotenie môže spustiť spustením odkazu na pracovnej ploche AzureA spolu s názvom AzureA spolu s VIACA.

Vytvorenie naplánovanej úlohy hodnotenia pre používateľské konto Služby Azure AD vypnuté MFA

  1. Otvorte bežné powershell (nie ISE) v režime správcu a spustením rutiny typu cmdlet nižšie definujte poverenia Azure AD, ktoré bude používať naplánovaná úloha:
    $AzureGlobalReader = Get-Credential
  1. Zadajte požadované poverenia konta Azure AD, ktoré spĺňajú požiadavky uvedené v tomto článku vyššie.

Poznámka

Pozrite si časť Aktualizácia hodnotenia služby Azure AD na aktualizáciu existujúcich poverení.

  1. Spustite príkaz Add-AzureAssessmentTask pomocou parametrov uvedených nižšie, ktoré nahradia názov konta pre konto naplánovanej úlohy pracovného adresára hodnotenia a <Directory> <AccountName> hodnotenia a nahrajú ho názvom pracovného adresára hodnotenia:
    Add-AzureAssessmentTask -AADUsername $AzureGlobalReader.Username -AADPassword $AzureGlobalReader.password -WorkingDirectory <Directory> -ScheduledTaskUsername <accountname>

Poznámka

Ak príkaz Add-AzureAssessmentTask k dispozícii, modul sa zatiaľ nenašiel. Zobrazenie agenta môže nejaký čas trvať, kým sa agent zobrazí.

  1. Skript bude pokračovať s nevyhnutnou konfiguráciou a vytvorí naplánovanú úlohu, ktorá spustí zhromažďovanie údajov.

  2. Zhromažďovanie údajov spúšťa naplánovaná úloha s názvom AzureA sasyment do hodiny od spustenia predchádzajúceho skriptu a potom každých 7 dní. Úlohu možno upraviť tak, aby sa spúšťala v inom dátume alebo čase, alebo ju možno dokonca spustiť okamžite z knižnice plánovača úloh – > Balík správy operácií Microsoft -> -> AOI*** -> Hodnotenia -> AzureA suite

Vykonanie hodnotenia

  1. Počas zhromažďovania a analýzy sa údaje dočasne ukladajú v priečinku Pracovný adresár, ktorý bol nakonfigurovaný počas inštalácie.

  2. Po niekoľkých hodinách budú vaše výsledky hodnotenia k dispozícii vo vašom Centre analýz denníkov a služieb. K výsledkom sa môžete dostať tak, že prejdete do časti Centrum služieb a > – > –Hodnotenia a potom v aktívnom hodnotení kliknete na položku Zobraziť všetky odporúčania.

  3. Ak chcete, aby vám akreditovaný inžinier spoločnosti Microsoft preveril problémy týkajúce sa hodnotenia Azure AD, môžete sa obrátiť na svojho zástupcu spoločnosti Microsoft a spýtať sa ho na doručenie vedeného vzdialenému alebo miestneho CE.

    zmluva Vzdialený inžinier Inžinier lokality
    Premier Azure AD Remote Datasheet Údajový hárok lokality Azure AD
    Zjednotené Azure AD Remote Datasheet Údajový hárok lokality Azure AD

Aktualizácia existujúceho hodnotenia Služby Azure AD

Poverenia konta služby Azure AD

Platnosť hesla používateľského konta služby Azure AD predvolene uplynie po 90 dňoch. Poverenia Microsoft Azure AD služby hodnotenia poverení sú uložené v aplikácii Windows Správca poverení a môžete ju aktualizovať pomocou nasledujúcej syntaxe:

$azureglobalreader = get-credential
$User = $AzureGlobalReader.UserName
$Pass = $azureglobalreader.getnetworkcredential().password
invoke-expression -command "cmdkey /generic:Microsoft Assessment:Azure AD /user:$User /pass:$Pass"
$Cred = get-storedcredential -Target "Microsoft Assessment:Azure AD"

Ak chcete získať všeobecné pripomienky k Strediska zdrojov alebo k obsahu, pošlite svoje pripomienky zástupcovi spoločnosti Microsoft. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.