Jak używać zaleceń firmy Microsoft Entra

Funkcja rekomendacji firmy Microsoft Entra udostępnia spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:

• Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
• Popraw stan dzierżawy Microsoft Entra.
• Zoptymalizuj konfiguracje dla Twoich scenariuszy.

W tym artykule opisano sposób pracy z zaleceniami firmy Microsoft Entra. Każda rekomendacja firmy Microsoft Entra zawiera podobne szczegóły, takie jak opis, wartość rozwiązania zalecenia oraz kroki umożliwiające rozwiązanie zalecenia. Wskazówki dotyczące interfejsu API programu Microsoft Graph są również dostępne w tym artykule.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Odbiornik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizować i odczytać
Administrator programu Exchange	Aktualizuj i odczytaj
Administrator zabezpieczeń	Aktualizuj i odczytuj
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz tabelę przeglądu zaleceń .

Jak przeczytać zalecenie

Większość zaleceń jest zgodne z tym samym wzorcem. Podano informacje o sposobie działania rekomendacji, jego wartości i kilku krokach akcji w celu rozwiązania zalecenia. Ta sekcja zawiera omówienie szczegółów podanych w rekomendacji, ale nie są specyficzne dla jednego zalecenia.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do Tożsamość>Przegląd>Zalecenia.

3. Wybierz zalecenie z listy.

   

Każde zalecenie zawiera ten sam zestaw szczegółów, które wyjaśniają, co to jest zalecenie, dlaczego jest ważne i jak go naprawić. Usługa rekomendacji jest uruchamiana co 24–48 godzin, w zależności od zalecenia.

Stan

Stan rekomendacji może być aktywny, ukończony, odrzucony lub odroczony. Usługa rekomendacji automatycznie oznacza zalecenie jako ukończone, gdy wszystkie zasoby, których dotyczy problem, zostaną rozwiązane.

• Aktywne: Zalecenie zawiera zasoby, które należy zaadresować. Zalecenie odrzucone, odroczone lub ukończone można ręcznie zmienić z powrotem na aktywne.
• Ukończono: wszystkie zasoby w zaleceniu zostały uwzględnione. Stan jest aktualizowany automatycznie przez system, gdy wszystkie zasoby są adresowane zgodnie z planem działania. Rekomendacje nie mogą być oznaczone ręcznie jako ukończone.
• Odrzucone: jeśli zalecenie jest nieistotne lub dane są nieprawidłowe, możesz odrzucić zalecenie. Musisz podać przyczynę odrzucenia zalecenia.
• Odroczone: jeśli chcesz zająć się zaleceniem w późniejszym czasie, możesz je odroczyć. Zalecenie staje się aktywne po wystąpieniu wybranej daty. Zalecenie można odroczyć przez maksymalnie rok.

Priorytet

Priorytet zalecenia może być niski, średni lub wysoki. Te wartości są określane przez kilka czynników, takich jak implikacje dotyczące zabezpieczeń, problemy zdrowotne, czy potencjalne zmiany, które mogą powodować niezgodności.

• Wysoki: Trzeba to zrobić. Niedziałanie spowoduje poważne konsekwencje bezpieczeństwa lub potencjalny przestój.
• Średni: Powinno wystarczyć. Brak poważnego ryzyka, jeśli nie podjęto działań.
• Niski: Może wystarczy. Brak zagrożeń bezpieczeństwa lub problemów dotyczących kondycji, jeśli nie są podejmowane działania.

Szczegóły zalecenia

• Opis stanu informuje o dacie zmiany stanu zalecenia.

• Wartość rekomendacji jest wyjaśnieniem, dlaczego ukończenie rekomendacji przynosi korzyści organizacji i wartość skojarzonej funkcji.

• Plan działania zawiera instrukcje krok po kroku dotyczące implementowania zalecenia. Plan działania może zawierać linki do odpowiedniej dokumentacji lub przekierować Cię do innych stron w witrynie Azure Portal.

• Niektóre zalecenia mogą obejmować wpływ na użytkowników, który opisuje doświadczenie użytkownika, gdy zalecenie zostanie uwzględnione.

Zasoby objęte wpływem

Zasoby , których dotyczy to zalecenie, mogą być aplikacjami, użytkownikami lub pełną dzierżawą. Jeśli zasób, którego dotyczy ten zasób, jest na poziomie dzierżawy, może być konieczne wprowadzenie globalnej zmiany. Nie wszystkie zalecenia wypełniają tabelę zasobów, których dotyczy ten wpływ. Na przykład zalecenie "Usuń nieużywane aplikacje" zawiera listę wszystkich aplikacji, które zostały zidentyfikowane przez usługę rekomendacji. Zalecenia na poziomie dzierżawiącego nie będą jednak zawierać żadnych zasobów wymienionych w tabeli.

W przypadku tych zaleceń, dla których są dostępne oddzielne zasoby, tabela Zasoby obciążone zawiera listę zasobów wskazanych przez zalecenie. Nazwa zasobu, identyfikator, data, która została wykryta po raz pierwszy, i podano stan. Na przykład zasób może być aplikacją, użytkownikiem lub jednostką usługi zasobów.

Poszczególne zasoby, których to dotyczy, można oznaczyć jako odrzucone lub odroczone. Reguły i funkcje na poziomie zasobu są takie same jak na poziomie rekomendacji. W niektórych zaleceniach możesz wybrać zasób lub link Więcej szczegółów , aby uzyskać bezpośredni dostęp do zasobu.

W centrum administracyjnym Microsoft Entra, zasoby, których to dotyczy, są ograniczone do maksymalnie 50 zasobów. Aby wyświetlić wszystkie zasoby, których dotyczy zalecenie, użyj następującego żądania interfejsu API programu Microsoft Graph: GET /directory/recommendations/{recommendationId}/impactedResources

Jak zaktualizować rekomendację i zasoby, których dotyczy ten wpływ

Możesz zaktualizować stan rekomendacji i dowolny powiązany zasób w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do Tożsamość>Przegląd>Zalecenia.

3. Wybierz zalecenie z listy.

4. Postępuj zgodnie ze wskazówkami w planie działania.

5. Jeśli musisz ręcznie zmienić stan zalecenia, wybierz pozycję Oznacz jako w górnej części strony i wybierz stan.

   

   • Oznacz zalecenie jako Odrzucone , jeśli uważasz, że zalecenie jest nieistotne lub dane są nieprawidłowe.
     • W wyświetlonym panelu wybierz odrzuconą przyczynę, abyśmy mogli ulepszyć usługę.
   • Oznacz rekomendację jako odroczone, jeśli chcesz zająć się nią w późniejszym czasie.
     • W wyświetlonym panelu wybierz datę w ciągu następnego roku, aby odroczyć zalecenie.
     • Zalecenie staje się aktywne po wystąpieniu wybranej daty.
   • Oznacz odrzucone, odroczone lub ukończone zalecenie jako Aktywne , aby ponownie ocenić zasoby i rozwiązać problem.
   • Rekomendacje zmieniają się na Ukończono, gdy wszystkie dotknięte zasoby zostały rozwiązane.
     • Jeśli usługa zidentyfikuje aktywny zasób dla ukończonego zalecenia przy następnym uruchomieniu usługi, zalecenie automatycznie zmieni się z powrotem na Aktywne.
     • Ukończenie zalecenia to jedyna akcja zebrana w dzienniku inspekcji. Aby wyświetlić te dzienniki, przejdź do Microsoft Entra ID>Dzienniki inspekcji i przefiltruj usługę, wybierając "Microsoft Entra recommendations".

6. Jeśli musisz ręcznie zmienić status zasobu, który został dotknięty, zaznacz pole wyboru dla tego zasobu w tabeli Zasoby dotknięte i wybierz status z menu.

7. Kontynuuj monitorowanie zaleceń w dzierżawie pod kątem zmian.

Uwaga

Nie można ręcznie oznaczyć rekomendacji jako ukończonej. System automatycznie oznacza zalecenie jako ukończone, gdy wszystkie zasoby, których dotyczy, zostaną uwzględnione. Po uruchomieniu usługi, jeśli nie znaleziono aktywnych zasobów, zalecenie zostanie oznaczone jako ukończone.

Interfejs API programu Microsoft Graph

Rekomendacje firmy Microsoft Entra można wyświetlać i zarządzać przy użyciu programu Microsoft Graph w punkcie /beta końcowym. Możesz wyświetlić rekomendacje wraz z dotkniętymi przez nie zasobami, przełożyć rekomendację na później i więcej. Aby uzyskać więcej informacji, zobacz dokumentację programu Microsoft Graph, aby uzyskać zalecenia.

Aby rozpocząć, postępuj zgodnie z tymi instrukcjami, aby korzystać z zaleceń za pomocą Microsoft Graph w Eksploratorze grafu.

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.
3. Ustaw wersję interfejsu API na wersję beta.

Wyświetlanie wszystkich zaleceń

Dodaj następujące zapytanie, aby pobrać wszystkie zalecenia dotyczące dzierżawy, a następnie wybierz przycisk Uruchom zapytanie .

GET https://graph.microsoft.com/beta/directory/recommendations

Wszystkie zalecenia dotyczące Twojego najemcy są wyświetlane w odpowiedzi. Wpływ, korzyści, podsumowanie zasobów, których dotyczy problem, i kroki korygowania są udostępniane w odpowiedzi. Znajdź identyfikator rekomendacji dla dowolnego zalecenia, aby wyświetlić zasoby, których dotyczy ten wpływ.

Wyświetlanie konkretnej rekomendacji

Jeśli chcesz wyszukać konkretne zalecenie, możesz dodać element recommendationType do żądania. Ten przykład pobiera szczegóły dotyczące zalecenia applicationCredentialExpiry.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Wyświetl wpływ rekomendacji na zasoby

Niektóre zalecenia mogą potencjalnie zwracać długą listę zasobów, których dotyczy ten wpływ. Aby wyświetlić listę zasobów, których dotyczy ten wpływ, należy zlokalizować identyfikator rekomendacji. Identyfikator rekomendacji jest wyświetlany w odpowiedzi podczas wyświetlania wszystkich zaleceń i określonego zalecenia.

Aby wyświetlić zasoby, których dotyczy określone zalecenie, użyj następującego zapytania z zapisanym identyfikatorem rekomendacji.

GET /directory/recommendations/{recommendationId}/impactedResources

Powiązana zawartość

• Zapoznaj się z przeglądem zaleceń Microsoft Entra
• Dowiedz się więcej o powiadomieniach usługi Service Health