Come usare le raccomandazioni di Microsoft Entra

La funzionalità raccomandazioni di Microsoft Entra offre informazioni dettagliate personalizzate con indicazioni utili per:

• Consente di identificare le opportunità di implementare le procedure consigliate per le funzionalità correlate a Microsoft Entra.
• ID del tenant di Microsoft Entra.
• Ottimizzare le configurazioni per gli scenari.

Questo articolo illustra come usare le raccomandazioni di Microsoft Entra. Ogni raccomandazione di Microsoft Entra contiene dettagli simili, ad esempio una descrizione, il valore dell'indirizzamento della raccomandazione e i passaggi per risolvere la raccomandazione. In questo articolo sono disponibili anche le linee guida per l'API Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Amministratore che legge i report	Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza	Sola lettura
Ruolo con autorizzazioni di lettura globali	Sola lettura
Amministratore dei criteri di autenticazione	Lettura e aggiornamento
Amministratore di Exchange	Lettura e aggiornamento
Amministratore della sicurezza	Lettura e aggiornamento
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere Requisiti di disponibilità e licenza delle raccomandazioni.

Come leggere una raccomandazione

La maggior parte delle raccomandazioni segue lo stesso modello. Vengono fornite informazioni sul funzionamento della raccomandazione, sul relativo valore e su alcuni passaggi di azione per risolvere il suggerimento. Questa sezione offre una panoramica dei dettagli forniti in una raccomandazione, ma non sono specifici di una raccomandazione.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Panoramica>Raccomandazioni.

3. Selezionare una raccomandazione dall'elenco.

   

Ogni raccomandazione fornisce lo stesso set di dettagli che spiegano qual è la raccomandazione, perché è importante e come risolverla. Il servizio di raccomandazione viene eseguito ogni 24-48 ore, a seconda della raccomandazione.

Stato

Lo stato di una raccomandazione può essere attivo, completato, ignorato o posticipato. Il servizio di raccomandazione contrassegna automaticamente una raccomandazione come completata quando vengono risolte tutte le risorse interessate.

• Attivo: la raccomandazione include risorse che devono essere risolte. Una raccomandazione chiusa, posticipata o completata può essere modificata manualmente in attivo.
• Completato: tutte le risorse nella raccomandazione sono state risolte. Lo stato viene aggiornato automaticamente dal sistema quando tutte le risorse vengono risolte in base al piano di azione. Le raccomandazioni non possono essere contrassegnate manualmente come completate.
• Ignorato: se la raccomandazione è irrilevante o i dati non sono corretti, è possibile ignorare la raccomandazione. È necessario specificare un motivo per ignorare la raccomandazione.
• Posticipato: se si vuole risolvere la raccomandazione in un secondo momento, è possibile posticiparla. Il consiglio diventa attivo quando si verifica la data selezionata. È possibile posticipare una raccomandazione per un massimo di un anno.

Priorità

La priorità di una raccomandazione può essere bassa, media o alta. Questi valori sono determinati da diversi fattori, ad esempio implicazioni per la sicurezza, problemi di integrità o potenziali modifiche di rilievo.

• Alta: azione obbligatoria. La mancata azione comporterà gravi implicazioni per la sicurezza o potenziali tempi di inattività.
• Media: importante. Nessun rischio grave se non viene intrapresa un'azione.
• Bassa: relativamente importante. Nessun rischio o preoccupazione per la sicurezza se non viene eseguita alcuna azione.

Dettagli raccomandazione

• La descrizione dello stato indica la data di modifica dello stato della raccomandazione.

• Il valore della raccomandazione è una spiegazione del motivo per cui completare i vantaggi consigliati per l'organizzazione e il valore della funzionalità associata.

• Il piano di azione fornisce istruzioni dettagliate per implementare una raccomandazione. Il piano di azione può includere collegamenti alla documentazione pertinente o indirizzare l'utente ad altre pagine del portale di Azure.

• Alcune raccomandazioni possono includere un impatto sull'utente che descrive l'esperienza utente quando viene gestita la raccomandazione.

Risorse interessate

Le risorse interessate per una raccomandazione possono essere applicazioni, utenti o l’intero tenant. Se la risorsa interessata è a livello di tenant, potrebbe essere necessario apportare una modifica globale. Non tutte le raccomandazioni popolano la tabella delle risorse interessate. Ad esempio, la raccomandazione "Rimuovi applicazioni inutilizzate" elenca tutte le applicazioni identificate dal servizio di raccomandazione. Le raccomandazioni a livello di tenant, tuttavia, non includeranno risorse elencate nella tabella.

Per le raccomandazioni in cui sono disponibili risorse separate da risolvere, la tabella Risorse interessate contiene un elenco di risorse identificate dalla raccomandazione. Nome, ID, data in cui è stato rilevato e stato della risorsa. La risorsa può essere un'applicazione, un utente o un'entità servizio risorsa, ad esempio.

È possibile contrassegnare le singole risorse interessate come ignorate o posticipate. Le regole e le funzionalità a livello di risorsa sono le stesse a livello di raccomandazione. In alcuni consigli è possibile selezionare la risorsa o il collegamento Altri dettagli per accedere direttamente alla risorsa.

Nell'immissione dell'amministratore di Microsoft Entra le risorse interessate sono limitate a un massimo di 50 risorse. Per visualizzare tutte le risorse interessate per una raccomandazione, usare la richiesta api Microsoft Graph seguente: GET /directory/recommendations/{recommendationId}/impactedResources

Come aggiornare una raccomandazione e le risorse interessate

È possibile aggiornare lo stato di una raccomandazione e qualsiasi risorsa correlata nell'interfaccia di amministrazione di Microsoft Entra o usando Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.

2. Passare a Identità>Panoramica>Raccomandazioni.

3. Selezionare una raccomandazione dall'elenco.

4. Seguire le indicazioni nel piano d'azione.

5. Se è necessario modificare manualmente lo stato di una raccomandazione, selezionare Contrassegna come nella parte superiore della pagina e selezionare uno stato.

   

   • Contrassegnare una raccomandazione come Ignorata se si ritiene che la raccomandazione sia irrilevante o che i dati non siano corretti.
     • Nel pannello che si apre selezionare un motivo ignorato in modo da poter migliorare il servizio.
   • Contrassegnare una raccomandazione come Posticipata se si vuole risolvere la raccomandazione in un secondo momento.
     • Nel pannello che si apre selezionare una data entro l'anno successivo per posticipare la raccomandazione.
     • Il consiglio diventa attivo quando si verifica la data selezionata.
   • Contrassegnare un suggerimento ignorato, posticipato o completato come Attivo per rivalutare le risorse e risolvere il problema.
   • Le raccomandazioni vengono modificate in Completato quando sono state risolte tutte le risorse interessate.
     • Se il servizio identifica una risorsa attiva per una raccomandazione completata al successivo esecuzione del servizio, la raccomandazione torna automaticamente in Attivo.
     • Il completamento di una raccomandazione è l'unica azione raccolta nel log di audit. Per visualizzare questi log, passare a Microsoft Entra ID>Log di audit e filtrare il servizio in "Raccomandazioni di Microsoft Entra".

6. Se è necessario modificare manualmente lo stato di una risorsa interessata, selezionare la casella di controllo relativa a tale risorsa nella tabella Risorse interessate e selezionare lo stato dal menu.

7. Continuare a monitorare le raccomandazioni nel tenant per le modifiche.

Nota

Non è possibile contrassegnare manualmente una raccomandazione come completata. Il sistema contrassegna automaticamente una raccomandazione come completata quando vengono risolte tutte le risorse interessate. Quando il servizio viene eseguito, se non vengono trovate risorse attive, la raccomandazione viene contrassegnata come completata.

API di Microsoft Graph

Le raccomandazioni di Microsoft Entra possono essere visualizzate e gestite usando Microsoft Graph nell'endpoint /beta. È possibile visualizzare le raccomandazioni insieme alle relative risorse interessate, posticipare una raccomandazione per un secondo momento e altro ancora. Per altre informazioni, vedere la documentazione di Microsoft Graph Security.

Per iniziare, seguire queste istruzioni per usare i consigli con Microsoft Graph in Graph Explorer.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP nell'elenco a discesa.
3. Impostare la versione dell'API su beta.

Visualizzare tutti i suggerimenti

Aggiungere la query seguente per recuperare le raccomandazioni, quindi selezionare il pulsante Esegui query.

GET https://graph.microsoft.com/beta/directory/recommendations

Tutte le raccomandazioni applicabili al tenant vengono visualizzate nella risposta. L'impatto, i vantaggi, il riepilogo delle risorse interessate e i passaggi di correzione vengono forniti nella risposta. Individuare l'ID raccomandazione per qualsiasi raccomandazione per visualizzare le risorse interessate.

Visualizzare una raccomandazione specifica

Se si vuole cercare una raccomandazione specifica, è possibile aggiungere un oggetto recommendationType alla richiesta. In questo esempio vengono recuperati i dettagli della raccomandazione applicationCredentialExpiry.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Visualizzare le risorse interessate per una raccomandazione

Alcune raccomandazioni potrebbero potenzialmente restituire un lungo elenco di risorse interessate. Per visualizzare l'elenco delle risorse interessate, è necessario individuare l'ID raccomandazione. L'ID raccomandazione viene visualizzato nella risposta quando si visualizzano tutte le raccomandazioni e una raccomandazione specifica.

Per visualizzare le risorse interessate per una raccomandazione specifica, usare la query seguente con l'ID raccomandazione salvato.

GET /directory/recommendations/{recommendationId}/impactedResources

Contenuto correlato

• Esaminare la panoramica delle raccomandazioni di Microsoft Entra
• Informazioni sulle notifiche sull'integrità del servizio