如何使用 Microsoft Entra 建议
Microsoft Entra 建议功能提供个性化的见解和可行的指导,可以:
- 帮助你找到实施 Microsoft Entra 相关功能最佳做法的机会。
- 改善 Microsoft Entra 租户的状态。
- 针对方案优化配置。
本文介绍如何使用 Microsoft Entra 建议。 每个 Microsoft Entra 建议都包含类似的详细信息,例如说明、解决建议的价值以及解决建议的步骤。 本文还提供了 Microsoft Graph API 指南。
先决条件
查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。
Microsoft Entra 角色 | 访问类型 |
---|---|
报告读者 | 只读 |
安全读取者 | 只读 |
全局读取者 | 只读 |
云应用管理员 | 更新和读取 |
应用管理员 | 更新和读取 |
安全操作员 | 更新和读取 |
安全管理员 | 更新和读取 |
某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求。
如何阅读建议
大多数建议都遵循相同的模式。 你将获得有关建议工作原理、建议的价值以及处理建议的一些操作步骤的信息。 本部分概述了建议中提供的详细信息,但它们并不特定于某项建议。
至少以报告读取者身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“概述”>“建议”选项卡。
从列表中选择建议。
每个建议都提供了相同的一组详细信息,来说明建议是什么、为何它很重要以及如何进行修复。
可以手动或由系统自动更新建议的“状态”。 如果根据操作计划处理了所有资源,在下次运行建议服务时,状态会自动更改为“已完成”。 建议服务每 24-48 小时运行一次,具体取决于建议。
建议的“优先级”可以是低、中或高。 这些值由几个因素决定,例如安全隐患、运行状况问题或潜在的中断性变更。
- 高:必须执行。 不执行操作将导致严重的安全隐患或可能出现故障时间。
- 中:应该执行。 如果不执行操作,不会面临严重风险。
- 低:可以执行。 如果不执行操作,不会面临安全风险或运行状况问题。
建议中“受影响的资源类型”可以是应用程序、用户或完整租户。 此详细信息可让你了解需要处理的资源类型。 如果受影响的资源位于租户级别,则可能需要进行全局更改。
“状态说明”告知建议状态更改的日期,以及它是由系统还是用户更改的。
建议的“价值”解释了为什么完成该建议会有好处,以及关联功能的价值。
“操作计划”提供了实施建议的分步说明。 操作计划可能包含相关文档的链接,或定向到 Azure 门户中的其他页面。
“受影响的资源”表包含建议功能所标识的资源列表。 会提供资源的名称、ID、首次检测到的日期和状态。 例如,资源可以是应用程序或资源服务主体。
注意
在 Microsoft Entra 管理中心中,受影响的资源限制为最多 50 个资源。 若要查看建议的所有受影响的资源,请使用以下 Microsoft Graph API 请求:GET /directory/recommendations/{recommendationId}/impactedResources
有关详细信息,请参阅本文的如何将 Microsoft Graph 与 Microsoft Entra 配合使用建议部分。
如何更新建议
若要更新建议或相关资源的状态,请使用最低特权角色登录到 Azure 以更新建议。
提示
本文中的步骤可能因开始使用的门户而略有不同。
转到“Microsoft Entra ID>建议”。
从列表中选择一个建议,查看详细信息、状态和操作计划。
按照“操作计划”操作。
如果适用,右键单击建议中资源的状态,选择“标记为”,然后选择一个状态。
- 资源的状态显示为常规文本,但你可以右键单击状态以打开菜单。
- 可以根据需要将每个资源设置为不同的状态。
建议服务会自动将建议标记为已完成,但如果需要手动更改建议的状态,请从页面顶部选择“标记为”,然后选择状态。
- 如果认为建议不相关或数据错误,请将建议标记为“已关闭”。
- Microsoft Entra ID 会询问关闭建议的原因,以改进服务。
- 如果想稍后处理建议,请将建议标记为“已推迟”。
- 到达所选日期时,建议会变为“活动”。
- 可以重新激活已完成或已推迟的建议,以将其放在首位并重新评估资源。
- 如果已处理所有受影响的资源,建议会更改为“已完成”。
- 如果服务在下次运行时为完成的建议识别出活动资源,则该建议会自动变回“活动”。
- 完成建议是审核日志中收集的唯一操作。 若要查看这些日志,请转到 Microsoft Entra ID>审核日志,并将服务筛选为“Microsoft Entra 建议”。
- 如果认为建议不相关或数据错误,请将建议标记为“已关闭”。
继续监视租户中的更改建议。
如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用
可以使用 /beta
终结点上的 Microsoft Graph 查看和管理 Microsoft Entra 建议。 可以查看建议及其受影响的资源、推迟建议供之后处理等。 有关详细信息,请参阅 Microsoft Graph 建议文档。
若要开始使用,请按照这些说明在 Graph 浏览器中使用 Microsoft Graph 处理建议。
- 登录到图形资源管理器。
- 从下拉列表中选择 GET 作为 HTTP 方法。
- 将 API 版本设置为“beta 版本”。
查看所有建议
添加以下查询以为租户检索所有建议,然后选择“运行查询”按钮。
GET https://graph.microsoft.com/beta/directory/recommendations
所有适用于租户的建议都会显示在响应中。 响应中提供了受影响资源的影响、优势、摘要和修正步骤。 找到任何建议的建议 ID,查看受影响的资源。
查看特定的建议
如果要查找特定建议,可以向请求添加 recommendationType
。 此示例检索 applicationCredentialExpiry
建议的详细信息。
GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'
查看受影响的资源以获取建议
某些建议可能会返回一长串受影响的资源。 若要查看受影响资源的列表,需要找到建议 ID。 查看所有建议和特定建议时,建议 ID 会显示在响应中。
若要查看特定建议的受影响资源,请将以下查询与保存的建议 ID 配合使用。
GET /directory/recommendations/{recommendationId}/impactedResources