Jak używać zaleceń firmy Microsoft Entra

Funkcja rekomendacji firmy Microsoft Entra udostępnia spersonalizowane szczegółowe informacje z praktycznymi wskazówkami dotyczącymi następujących elementów:

• Pomoc w identyfikowaniu możliwości implementacji najlepszych rozwiązań dotyczących funkcji związanych z firmą Microsoft Entra.
• Popraw stan dzierżawy firmy Microsoft Entra.
• Zoptymalizuj konfiguracje dla Twoich scenariuszy.

W tym artykule opisano sposób pracy z zaleceniami firmy Microsoft Entra. Każda rekomendacja firmy Microsoft Entra zawiera podobne szczegóły, takie jak opis, wartość rozwiązania zalecenia oraz kroki umożliwiające rozwiązanie zalecenia. Wskazówki dotyczące interfejsu API programu Microsoft Graph są również dostępne w tym artykule.

Wymagania wstępne

Istnieją różne wymagania dotyczące roli do wyświetlania lub aktualizowania rekomendacji. Użyj roli o najniższych uprawnieniach dla wymaganego typu dostępu. Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowane role według zadania.

Rola Microsoft Entra	Typ dostępu
Czytelnik raportów	Tylko do odczytu
Czytelnik zabezpieczeń	Tylko do odczytu
Czytelnik globalny	Tylko do odczytu
Administrator zasad uwierzytelniania	Aktualizowanie i odczytywanie
Administrator programu Exchange	Aktualizowanie i odczytywanie
Administrator zabezpieczeń	Aktualizowanie i odczytywanie
DirectoryRecommendations.Read.All	Tylko do odczytu w programie Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualizowanie i odczytywanie w programie Microsoft Graph

Niektóre zalecenia mogą wymagać licencji P2 lub innej. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące dostępności i wymagań dotyczących licencji.

Jak przeczytać zalecenie

Większość zaleceń jest zgodne z tym samym wzorcem. Podano informacje o sposobie działania rekomendacji, jego wartości i kilku krokach akcji w celu rozwiązania zalecenia. Ta sekcja zawiera omówienie szczegółów podanych w rekomendacji, ale nie są specyficzne dla jednego zalecenia.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do sekcji Zalecenia dotyczące przeglądu>tożsamości.>

3. Wybierz zalecenie z listy.

   

Każde zalecenie zawiera ten sam zestaw szczegółów, które wyjaśniają, co to jest zalecenie, dlaczego jest ważne i jak go naprawić. Usługa rekomendacji jest uruchamiana co 24–48 godzin, w zależności od zalecenia.

Stan

Stan rekomendacji może być aktywny, ukończony, odrzucony lub odroczony. Usługa rekomendacji automatycznie oznacza zalecenie jako ukończone po usunięciu wszystkich zasobów, których dotyczy problem.

• Aktywne: Zalecenie zawiera zasoby, które należy rozwiązać. Zalecenie odrzucone, odroczone lub ukończone można ręcznie zmienić z powrotem na aktywne.
• Ukończono: wszystkie zasoby w rekomendacji zostały rozwiązane. Stan jest aktualizowany automatycznie przez system, gdy wszystkie zasoby są adresowane zgodnie z planem działania. Rekomendacje nie mogą być oznaczone ręcznie jako ukończone.
• Odrzucone: jeśli zalecenie jest nieistotne lub dane są nieprawidłowe, możesz odrzucić zalecenie. Musisz podać przyczynę odrzucenia zalecenia.
• Odroczone: jeśli chcesz później odłożyć zalecenie, możesz je odroczyć. Zalecenie staje się aktywne po wystąpieniu wybranej daty. Zalecenie można odroczyć przez maksymalnie rok.

Priorytet

Priorytet zalecenia może być niski, średni lub wysoki. Te wartości są określane przez kilka czynników, takich jak implikacje dotyczące zabezpieczeń, problemy z kondycją lub potencjalne zmiany powodujące niezgodność.

• Wysoki: musi zrobić. Niedziałanie spowoduje poważne konsekwencje bezpieczeństwa lub potencjalny przestój.
• Średni: Powinien to zrobić. Brak poważnego ryzyka, jeśli nie podjęto działań.
• Niski: może to zrobić. Brak zagrożeń bezpieczeństwa lub problemów dotyczących kondycji, jeśli nie są podejmowane działania.

Szczegóły zalecenia

• Opis stanu informuje o dacie zmiany stanu zalecenia.

• Wartość rekomendacji jest wyjaśnieniem, dlaczego ukończenie rekomendacji przynosi korzyści organizacji i wartość skojarzonej funkcji.

• Plan działania zawiera instrukcje krok po kroku dotyczące implementowania zalecenia. Plan działania może zawierać linki do odpowiedniej dokumentacji lub przekierować Cię do innych stron w witrynie Azure Portal.

• Niektóre zalecenia mogą obejmować wpływ na użytkownika, który opisuje środowisko użytkownika po usunięciu zalecenia.

Zasoby objęte wpływem

Zasoby , których dotyczy to zalecenie, mogą być aplikacjami, użytkownikami lub pełną dzierżawą. Jeśli zasób, którego dotyczy ten zasób, jest na poziomie dzierżawy, może być konieczne wprowadzenie globalnej zmiany. Nie wszystkie zalecenia wypełniają tabelę zasobów, których dotyczy ten wpływ. Na przykład zalecenie "Usuń nieużywane aplikacje" zawiera listę wszystkich aplikacji, które zostały zidentyfikowane przez usługę rekomendacji. Zalecenia na poziomie dzierżawy nie będą jednak zawierać żadnych zasobów wymienionych w tabeli.

W przypadku tych zaleceń, w których istnieją oddzielne zasoby do rozwiązania, tabela Zasoby, których dotyczy problem, zawiera listę zasobów zidentyfikowanych przez zalecenie. Nazwa zasobu, identyfikator, data, która została wykryta po raz pierwszy, i podano stan. Na przykład zasób może być aplikacją, użytkownikiem lub jednostką usługi zasobów.

Poszczególne zasoby, których to dotyczy, można oznaczyć jako odrzucone lub odroczone. Reguły i funkcje na poziomie zasobu są takie same jak na poziomie rekomendacji. W niektórych zaleceniach możesz wybrać zasób lub link Więcej szczegółów , aby uzyskać bezpośredni dostęp do zasobu.

Wprowadzona przez administratora firmy Microsoft Entra zasoby, których to dotyczy, są ograniczone do maksymalnie 50 zasobów. Aby wyświetlić wszystkie zasoby, których dotyczy zalecenie, użyj następującego żądania interfejsu API programu Microsoft Graph: GET /directory/recommendations/{recommendationId}/impactedResources

Jak zaktualizować rekomendację i zasoby, których dotyczy ten wpływ

Możesz zaktualizować stan rekomendacji i dowolny powiązany zasób w centrum administracyjnym firmy Microsoft Entra lub za pomocą programu Microsoft Graph.

Centrum administracyjne firmy Microsoft Entra

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.

2. Przejdź do sekcji Zalecenia dotyczące przeglądu>tożsamości.>

3. Wybierz zalecenie z listy.

4. Postępuj zgodnie ze wskazówkami w planie działania.

5. Jeśli musisz ręcznie zmienić stan zalecenia, wybierz pozycję Oznacz jako w górnej części strony i wybierz stan.

   

   • Oznacz zalecenie jako Odrzucone , jeśli uważasz, że zalecenie jest nieistotne lub dane są nieprawidłowe.
     • W wyświetlonym panelu wybierz odrzuconą przyczynę, abyśmy mogli ulepszyć usługę.
   • Oznacz zalecenie jako odroczone , jeśli chcesz później użyć rekomendacji.
     • W wyświetlonym panelu wybierz datę w ciągu następnego roku, aby odroczyć zalecenie.
     • Zalecenie staje się aktywne po wystąpieniu wybranej daty.
   • Oznacz odrzucone, odroczone lub ukończone zalecenie jako Aktywne , aby ponownie ocenić zasoby i rozwiązać problem.
   • Rekomendacje zmieniają się na Ukończono , gdy wszystkie zasoby, których dotyczy problem.
     • Jeśli usługa zidentyfikuje aktywny zasób dla ukończonego zalecenia przy następnym uruchomieniu usługi, zalecenie automatycznie zmieni się z powrotem na Aktywne.
     • Ukończenie zalecenia to jedyna akcja zebrana w dzienniku inspekcji. Aby wyświetlić te dzienniki, przejdź do pozycji Dzienniki inspekcji identyfikatora entra>firmy Microsoft i przefiltruj usługę do pozycji "Zalecenia firmy Microsoft Entra".

6. Jeśli musisz ręcznie zmienić stan zasobu, którego dotyczy ten zasób, zaznacz pole wyboru dla tego zasobu w tabeli Zasoby , którego dotyczy to, i wybierz stan z menu.

7. Kontynuuj monitorowanie zaleceń w dzierżawie pod kątem zmian.

Uwaga

Nie można ręcznie oznaczyć rekomendacji jako ukończonej. System automatycznie oznacza zalecenie jako ukończone po usunięciu wszystkich zasobów, których dotyczy problem. Po uruchomieniu usługi, jeśli nie znaleziono aktywnych zasobów, zalecenie zostanie oznaczone jako ukończone.

Interfejs API programu Microsoft Graph

Rekomendacje firmy Microsoft Entra można wyświetlać i zarządzać przy użyciu programu Microsoft Graph w punkcie /beta końcowym. Rekomendacje można wyświetlać wraz z ich zasobami, których dotyczy ten wpływ, odłożyć zalecenie na później i nie tylko. Aby uzyskać więcej informacji, zobacz dokumentację programu Microsoft Graph, aby uzyskać zalecenia.

Aby rozpocząć pracę, postępuj zgodnie z tymi instrukcjami, aby pracować z zaleceniami przy użyciu programu Microsoft Graph w Eksploratorze programu Graph.

1. Zaloguj się do Eksploratora programu Graph.
2. Wybierz pozycję GET jako metodę HTTP z listy rozwijanej.
3. Ustaw wersję interfejsu API na wersję beta.

Wyświetlanie wszystkich zaleceń

Dodaj następujące zapytanie, aby pobrać wszystkie zalecenia dotyczące dzierżawy, a następnie wybierz przycisk Uruchom zapytanie .

GET https://graph.microsoft.com/beta/directory/recommendations

Wszystkie zalecenia dotyczące dzierżawy są wyświetlane w odpowiedzi. Wpływ, korzyści, podsumowanie zasobów, których dotyczy problem, i kroki korygowania są udostępniane w odpowiedzi. Znajdź identyfikator rekomendacji dla dowolnego zalecenia, aby wyświetlić zasoby, których dotyczy ten wpływ.

Wyświetlanie konkretnej rekomendacji

Jeśli chcesz wyszukać konkretne zalecenie, możesz dodać element recommendationType do żądania. Ten przykład pobiera szczegóły applicationCredentialExpiry zalecenia.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Wyświetlanie zasobów, których dotyczy ten wpływ, dla rekomendacji

Niektóre zalecenia mogą potencjalnie zwracać długą listę zasobów, których dotyczy ten wpływ. Aby wyświetlić listę zasobów, których dotyczy ten wpływ, należy zlokalizować identyfikator rekomendacji. Identyfikator rekomendacji jest wyświetlany w odpowiedzi podczas wyświetlania wszystkich zaleceń i określonego zalecenia.

Aby wyświetlić zasoby, których dotyczy określone zalecenie, użyj następującego zapytania z zapisanym identyfikatorem rekomendacji.

GET /directory/recommendations/{recommendationId}/impactedResources

Powiązana zawartość

• Zapoznaj się z omówieniem zaleceń firmy Microsoft Entra
• Dowiedz się więcej o powiadomieniach usługi Service Health