使用 Microsoft Entra 建议 API 为租户实现Microsoft Entra ID 最佳做法
Microsoft Entra 建议是个性化且可操作的见解,可用于在租户中实现Microsoft Entra ID 最佳做法。 Microsoft Entra 建议服务每天运行,以针对每个建议的预定义条件检查租户。 如果服务检测到建议适用于租户,则会生成相应的建议对象,并将其状态设置为活动。
使用 Microsoft Graph 中的建议 API 来识别和跟踪见解,评估和应用为实施最佳做法而提供的指南,并保持租户正常运行、安全和优化。
管理建议
Microsoft Entra 建议由两个构建基块组成: 建议 及其 应用到的 entra 资源Microsoft。
单个建议可以应用于一个或多个Microsoft Entra 资源实例。 例如,与应用程序过期相关的建议引用租户中应用程序凭据即将过期的所有应用。
对于每个建议,你具有以下数据:
- 建议的类型。 目前支持有限数目。 有关详细信息,请参阅 建议的类型。
- 建议适用的Microsoft Entra 资源。 其中包括用户、组和应用程序。
- 用于处理建议的建议操作计划。
- 如果适用,Microsoft Entra ID 建议在影响关联的服务之前完成建议。
- 建议的影响,可以是租户范围或特定于资源的。
- Microsoft为建议分配的优先级排名。
- 建议的状态,例如建议是仍处于活动状态,还是已完成、已解除或推迟到将来的日期。
建议类型
Microsoft Entra 建议中当前提供了八种类型的建议。 这些建议在Microsoft Graph 中建议资源类型的一部分的 recommendationType 属性中标识。
下表列出了可用的建议类型,并将 Microsoft Graph 值映射到 Microsoft Entra 管理中心中使用的用户友好名称。
| recommendationType | Microsoft Entra 管理中心中的友好名称 | Comments |
|---|---|---|
| adfsAppsMigration | 将符合条件的应用程序从 AD FS 迁移到 Microsoft Entra ID,以提高安全性、工作效率和自动化 | 有关详细信息,请参阅 将应用从 ADFS 迁移到 Microsoft Entra ID |
| aadGraphDeprecationApplication、 aadGraphDeprecationServicePrincipal | 从 Azure AD Graph API 迁移到 Microsoft Graph | 有关详细信息,请参阅 从 Azure AD Graph API 迁移到 Microsoft Graph |
| adalToMsalMigration | 从 Azure Active Directory 身份验证库迁移到Microsoft身份验证库 | 有关详细信息,请参阅 从 Azure Active Directory 身份验证库迁移到Microsoft身份验证库 |
| applicationCredentialExpiry | 续订即将过期的应用程序凭据 | 有关详细信息,请参阅 续订即将过期的应用程序凭据 |
| mfaServerDeprecation | 从 MFA 服务器迁移到 Microsoft Entra 多重身份验证 (MFA) | 有关详细信息,请参阅 从 MFA 服务器迁移到 Microsoft Entra 多重身份验证 (MFA) |
| servicePrincipalKeyExpiry | 续订即将过期的 serivce 主体凭据 | 有关详细信息,请参阅 续订即将过期的服务主体凭据 |
| staleApps | 删除未使用的应用程序 | 有关详细信息,请参阅 删除未使用的应用程序 |
| staleAppCreds | 从应用程序中删除未使用的凭据 | 有关详细信息,请参阅 从应用中删除未使用的凭据 |
| switchFromPerUserMFA | 将每用户 MFA 转换为条件访问 MFA | 有关详细信息,请参阅 将每用户 MFA 转换为条件访问 MFA |
| tenantMFA | 最小化用户从已知设备登录的 MFA 提示 | 有关详细信息,请参阅 最小化来自已知设备的 MFA 提示 |
| useAuthenticatorApp | 将符合条件的用户从短信和语音呼叫迁移到 Microsoft Authenticator 应用,以提供更好的 MFA 用户体验 | 有关详细信息,请参阅 迁移到Microsoft验证器 |
API 方案
可以通过 建议资源类型 及其关联方法管理建议。 此资源类型公开 了 impactedResources 关系,该关系用于查询建议适用的Microsoft Entra 资源。
下面是使用 Microsoft Graph 建议 API 的一些最常用的请求:
| 应用场景 | API |
|---|---|
| 检索所有建议及其关联数据,包括受影响的资源。 | 列出建议 |
| 检索建议及其关联数据,包括受影响的资源。 | 获取建议 |
| 根据建议采取行动 |
Dismiss 推迟 Complete 重新激活 |
| 检索建议的所有受影响资源的详细信息。 | 列出 impactedResources |
| 检索建议的受影响资源的详细信息。 | 获取 impactedResource |
| 针对受影响的资源执行建议 |
Dismiss 推迟 Complete 重新激活 |
| 获取租户的历史安全功能分数数据。 | 获取 tenantSecureScores |
许可要求
各种建议具有不同的许可证要求。 有关每种类型的建议的许可证的详细信息,请参阅 Microsoft Entra 建议:角色和许可证。