Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ocena Zero Trust sprawdza konfigurację dzierżawy i zaleca sposoby poprawy zabezpieczeń zgodnie z opisem w naszym przeglądzie.
Wymagania wstępne
- PowerShell 7. Aby go zainstalować, zobacz Instalowanie programu PowerShell w systemach Windows, Linux i macOS.
- Aby nawiązać połączenie i wyrazić zgodę na wymagane uprawnienia po raz pierwszy, musisz być administratorem globalnym.
- Kolejne uruchomienia mogą używać roli Czytelnik globalny .
- Jeśli zainstalowano poprzednią wersję oceny Zero Trust, odinstaluj ją przed kontynuowaniem.
Instalowanie modułów programu PowerShell
Wykonaj następujące kroki, aby zainstalować lub zaktualizować narzędzie oceny i połączyć się z Microsoft Graph oraz dzierżawcą.
Otwórz nowe okno programu PowerShell 7.
Uruchom następujące polecenie, aby zainstalować
ZeroTrustAssessmentmoduł:Install-Module ZeroTrustAssessment -Scope CurrentUser
Nawiązywanie połączenia z programem Microsoft Graph i platformą Microsoft Azure
Aby uruchomić moduł Oceny zerowej zaufania, połączysz się z programem Microsoft Graph i platformą Microsoft Azure. Moduł Oceny zero trust łączy się najpierw z programem Microsoft Graph, a następnie z platformą Microsoft Azure.
Uruchom to polecenie, aby nawiązać połączenie z programem Microsoft Graph:
Connect-ZtAssessment
Po nawiązaniu połączenia przy użyciu programu Microsoft Graph PowerShell żąda następujących uprawnień:
- AuditLog.Read.All
- CrossTenantInformation.ReadBasic.All
- DeviceManagementApps.Read.All
- DeviceManagementConfiguration.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementRBAC.Read.All
- DeviceManagementServiceConfig.Read.All
- Directory.Read.All
- DirectoryRecommendations.Read.All
- EntitlementManagement.Read.All
- IdentityRiskEvent.Read.All
- TożsamośćRyzykownegoUżytkownika.Czytaj.Wszystko
- Polityka.Odczyt.Wszystko
- Policy.Read.ConditionalAccess
- Polityka.Czytaj.PrzyznanieUprawnień
- PrivilegedAccess.Read.AzureAD
- Raporty.Czytaj.Wszystkie
- RoleManagement.Read.All
- UserAuthenticationMethod.Read.All
Uwaga / Notatka
Zostanie wyświetlony monit o wyrażenie zgody tylko wtedy, gdy aplikacja Microsoft Graph PowerShell nie ma jeszcze tych uprawnień. Następnym razem, gdy połączysz się, nie musisz ponownie wyrażać zgody na uprawnienia.
Zaloguj się do programu Microsoft Graph
- Zaloguj się do programu Microsoft Graph jako administrator globalny.
- Wybierz pozycję Akceptuj.
Zaloguj się do platformy Microsoft Azure
Zostanie otwarte drugie okno logowania platformy Microsoft Azure. Po wyświetleniu monitu zaloguj się do platformy Microsoft Azure jako administrator globalny.
Logowanie do platformy Microsoft Azure jest wymagane do zweryfikowania eksportu rejestrów inspekcji i logowania. Jeśli nie masz platformy Microsoft Azure, zamknij okno bez logowania i zignoruj ostrzeżenie. Ocena pomija test, który opiera się na platformie Microsoft Azure.
Jeśli masz wiele subskrypcji, po wyświetleniu monitu wybierz dzierżawę i subskrypcję.
Uruchom ocenę
Ocena zerowego zaufania jest tylko do odczytu. Uruchamia i przechowuje wszystkie dane lokalnie na pulpicie. Dobrym rozwiązaniem jest bezpieczne przechowywanie raportu oceny i usunięcie wygenerowanego folderu i jego zawartości z dysku lokalnego po zakończeniu oceny.
Po podaniu zgody administratora globalnego na uprawnienia w pierwszym uruchomieniu kolejne uruchomienia mogą być wykonywane jako czytelnik globalny.
Aby uruchomić ocenę, użyj następującego polecenia:
Invoke-ZtAssessment
Ocena zapisuje wyniki w bieżącym folderze .\ZeroTrustReport\ZeroTrustAssessmentReport.html roboczym. Po zakończeniu oceny raport zostanie automatycznie otwarty w domyślnej przeglądarce.
Ostrzeżenie
Raport i folder eksportu zawierają poufne informacje najemcy, których mogą używać podmioty zagrożeń. Udostępnij raport i folder tylko autoryzowanym personelom w organizacji.
Użyj parametru , -Path aby udostępnić lokalizację niestandardową do przechowywania raportu oceny. Na przykład następujące polecenie zapisuje raport w folderze C:/MyAssessment01/ZeroTrustAssessmentReport.html:
Invoke-ZtAssessment -Path C:\MyAssessment01
Wskazówka
W przypadku dużych dzierżaw ocena Zero Trust może trwać dłużej niż 24 godziny. Nie należy zatrzymywać oceny podczas jej działania, nawet jeśli ocena rejestruje ostrzeżenia lub błędy.
Przeglądanie wyników oceny
Po uruchomieniu oceny raport otwiera kartę Przegląd w domyślnej przeglądarce. Na karcie Przegląd są wyświetlane kluczowe informacje o zerowym zaufaniu dotyczące dzierżawy.
Na kartach Tożsamość i Urządzenia zostanie wyświetlona lista wyników z testów uruchomionych w ramach dzierżawy. Wyniki pokazują ryzyko i stan wyniku każdego testu.
Aby wyświetlić więcej szczegółów dotyczących testu, wybierz wynik. Szczegółowe informacje opisują, co zostało przetestowane, i zawierają listę zalecanych działań naprawczych w celu rozwiązania problemu z konfiguracją dzierżawcy. Aby uzyskać więcej informacji na temat niektórych terminów używanych w poszczególnych testach, zobacz nasz słownik.
Usuwanie modułu Oceny zerowej zaufania
Aby usunąć moduł Oceny zerowego zaufania:
- Usuń moduł programu PowerShell.
- Usuń rejestrację i zgodę aplikacji.
- Usuń folder utworzony przez moduł Oceny zerowej zaufania.
FAQs
Odinstalowywanie poprzednich wersji
Uruchom następujące polecenia, aby upewnić się, że wszystkie wersje poprzednich modułów zostały odinstalowane
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uruchom ponownie program PowerShell i zainstaluj najnowszą wersję.
Nie można załadować pliku lub zestawu Microsoft.Graph.Authentication
Ten błąd występuje, gdy masz zainstalowane sprzeczne wersje programu Microsoft Graph PowerShell.
Aby naprawić ten błąd, zalecamy odinstalowanie wszystkich modułów programu PowerShell programu Microsoft Graph zainstalowanych w systemie. Aby uruchomić oczyszczanie, możesz użyć modułu pomocniczego, takiego jak uninstall-graph.merill.net .
Podczas odinstalowywania programu Microsoft Graph należy również odinstalować wszystkie wersje oceny zerowej zaufania, ponownie uruchomić program PowerShell, a następnie zainstalować najnowszą wersję.
Install-Module Uninstall-Graph
Uninstall-Module ZeroTrustAssessment -Force -AllVersions
Uninstall-Graph
Jak mogę dowiedzieć się, co robi skrypt?
Kod tej oceny to open source. Przejrzyj go pod adresem https://github.com/microsoft/zerotrustassessment/tree/psnext/src/powershell.
Dlaczego wystąpił wyjątek: "Inicjator typu 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' zgłosił wyjątek."?
W nowej instalacji systemu Windows może zostać wyświetlony następujący błąd:
Inicjalizator typu 'DuckDB.NET.Data.DuckDBConnectionStringBuilder' wywołał wyjątek. Wyjątek wewnętrzny: Nie można załadować biblioteki DLL "duckdb" lub jednej z jego zależności: nie można odnaleźć określonego modułu. (0x8007007E) Typ wyjątku wewnętrznego: DllNotFoundException
Ten błąd występuje, ponieważ korzystasz z systemu, który nie zawiera Microsoft Visual C++ 2015-2022 Redistributable (x64) - Microsoft.VCRedist.2015+.x64elementu . VcRedist zwykle instaluje się podczas instalowania produktów firmy Microsoft, takich jak Microsoft Office lub Microsoft Entra Connect Sync. Jeśli używasz nowego urządzenia, może być konieczne ręczne zainstalowanie tego składnika. Zobacz Najnowszą wersję pakietu redystrybucyjnego Programu Microsoft Visual C++.
Obecnie obsługa systemu Windows na urządzeniach ARM64 nie jest dostępna.
Jak uzyskać pomoc techniczną?
Zgłoś problemy związane z pomocą techniczną w repozytorium GitHub Zero Trust Assessment.