Использование рекомендаций Microsoft Entra

Функция рекомендаций Microsoft Entra предоставляет персонализированных аналитических сведений с практическими рекомендациями:

• Помогите определить возможности реализации рекомендаций для связанных функций Microsoft Entra.
• Улучшение состояния клиента Microsoft Entra.
• Оптимизируйте конфигурации для сценариев.

В этой статье описывается, как работать с рекомендациями Microsoft Entra. Каждая рекомендация Microsoft Entra содержит аналогичные сведения, такие как описание, значение решения рекомендации и действия по устранению этой рекомендации. Руководство по API Microsoft Graph также представлено в этой статье.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа. Полный список ролей см. в разделе "Наименее привилегированные роли по задачам".

Роль Microsoft Entra	Тип доступа
Читатель отчетов	Только для чтения
Читатель сведений о безопасности	Только для чтения
Глобальный читатель	Только для чтения
Администратор политики проверки подлинности	Обновление и чтение
Администратор Exchange	Обновление и чтение
Администратор безопасности	Обновление и чтение
DirectoryRecommendations.Read.All	Только для чтения в Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Обновление и чтение в Microsoft Graph

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Как прочитать рекомендацию

Большинство рекомендаций соответствуют тому же шаблону. Вы предоставляете сведения о том, как работает рекомендация, ее значение и некоторые действия для решения этой рекомендации. В этом разделе представлен обзор сведений, указанных в рекомендации, но не относится к одной рекомендации.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите к рекомендациям по обзору >удостоверений.>

3. Выберите рекомендацию из списка.

   

Каждая рекомендация предоставляет один и тот же набор сведений, объясняющих, что такое рекомендация, почему это важно, и как ее исправить. Служба рекомендаций выполняется каждые 24–48 часов в зависимости от рекомендации.

Состояние

Состояние рекомендации может быть активным, завершенным, отклоненным или отложенным. Служба рекомендаций автоматически помечает рекомендацию, как выполненную после решения всех затронутых ресурсов.

• Активный: рекомендация содержит ресурсы, которые необходимо устранить. Отклоненную, отложенную или завершенную рекомендацию можно вручную изменить на активную.
• Завершено: устранены все ресурсы в рекомендации. Состояние обновляется системой автоматически, когда все ресурсы решаются в соответствии с планом действий. Рекомендации не могут быть помечены вручную как завершенные.
• Отклонено: если рекомендация не имеет значения или данные неверны, можно закрыть рекомендацию. Необходимо указать причину увольнения рекомендации.
• Отложено: Если вы хотите решить рекомендацию в дальнейшем, ее можно отложить. Рекомендация активна при возникновении выбранной даты. Вы можете отложить рекомендацию до года.

Приоритет

Приоритет рекомендации может быть низким, средним или высоким. Эти значения определяются несколькими факторами, такими как последствия для безопасности, проблемы со здоровьем или потенциальные критические изменения.

• Высокий: должен делать. Не будет действовать, это приведет к серьезным последствиям безопасности или потенциальному простою.
• Средний: должен делать. Нет серьезного риска, если действие не предприняно.
• Низкий: может сделать. Никаких рисков безопасности или проблем со здоровьем, если действия не приняты.

Сведения о рекомендации

• Описание состояния указывает дату изменения состояния рекомендации.

• Значение рекомендации — это объяснение того, почему выполнение рекомендаций дает преимущества вашей организации и значение связанной функции.

• План действий содержит пошаговые инструкции по реализации рекомендации. План действий может включать ссылки на соответствующую документацию или направить вас на другие страницы в портал Azure.

• Некоторые рекомендации могут включать влияние пользователя, описывающее взаимодействие с пользователем при выполнении рекомендации.

Затронутые ресурсы

Затронутые ресурсы для рекомендации могут быть приложениями, пользователями или вашим полным клиентом. Если затронутый ресурс находится на уровне клиента, может потребоваться внести глобальные изменения. Не все рекомендации заполняют таблицу затронутых ресурсов. Например, рекомендация "Удалить неиспользуемые приложения" содержит список всех приложений, которые были определены службой рекомендаций. Однако рекомендации на уровне клиента не будут содержать ресурсы, перечисленные в таблице.

Для этих рекомендаций, в которых существуют отдельные ресурсы для решения, таблица затронутых ресурсов содержит список ресурсов, определенных рекомендацией. Имя ресурса, идентификатор, дата его обнаружения и состояние предоставляются. Например, ресурс может быть приложением, пользователем или субъектом-службой ресурсов.

Вы можете пометить отдельные затронутые ресурсы как отложенные или отложенные. Правила и функциональные возможности на уровне ресурсов совпадают с уровнем рекомендаций. В некоторых рекомендациях можно выбрать ресурс или ссылку "Дополнительные сведения ", чтобы получить доступ к ресурсу напрямую.

Введите администратор Microsoft Entra, затронутые ресурсы ограничены не более 50 ресурсами. Чтобы просмотреть все затронутые ресурсы для рекомендации, используйте следующий запрос API Microsoft Graph: GET /directory/recommendations/{recommendationId}/impactedResources

Обновление рекомендаций и затронутых ресурсов

Вы можете обновить состояние рекомендации и любого связанного ресурса в Центре администрирования Microsoft Entra или с помощью Microsoft Graph.

Центр администрирования Microsoft Entra

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

2. Перейдите к рекомендациям по обзору >удостоверений.>

3. Выберите рекомендацию из списка.

4. Следуйте инструкциям в плане действий.

5. Если необходимо вручную изменить состояние рекомендации, выберите "Пометить как в верхней части страницы" и выберите состояние.

   

   • Пометьте рекомендацию как отклоненную , если вы считаете, что рекомендация не имеет значения или данные неправы.
     • На открывающейся панели выберите уволенную причину, чтобы улучшить службу.
   • Пометьте рекомендацию как отложенную , если вы хотите решить эту рекомендацию позже.
     • На открывающейся панели выберите дату в течение следующего года, чтобы отложить рекомендацию.
     • Рекомендация активна при возникновении выбранной даты.
   • Помечайте отклоненную, отложенную или завершенную рекомендацию в качестве активной для повторного получения ресурсов и устранения проблемы.
   • Рекомендации изменяются на "Завершено" , когда устранены все затронутые ресурсы.
     • Если служба идентифицирует активный ресурс для завершенной рекомендации при следующем запуске службы, рекомендация автоматически изменяется на "Активный".
     • Выполнение рекомендации является единственным действием, собранным в журнале аудита. Чтобы просмотреть эти журналы, перейдите в журналы аудита идентификатора Microsoft Entra и>отфильтруйте службу по рекомендациям Microsoft Entra.

6. Если необходимо вручную изменить состояние затронутого ресурса, установите флажок для этого ресурса в таблице "Затронутые ресурсы " и выберите состояние в меню.

7. Продолжайте отслеживать рекомендации в клиенте для внесения изменений.

Примечание.

Вы не можете вручную пометить рекомендацию как завершенную. Система автоматически помечает рекомендацию, как выполненную при рассмотрении всех затронутых ресурсов. При запуске службы, если активные ресурсы не найдены, рекомендация помечается как завершенная.

API Microsoft Graph

Рекомендации Microsoft Entra можно просматривать и управлять ими с помощью Microsoft Graph в конечной точке /beta . Вы можете просматривать рекомендации вместе с их затронутыми ресурсами, откладывать рекомендацию позже и многое другое. Дополнительные сведения см. в документации по Microsoft Graph для рекомендаций.

Чтобы приступить к работе, следуйте этим инструкциям, чтобы работать с рекомендациями с помощью Microsoft Graph в обозревателе Graph.

1. Войдите в обозреватель Graph.
2. Выберите метод HTTP GET в раскрывающемся списке.
3. Задайте для версии API бета-версию.

Просмотр всех рекомендаций

Добавьте следующий запрос, чтобы получить все рекомендации для клиента, а затем нажмите кнопку "Выполнить запрос ".

GET https://graph.microsoft.com/beta/directory/recommendations

Все рекомендации, применяемые к клиенту, отображаются в ответе. Влияние, преимущества, сводка затронутых ресурсов и этапы исправления предоставляются в ответе. Найдите идентификатор рекомендации для любой рекомендации, чтобы просмотреть затронутые ресурсы.

Просмотр определенной рекомендации

Если вы хотите найти определенную рекомендацию, можно добавить в recommendationType запрос. В этом примере извлекаются сведения о applicationCredentialExpiry рекомендации.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Просмотр затронутых ресурсов для рекомендации

Некоторые рекомендации могут возвращать длинный список затронутых ресурсов. Чтобы просмотреть список затронутых ресурсов, необходимо найти идентификатор рекомендации. Идентификатор рекомендации отображается в ответе при просмотре всех рекомендаций и определенной рекомендации.

Чтобы просмотреть затронутые ресурсы для определенной рекомендации, используйте следующий запрос с сохраненным идентификатором рекомендации.

GET /directory/recommendations/{recommendationId}/impactedResources

Связанный контент

• Обзор рекомендаций Microsoft Entra
• Сведения о уведомлениях о работоспособности служб