Verwenden von Microsoft Entra-Empfehlungen

Das Feature „Microsoft Entra-Empfehlungen“ bietet Ihnen personalisierte Erkenntnisse mit umsetzbaren Anleitungen für Folgendes:

• Hilft Ihnen dabei, Möglichkeiten zur Implementierung bewährter Methoden für Microsoft Entra-bezogene Features zu identifizieren.
• Verbesserung des Zustands Ihres Microsoft Entra-Mandanten.
• Optimierung der Konfigurationen für Ihre Szenarien.

In diesem Artikel erfahren Sie, wie Sie mit Microsoft Entra-Empfehlungen arbeiten. Jede Microsoft Entra-Empfehlung enthält ähnliche Details, z. B. eine Beschreibung, den Wert der Umsetzung der Empfehlung und die Schritte zur Umsetzung der Empfehlung. Dieser Artikel enthält auch Anleitungen für die Microsoft Graph-API.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle	Zugriffstyp
Berichtleseberechtigter	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Authentifizierungsadministrator Richtlinien	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Lesen einer Empfehlung

Die meisten Empfehlungen folgen demselben Muster. Sie erhalten Informationen zur Funktionsweise der Empfehlung, zu ihrem Wert und einige Schritte, um die Empfehlung zu adressieren. Dieser Abschnitt bietet eine Übersicht über die Details, die in einer Empfehlung angegeben werden, aber nicht spezifisch für eine Empfehlung sind.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Navigieren Sie zu Identität>Übersicht>Empfehlungen.

3. Wählen Sie in der Liste eine Empfehlung aus.

   

Jede Empfehlung enthält die gleichen Details, die Aufschluss darüber geben, was die Empfehlung ist, warum sie wichtig ist und wie sie umgesetzt wird. Der Empfehlungsdienst wird je nach Empfehlung alle 24 bis 48 Stunden ausgeführt.

Status

Der Status einer Empfehlung kann aktiv, abgeschlossen, geschlossen oder verschoben sein. Der Empfehlungsdienst kennzeichnet automatisch eine Empfehlung als abgeschlossen, wenn alle betroffenen Ressourcen adressiert wurden.

• Aktiv: Die Empfehlung enthält Ressourcen, die adressiert werden müssen. Eine geschlossene, verschobene oder abgeschlossene Empfehlung kann manuell wieder in „aktiv“ geändert werden.
• Abgeschlossen: Alle Ressourcen in der Empfehlung wurden adressiert. Der Status wird automatisch vom System aktualisiert, wenn alle Ressourcen gemäß dem Aktionsplan adressiert wurden.
• Geschlossen: Markieren Sie eine Empfehlung als geschlossen, wenn die Empfehlung Ihrer Ansicht nach nicht relevant ist oder die Daten falsch sind. Sie müssen einen Grund für das Schließen der Empfehlung angeben.
• Verschoben: Wenn Sie die Empfehlung zu einem späteren Zeitpunkt adressieren möchten, können Sie sie verschieben. Die Empfehlung wird am ausgewählten Datum in den Status „aktiv“ versetzt. Sie können eine Empfehlung für bis zu ein Jahr verschieben.

Priorität

Die Priorität einer Empfehlung kann „Niedrig“, „Mittel“ oder „Hoch“ sein. Diese Werte hängen von verschiedenen Faktoren ab. Hierzu zählen beispielsweise Sicherheitsauswirkungen, Integritätsbedenken oder potenzielle Breaking Changes.

• Hoch: Erforderliche Maßnahme. Wenn Sie nicht handeln, riskieren Sie schwerwiegende Sicherheitsauswirkungen oder potenzielle Downtime.
• Mittel: Empfohlene Maßnahme. Es entsteht kein schwerwiegendes Risiko, wenn Sie nicht aktiv werden.
• Niedrig: Mögliche Maßnahme. Es gibt keine Sicherheitsrisiken oder Integritätsbedenken, wenn Sie nicht handeln.

Empfehlungsdetails

• Die Statusbeschreibung enthält das Datum, an dem sich der Empfehlungsstatus geändert hat.

• Der Wert der Empfehlung gibt an, warum die Umsetzung der Empfehlung für Sie von Vorteil ist und welchen Nutzen das entsprechende Feature für Ihr Unternehmen hat.

• Der Aktionsplan enthält Schritt-für-Schritt-Anweisungen zum Implementieren einer Empfehlung. Der Aktionsplan kann Links zu relevanten Dokumentationen enthalten oder auf andere Seiten im Azure-Portal verweisen.

• Einige Empfehlungen können eine Auswirkung auf den Benutzer enthalten, die das Benutzererlebnis beschreibt, wenn die Empfehlung adressiert wurde.

Betroffene Ressourcen

Die betroffenen Ressourcen einer Empfehlung können Anwendungen, Benutzer oder Ihr vollständiger Mandant sein. Wenn die betroffene Ressource auf Mandantenebene liegt, kann es sein, dass Sie eine globale Änderung vornehmen müssen.

Die Tabelle betroffener Ressourcen enthält eine Liste der Ressourcen, die durch die Empfehlung identifiziert werden. Der Name der Ressource, die ID, das Datum der ersten Erkennung und der Status sind angegeben. Die Ressource kann z. B. eine Anwendung oder ein Ressourcen-Dienstprinzipal sein.

• Nicht alle Empfehlungen füllen die Tabelle der betroffenen Ressourcen auf. Die Empfehlung „Nicht verwendete Anwendungen entfernen“ listet beispielsweise alle Anwendungen auf, die vom Empfehlungsdienst identifiziert wurden. Empfehlungen auf Mandantenebene weisen jedoch keine Ressourcen auf, die in der Tabelle aufgeführt sind.
• Im Microsoft Entra Admin Center sind die betroffenen Ressourcen auf maximal 50 Ressourcen beschränkt. Verwenden Sie die folgende Microsoft Graph-API-Anforderung, um alle betroffenen Ressourcen für eine Empfehlung anzuzeigen:
  • GET /directory/recommendations/{recommendationId}/impactedResources

Aktualisieren einer Empfehlung

Sie können den Status einer Empfehlung oder einer zugehörigen Ressource im Microsoft Entra Admin Center oder mithilfe von Microsoft Graph aktualisieren.

Microsoft Entra Admin Center

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

2. Navigieren Sie zu Identität>Übersicht>Empfehlungen.

3. Wählen Sie in der Liste eine Empfehlung aus.

4. Überprüfen Sie den Aktionsplan.

5. Wählen Sie ggf. weitere Details für eine bestimmte Ressource in der Tabelle der betroffenen Ressourcen aus, um die Details der Ressource anzuzeigen.

6. Der Empfehlungsdienst markiert die Empfehlung automatisch als abgeschlossen. Wenn Sie jedoch den Status einer Empfehlung manuell ändern müssen, wählen Sie oben auf der Seite Markieren als aus, und wählen Sie einen Status aus.

   

   • Markieren Sie eine Empfehlung als Abgelehnt, wenn die Empfehlung Ihrer Ansicht nach nicht relevant ist oder die Daten falsch sind.
     • Wählen Sie im daraufhin geöffneten Bereich einen Grund für die Schließung aus, damit wir den Dienst verbessern können.
   • Markieren Sie eine Empfehlung als Verschoben, wenn Sie die Empfehlung zu einem späteren Zeitpunkt umsetzen möchten.
     • Wählen Sie im daraufhin geöffneten Bereich ein Datum innerhalb des nächsten Jahres aus, um die Empfehlung zu verschieben.
     • Die Empfehlung wird am ausgewählten Datum in den Status „aktiv“ versetzt.
   • Markieren Sie eine geschlossene, verschobene oder abgeschlossene Empfehlung als Aktiv, um die Ressourcen neu zu bewerten und das Problem zu beheben.
   • Empfehlungen erreichen den Status Abgeschlossen, wenn alle betroffenen Ressourcen adressiert wurden.
     • Wenn der Dienst eine aktive Ressource für eine abgeschlossene Empfehlung erkennt, wird der Status der Empfehlung bei der nächsten Ausführung des Diensts automatisch wieder in Aktiv geändert.
     • Das Abschließen einer Empfehlung ist die einzige Aktion, die im Überwachungsprotokoll erfasst wird. Um diese Protokolle anzuzeigen, wechseln Sie zu Microsoft Entra ID>Überwachungsprotokolle, und filtern Sie den Dienst nach „Microsoft Entra-Empfehlungen.“

7. Überwachen Sie die Empfehlungen in Ihrem Mandanten kontinuierlich auf Änderungen.

Microsoft Graph-API

Microsoft Entra-Empfehlungen können mithilfe von Microsoft Graph auf dem /beta-Endpunkt angezeigt und verwaltet werden. Sie können Empfehlungen zusammen mit den betroffenen Ressourcen anzeigen, eine Empfehlung auf einen späteren Zeitpunkt verschieben und vieles mehr. Weitere Informationen finden Sie in der Microsoft Graph-Dokumentation für Empfehlungen.

Befolgen Sie zunächst diese Anweisungen, um mit Empfehlungen für die Verwendung von Microsoft Graph im Graph-Explorer zu arbeiten.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.
3. Legen Sie für die API-Version Beta fest.

Anzeigen aller Empfehlungen

Fügen Sie die folgende Abfrage hinzu, um alle Empfehlungen für Ihren Mandanten abzurufen, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

GET https://graph.microsoft.com/beta/directory/recommendations

Alle Empfehlungen, die für Ihren Mandanten gelten, werden in der Antwort angezeigt. In der Antwort werden Auswirkungen, Vorteile, Zusammenfassung der betroffenen Ressourcen und Korrekturschritte bereitgestellt. Suchen Sie die Empfehlungs-ID für jede Empfehlung, um die betroffenen Ressourcen anzuzeigen.

Anzeigen einer bestimmten Empfehlung

Wenn Sie nach einer bestimmten Empfehlung suchen möchten, können Sie der Anforderung einen recommendationType hinzufügen. In diesem Beispiel werden die Details der applicationCredentialExpiry-Empfehlung abgerufen.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Anzeigen betroffener Ressourcen für eine Empfehlung

Einige Empfehlungen geben möglicherweise eine lange Liste mit betroffenen Ressourcen zurück. Um die Liste der betroffenen Ressourcen anzuzeigen, müssen Sie die Empfehlungs-ID suchen. Die Empfehlungs-ID wird in der Antwort angezeigt, wenn Sie alle Empfehlungen und eine bestimmte Empfehlung anzeigen.

Um die betroffenen Ressourcen für eine bestimmte Empfehlung anzuzeigen, verwenden Sie die folgende Abfrage mit der Empfehlungs-ID, die Sie gespeichert haben.

GET /directory/recommendations/{recommendationId}/impactedResources

Zugehöriger Inhalt

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen
• Weitere Informationen zu Dienstintegritätsbenachrichtigungen