你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是 Azure Active Directory 建议(预览版)?

此功能作为公共预览版的一部分受到支持。 有关预览版的详细信息,请参阅 Microsoft Azure 预览版补充使用条款

跟踪租户中的所有设置和资源可能会让人不知所措。 Azure AD 建议(预览版)功能可帮助监视租户的状态,你无需自己执行此操作。 Azure AD 建议有助于确保租户处于安全和正常运行状态,同时有助于最大限度地发挥 Azure AD 中可用功能的价值。

Azure AD 建议功能提供个性化的见解和可行的指导,可以:

  • 帮助你找到实施 Azure AD 相关功能最佳做法的机会。
  • 改善 Azure AD 租户的状态。
  • 针对方案优化配置。

本文将概述如何使用 Azure AD 建议。 作为管理员,你应该定期查看租户的建议及其关联的资源。

项目内容

Azure AD 建议是 Azure 顾问 的特定于 Azure AD 的实现,它是一个个性化的云顾问,可帮助你遵循最佳做法来优化 Azure 部署。 Azure 顾问可分析资源配置和遥测使用情况,以建议有助于提高 Azure 资源的经济效益、性能、可靠性和安全性的解决方案。

Azure AD 建议使用类似的数据,支持你推行和管理 Microsoft 针对 Azure AD 租户的最佳做法,使租户保持安全和正常运行状态。 Azure AD 建议可让你全面了解租户的安全性、运行状况和使用情况。

工作原理

Azure AD 每日都会分析租户的配置。 在此分析过程中,Azure AD 会将建议的数据与租户的实际配置进行比较。 如果将某个建议标记为适用于你的租户,则该建议会显示在 Azure AD“概述”区域的“建议”部分。 建议按优先级顺序列出,你可以快速确定需要首先关注的内容。

建议包含说明、解决建议的价值摘要和分步操作计划。 如果适用,则会列出与建议关联的受影响资源,以便你对每个受影响的区域进行处理。 如果建议没有任何关联资源,则受影响的资源类型为“租户级别”。 那么,分步操作计划会影响整个租户,而不仅仅是特定资源。

租户“概述”页的屏幕截图,其中突出显示了“建议”选项。

建议详细信息

每个建议都提供了相同的一组详细信息,来说明建议是什么、为何它很重要以及如何进行修复。

可以手动或自动更新建议的“状态”。 如果根据操作计划处理了所有资源,在下次运行建议服务时,状态将自动更改为“已完成”。 建议服务每 24-48 小时运行一次,具体取决于建议。

“标记为”选项的屏幕截图。

建议的“优先级”可以是低、中或高。 这些值由几个因素决定,例如安全隐患、运行状况问题或潜在的中断性变更。

建议的状态、优先级和受影响资源类型的屏幕截图。

  • :必须执行。 不执行操作将导致严重的安全隐患或可能出现故障时间。
  • :应该执行。 如果不执行操作,不会面临严重风险。
  • :可以执行。 如果不执行操作,不会面临安全风险或运行状况问题。

建议的“受影响的资源”可能是应用程序或用户等。 此详细信息可让你了解需要处理的资源类型。 受影响的资源也可能位于租户级别,因此可能需要进行全局更改。

“状态说明”告知建议状态更改的日期,以及它是由系统还是用户更改的。

建议的“价值”解释了为什么完成该建议会有好处,以及关联功能的价值。

“操作计划”提供了实施建议的分步说明。 可能包含指向相关文档的链接,或定向到 Azure AD 门户中的其他页面。

要点

以下角色提供对建议的“只读”访问权限:

  • 报告读者
  • 安全读取者
  • 全局读取者

以下角色提供对建议的“更新和只读”访问权限:

  • 全局管理员角色
  • 安全管理员
  • 安全操作员
  • 云应用管理员
  • 应用管理员

任何角色都可以启用 Azure AD 建议预览版,但需要上面列出的任一角色才能查看或更新建议。 Azure AD 仅显示适用于你的租户的建议,因此可能不会列出所有受支持的建议。

某些建议关联了受影响资源的列表。 此资源列表提供有关建议如何适用于你和/或需要解决哪些资源的更多上下文。 在审核日志中记录的唯一一个操作是完成建议。 针对建议执行的操作收集在审核日志中。 若要查看这些日志,请转到“Azure AD”>“审核日志”,然后将服务筛选为“Azure AD 建议”。

下表提供了受影响的资源和可用文档的链接。

建议 受影响的资源
将每用户 MFA 转换为条件访问 MFA 用户
集成第三方应用程序 租户级别
将应用程序从 AD FS 迁移到 Azure AD 用户
迁移到 Microsoft Authenticator 用户
最大限度地减少来自已知设备的 MFA 提示 用户

如何访问 Azure AD 建议(预览版)

启用 Azure AD 建议预览版:

  1. 登录到 Azure 门户

  2. 转到“Azure AD”>“预览功能”,启用“Azure AD 建议”。

    • 同步建议可能需要几分钟时间。
    • 虽然任何人都可以启用预览功能,但需要特定角色才能查看或更新推荐。

    “启用 Azure AD 建议”选项的屏幕截图

启用预览后,可以从 Azure AD 管理门户查看可用建议。 Azure AD 建议功能显示在租户的“概述”页上。

如何使用 Azure AD 建议(预览版)

  1. 转到“Azure AD”>“建议”。

  2. 从列表中选择一个建议,查看详细信息、状态和操作计划。

    建议列表的屏幕截图。

  3. 按照“操作计划”操作。

  4. 如果适用,右键单击建议中的资源,选择“标记为”,然后选择一种状态。

    资源的状态选项的屏幕截图。

  5. 如果需要手动更改建议的状态,请从页面顶部选择“标记为”,然后选择一种状态。

    • 如果已处理所有受影响的资源,请将建议标记为“已完成”。
      • 活动资源可能仍会显示在手动完成的建议的资源列表中。 如果资源已完成,服务将在下次运行时更新状态。
      • 如果服务在下次运行时为手动完成的建议识别出活动资源,则该建议将自动变回“活动”。
    • 如果认为建议不相关或数据错误,请将建议标记为“已关闭”。
      • Azure AD 将询问你关闭建议的原因,以改进服务。
    • 如果想稍后处理建议,请将建议标记为“已推迟”。
      • 到达所选日期时,建议将变为“活动”。
    • 可以重新激活已完成或已推迟的建议,以将其放在首位并重新评估资源。

继续监视租户中的更改建议。

后续步骤