Microsoft Entra の推奨事項を使用する方法
Microsoft Entra の推奨事項機能は、実行可能なガイダンスを含むパーソナライズされた分析情報を以下のために提供します。
- Microsoft Entra 関連の機能のベスト プラクティスを実装する機会の特定を支援します。
- Microsoft Entra テナントの状態を改善する。
- シナリオに合わせて構成を最適化します。
この記事では、Microsoft Entra の推奨事項を操作する方法について説明します。 Microsoft Entra の各推奨事項には、説明、推奨事項に対処する価値、推奨事項に対処する手順など、同じような詳細が含まれています。 このアーティクルでは、Microsoft Graph API ガイダンスも提供されています。
前提条件
レコメンデーションを表示または更新するためのさまざまなロール要件があります。 必要なアクセスの型には、最小特権ロールを使用します。
Microsoft Entra ロール | アクセスの種類 |
---|---|
レポート閲覧者 | 読み取り専用 |
セキュリティ閲覧者 | 読み取り専用 |
グローバル閲覧者 | 読み取り専用 |
クラウド アプリ管理者 | 更新と読み取り |
アプリ管理者 | 更新と読み取り |
セキュリティ オペレーター | 更新と読み取り |
セキュリティ管理者 | 更新と読み取り |
レコメンデーションによっては、P2 またはその他のライセンスが必要な場合があります。 詳細については、「 レコメンデーションの可用性とライセンス要件」を参照してください。
レコメンデーションを読み取る方法
ほとんどの推奨事項は同じパターンに従います。 推奨事項のしくみ、その値、推奨事項に対処するためのいくつかのアクション手順に関する情報が提供されます。 このセクションでは、推奨事項で提供される詳細の概要を示しますが、1 つの推奨事項に固有のものではありません。
Microsoft Entra 管理センターにレポート閲覧者以上でサインインしてください。
[ID]>[概要]>[推奨事項] タブに移動します。
一覧から推奨事項を選択します。
各レコメンデーションには、レコメンデーションの内容、それが重要である理由、および修正方法を説明する一連の同じ詳細が示されます。
レコメンデーションの [状態] は、手動またはシステムにより自動で更新できます。 すべてのリソースがアクション プランに従って対処されている場合、レコメンデーション サービスが次回実行された時に、状態が自動的に [完了] に変わります。 レコメンデーション サービスは、そのレコメンデーションに応じて 24 ~ 48 時間ごとに実行されます。
レコメンデーションの[優先度] は、低、中、高のいずれかです。 これらの値は、セキュリティへの影響、正常性に関する問題、破壊的変更の可能性など、いくつかの要因によって決まります。
- [高]: 必ず対応してください。 対応しないと、セキュリティに重大な影響が及んだり、ダウンタイムが発生する可能性があります。
- [中]: 対応する必要があります。 対応しなくても、重大なリスクはありません。
- [低]: 対応したほうがよいでしょう。 対応しなくても、セキュリティ リスクや正常性に関する問題はありません。
レコメンデーションの 影響を受けるリソースの種類 は、アプリケーション、ユーザー、または完全なテナントのいずれかです。 この詳細では、対応が必要なリソースの種類を把握できます。 影響を受けるリソースもテナント レベルなら、グローバルな変更が必要になる場合があります。
[Status description] (状態の説明) には、レコメンデーションの状態が変更された日付と、その変更がシステムによるものか、またはユーザーよるものかが示されます。
レコメンデーションの [値] は、レコメンデーションを実行するとベネフィットが得られる理由と、関連する機能の価値についての説明を示します。
[アクション プラン]には、レコメンデーションを実装するための手順がステップバイステップで示されています。 アクション プランには、関連するドキュメントへのリンクが含まれていたり、Azure portal で他のページに誘導されたりする場合があります。
[影響を受けるリソース] テーブルには、レコメンデーションによって識別されるリソースリストが含まれています。 リソースの名前、ID、最初に検出された日付、および状態が指定されます。 たとえば、リソースには、アプリケーションまたはリソース サービス プリンシパルを指定できます。
Note
Microsoft Entra 管理センターでは、影響を受けるリソースは最大 50 個のリソースに制限されています。 レコメンデーションの影響を受けるすべてのリソースを表示するには、次の Microsoft Graph API 要求を使用します:GET /directory/recommendations/{recommendationId}/impactedResources
詳細については、この記事の「Microsoft Entra の推奨事項で Microsoft Graph を使用する方法」セクションを参照してください。
レコメンデーションを更新する方法
レコメンデーションまたは関連リソースの状態を更新するには、レコメンデーションを更新するための最小特権ロールを使用して Azure にサインインします。
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
[Microsoft Entra ID]>[推奨設定] の順に移動します。
リストからレコメンデーションを選択して、詳細、状態、およびアクション プランを表示します。
アクション プランに従います。
該当する場合は、レコメンデーション内のリソースの状態を右クリックし、[状態を設定] を選択してから状態を選択します。
- リソースの状態は通常のテキストとして表示されますが、状態を右クリックしてメニューを開くことができます。
- 必要に応じて、各リソースを異なる状態に設定できます。
レコメンデーション サービスによって自動的にレコメンデーションが完了とマークされますが、レコメンデーションの状態を手動で変更する必要がある場合は、ページの上部から [状態を設定] を選択し、状態を選択します。
- レコメンデーションが無関係か、またはデータが間違っていると思われる場合は、レコメンデーションを [無視] としてマークします。
- Microsoft Entra ID から、サービスを改善できるように、推奨事項を無視した理由を尋ねられます。
- 後でレコメンデーションに対処する場合は、そのレコメンデーションを [延期] としてマークします。
- 選択した日付になると、レコメンデーションは [アクティブ] になります。
- 念頭に留めておくために、完了または延期したレコメンデーションを再アクティブ化してリソースを再評価できます。
- 影響を受けたすべてのリソースに対処すると、レコメンデーションは [完了] に変わります。
- 完了したレコメンデーションのアクティブなリソースをサービスが次回実行された時に識別すると、そのレコメンデーションは [アクティブ] に自動的に戻ります。
- 推奨事項の完了は、監査ログに収集される唯一のアクションです。 これらのログを表示するには、[Microsoft Entra ID]>[監査ログ] に移動し、サービスを "Microsoft Entra 推奨事項" でフィルター処理します。
- レコメンデーションが無関係か、またはデータが間違っていると思われる場合は、レコメンデーションを [無視] としてマークします。
引き続きテナントのレコメンデーションの変更を監視します。
Microsoft Entra の推奨事項で Microsoft Graph を使用する方法
Microsoft Entra の推奨事項は、/beta
エンドポイント上で Microsoft Graph を使用して表示および管理できます。 影響を受けるリソースと合わせたレコメンデーションの表示、レコメンデーションの後への延期などを実行できます。 詳細については、Microsoft Graph の推奨事項に関するドキュメントを参照してください。
作業を開始するには、次の手順に従って、Graph エクスプローラーの Microsoft Graph を使用して推奨事項を操作します。
- グラフ エクスプローラーにサインインします
- ドロップダウンから HTTP メソッドとして [GET] を選択します。
- API バージョンを [ベータ] に設定します。
すべてのレコメンデーションを表示する
次のクエリを追加してテナントのすべてのレコメンデーションを取得し、[クエリの実行] ボタンを選択します。
GET https://graph.microsoft.com/beta/directory/recommendations
テナントに適用されるすべてのレコメンデーションが応答に表示されます。 影響、利点、影響を受けたリソースの概要、修復手順が応答で提供されます。 レコメンデーションのレコメンデーション ID を見つけて、影響を受けるリソースを表示します。
特定のレコメンデーションを表示する
特定のレコメンデーションを探す場合は、recommendationType
を要求に追加できます。 この例では、applicationCredentialExpiry
レコメンデーションの詳細を取得します。
GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'
レコメンデーションの影響を受けるリソースを表示する
一部のレコメンデーションでは、影響を受けるリソースの長い一覧が返される可能性があります。 影響を受けるリソースの一覧を表示するには、レコメンデーション ID を見つける必要があります。 すべてのレコメンデーションと特定のレコメンデーションを表示すると、レコメンデーション ID が応答に表示されます。
特定のレコメンデーションの影響を受けるリソースを表示するには、保存した推奨事項 ID で次のクエリを使用します。
GET /directory/recommendations/{recommendationId}/impactedResources