Поделиться через

Использование Microsoft Entra Рекомендации

  • Статья

Функция рекомендаций Microsoft Entra предоставляет персонализированных аналитических сведений с практическими рекомендациями:

  • Помогите определить возможности реализации рекомендаций для связанных функций Microsoft Entra.
  • Улучшение состояния клиента Microsoft Entra.
  • Оптимизируйте конфигурации для сценариев.

В этой статье описывается, как работать с рекомендациями Microsoft Entra. Каждая рекомендация Microsoft Entra содержит аналогичные сведения, такие как описание, значение решения рекомендации и действия по устранению этой рекомендации. Руководство по API Microsoft Graph также представлено в этой статье.

Необходимые компоненты

Существуют различные требования к роли для просмотра или обновления рекомендации. Используйте роль с минимальными привилегиями для необходимого типа доступа.

Роль Microsoft Entra Тип доступа
Читатель отчетов Только для чтения
Читатель сведений о безопасности Только для чтения
Глобальный читатель Только для чтения
Облачные приложения Администратор istrator Обновление и чтение
Приложение Администратор istrator Обновление и чтение
Оператор безопасности Обновление и чтение
Администратор безопасности Обновление и чтение

Для некоторых рекомендаций может потребоваться лицензия P2 или другая лицензия. Дополнительные сведения см. в статье о доступности рекомендаций и требованиях к лицензии.

Как прочитать рекомендацию

Большинство рекомендаций соответствуют тому же шаблону. Вы предоставляете сведения о работе рекомендации, его значении и некоторых действиях по устранению этой рекомендации. В этом разделе представлен обзор сведений, указанных в рекомендации, но не относится к одной рекомендации.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.

  2. Перейдите на вкладку "Обзор> удостоверений>Рекомендации".

  3. Выберите рекомендацию из списка.

    Screenshot of the list of recommendations.

Каждая рекомендация предоставляет один и тот же набор сведений, объясняющих, что такое рекомендация, почему это важно, и как ее исправить.

Screenshot of a recommendation's status, priority, and impacted resource type.

  • Состояние рекомендации можно обновлять вручную или автоматически системой. Если все ресурсы устранены в соответствии с планом действий, состояние автоматически изменяется на Завершено при следующем запуске службы рекомендаций. Служба рекомендаций выполняется каждые 24–48 часов в зависимости от рекомендации.

  • Приоритет рекомендации может быть низким, средним или высоким. Эти значения определяются несколькими факторами, такими как последствия для безопасности, проблемы со здоровьем или потенциальные критические изменения.

    • Высокий: должен делать. Не будет действовать, это приведет к серьезным последствиям безопасности или потенциальному простою.
    • Средний: должен делать. Нет серьезного риска, если действие не предприняно.
    • Низкий: может сделать. Никаких рисков безопасности или проблем со здоровьем, если действия не приняты.

  • Тип затронутых ресурсов для рекомендации может быть приложением, пользователями или вашим полным клиентом. Эта информация содержит представление о типе ресурсов, необходимых для решения. Если затронутый ресурс находится на уровне клиента, может потребоваться внести глобальные изменения.

Screenshot of the recommendation status description, description, and value.

  • Описание состояния указывает дату изменения состояния рекомендации и изменения системой или пользователем.

  • Значение рекомендации — это объяснение того, почему вы завершаете преимущества рекомендаций и значение связанной функции.

  • План действий содержит пошаговые инструкции по реализации рекомендации. План действий может включать ссылки на соответствующую документацию или направить вас на другие страницы в портал Azure.

  • Таблица затронутых ресурсов содержит список ресурсов, определенных рекомендацией. Имя ресурса, идентификатор, дата его обнаружения и состояние предоставляются. Например, ресурс может быть приложением или субъектом-службой ресурсов.

Примечание.

Введите администратор Microsoft Entra, затронутые ресурсы ограничены не более 50 ресурсами. Чтобы просмотреть все затронутые ресурсы для рекомендации, используйте этот запрос API Microsoft Graph: GET /directory/recommendations/{recommendationId}/impactedResources

Дополнительные сведения см. в разделе "Использование Microsoft Graph с рекомендациями Microsoft Entra" этой статьи.

Обновление рекомендации

Чтобы обновить состояние рекомендации или связанного ресурса, войдите в Azure с помощью роли с минимальными привилегиями для обновления рекомендации.

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Перейдите к идентификатору >Microsoft Entra Рекомендации.

  2. Выберите рекомендацию из списка, чтобы просмотреть сведения, состояние и план действий.

  3. Следуйте плану действий.

  4. Если применимо, щелкните правой кнопкой мыши состояние ресурса в рекомендации, выберите "Пометить как", а затем выберите состояние.

    • Состояние ресурса отображается как обычный текст, но можно щелкнуть правой кнопкой мыши состояние, чтобы открыть меню.
    • При необходимости можно задать для каждого ресурса другое состояние.

    Screenshot of the status options for a resource.

  5. Служба рекомендаций автоматически помечает рекомендацию как завершенную, но если необходимо вручную изменить состояние рекомендации, выберите "Пометить как в верхней части страницы" и выберите состояние.

    Screenshot of the Mark as options, to highlight the difference from the resource menu.

    • Пометьте рекомендацию как отклоненную , если вы считаете, что рекомендация не имеет значения или данные неправы.
      • Идентификатор Microsoft Entra запрашивает причину, по которой вы отклонили рекомендацию, чтобы мы могли улучшить службу.
    • Пометьте рекомендацию как отложенную , если вы хотите решить эту рекомендацию позже.
      • Рекомендация становится активной при возникновении выбранной даты.
    • Вы можете повторно активировать завершенную или отложенную рекомендацию, чтобы сохранить ее в верхней части ума и повторно оценить ресурсы.
    • Рекомендации изменение Завершено, если устранены все затронутые ресурсы.
      • Если служба идентифицирует активный ресурс для завершенной рекомендации при следующем запуске службы, рекомендация автоматически изменится на "Активный".
      • Выполнение рекомендации является единственным действием, собранным в журнале аудита. Чтобы просмотреть эти журналы, перейдите в журналы аудита идентификатора Microsoft Entra и>отфильтруйте службу по рекомендациям Microsoft Entra.

Продолжайте отслеживать рекомендации в клиенте для внесения изменений.

Использование Microsoft Graph с рекомендациями Microsoft Entra

Рекомендации Microsoft Entra можно просматривать и управлять ими с помощью Microsoft Graph в конечной точке /beta . Вы можете просматривать рекомендации вместе с их затронутыми ресурсами, откладывать рекомендацию позже и многое другое. Дополнительные сведения см. в документации по Microsoft Graph для рекомендаций.

Чтобы приступить к работе, следуйте этим инструкциям, чтобы работать с рекомендациями с помощью Microsoft Graph в graph Обозреватель.

  1. Войдите в Graph Обозреватель.
  2. Выберите метод HTTP GET в раскрывающемся списке.
  3. Задайте для версии API бета-версию.

Просмотр всех рекомендаций

Добавьте следующий запрос, чтобы получить все рекомендации для клиента, а затем нажмите кнопку "Выполнить запрос ".

GET https://graph.microsoft.com/beta/directory/recommendations

Все рекомендации, применяемые к клиенту, отображаются в ответе. Влияние, преимущества, сводка затронутых ресурсов и этапы исправления предоставляются в ответе. Найдите идентификатор рекомендации для любой рекомендации, чтобы просмотреть затронутые ресурсы.

Просмотр определенной рекомендации

Если вы хотите найти определенную рекомендацию, можно добавить в recommendationType запрос. В этом примере извлекаются сведения о applicationCredentialExpiry рекомендации.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Просмотр затронутых ресурсов для рекомендации

Некоторые рекомендации могут возвращать длинный список затронутых ресурсов. Чтобы просмотреть список затронутых ресурсов, необходимо найти идентификатор рекомендации. Идентификатор рекомендации отображается в ответе при просмотре всех рекомендаций и определенной рекомендации.

Чтобы просмотреть затронутые ресурсы для определенной рекомендации, используйте следующий запрос с сохраненным идентификатором рекомендации.

GET /directory/recommendations/{recommendationId}/impactedResources

Следующие шаги