ScubaGear项目中MS.AAD.7.2基线文档更新：自定义安全评分计算解析

在Azure Active Directory安全管理实践中，最小权限原则的实施一直是安全团队关注的重点。ScubaGear项目近期对其MS.AAD.7.2基线文档进行了重要更新，将原有的Microsoft Identity Secure Score参考替换为更精确的自定义安全评分计算机制。

传统上，管理员需要手动检查Azure AD安全中心提供的"Use least privileged administrative roles"评分项，这种方法存在几个明显不足：评分更新延迟（需要48小时才能看到变更结果）、评估标准不够透明、且无法实现自动化检查。ScubaGear工具的新版本通过引入自定义评分算法，彻底改变了这一现状。

新的自定义评分机制基于以下几个核心维度进行实时计算：

1. 特权角色分配比例：统计全局管理员等高危角色的分配数量与总用户数的比值
2. 角色使用频率：分析特权角色在过去30天内的实际使用情况
3. 权限时效性：检查临时权限分配是否设置了合理的过期时间
4. 多重认证覆盖率：评估特权账户启用MFA的比例

实施这一改进后，安全团队能够获得更及时、更精确的最小权限原则合规评估。ScubaGear工具现在可以直接在报告中输出明确的通过/失败状态和具体评分值，大大简化了合规验证流程。

对于已经部署ScubaGear的组织，建议在下次合规审计时采用新版本的评分标准。需要注意的是，自定义评分与Microsoft原生评分可能略有差异，这是因为两者采用了不同的计算模型和权重分配。安全团队应当基于业务实际需求，合理设置自定义评分的通过阈值。

这一改进体现了ScubaGear项目持续优化云安全评估工具的承诺，为Azure AD环境的安全管理提供了更强大的自动化支持。