Share via

如何使用 Microsoft Entra 建议

  • 项目

Microsoft Entra 建议功能提供个性化的见解和可行的指导,可以:

  • 帮助你找到实施 Microsoft Entra 相关功能最佳做法的机会。
  • 改善 Microsoft Entra 租户的状态。
  • 针对方案优化配置。

本文介绍如何使用 Microsoft Entra 建议。 每个 Microsoft Entra 建议都包含类似的详细信息,例如说明、解决建议的价值以及解决建议的步骤。 本文还提供了 Microsoft Graph API 指南。

先决条件

查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。

Microsoft Entra 角色 访问类型
报告读者 只读
安全读取者 只读
全局读取者 只读
云应用管理员 更新和读取
应用管理员 更新和读取
安全操作员 更新和读取
安全管理员 更新和读取

某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求

如何阅读建议

大多数建议都遵循相同的模式。 你将获得有关建议工作原理、建议的价值以及处理建议的一些操作步骤的信息。 本部分概述了建议中提供的详细信息,但它们并不特定于某项建议。

  1. 至少以报告读取者身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“概述”>“建议”选项卡。

  3. 从列表中选择建议。

    Screenshot of the list of recommendations.

每个建议都提供了相同的一组详细信息,来说明建议是什么、为何它很重要以及如何进行修复。

Screenshot of a recommendation's status, priority, and impacted resource type.

  • 可以手动或由系统自动更新建议的“状态”。 如果根据操作计划处理了所有资源,在下次运行建议服务时,状态会自动更改为“已完成”。 建议服务每 24-48 小时运行一次,具体取决于建议。

  • 建议的“优先级”可以是低、中或高。 这些值由几个因素决定,例如安全隐患、运行状况问题或潜在的中断性变更。

    • :必须执行。 不执行操作将导致严重的安全隐患或可能出现故障时间。
    • :应该执行。 如果不执行操作,不会面临严重风险。
    • :可以执行。 如果不执行操作,不会面临安全风险或运行状况问题。

  • 建议中“受影响的资源类型”可以是应用程序、用户或完整租户。 此详细信息可让你了解需要处理的资源类型。 如果受影响的资源位于租户级别,则可能需要进行全局更改。

Screenshot of the recommendation status description, description, and value.

  • “状态说明”告知建议状态更改的日期,以及它是由系统还是用户更改的。

  • 建议的“价值”解释了为什么完成该建议会有好处,以及关联功能的价值。

  • “操作计划”提供了实施建议的分步说明。 操作计划可能包含相关文档的链接,或定向到 Azure 门户中的其他页面。

  • 受影响的资源”表包含建议功能所标识的资源列表。 会提供资源的名称、ID、首次检测到的日期和状态。 例如,资源可以是应用程序或资源服务主体。

注意

在 Microsoft Entra 管理中心中,受影响的资源限制为最多 50 个资源。 若要查看建议的所有受影响的资源,请使用以下 Microsoft Graph API 请求:GET /directory/recommendations/{recommendationId}/impactedResources

有关详细信息,请参阅本文的如何将 Microsoft Graph 与 Microsoft Entra 配合使用建议部分。

如何更新建议

若要更新建议或相关资源的状态,请使用最低特权角色登录到 Azure 以更新建议。

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 转到“Microsoft Entra ID>建议”。

  2. 从列表中选择一个建议,查看详细信息、状态和操作计划。

  3. 按照“操作计划”操作。

  4. 如果适用,右键单击建议中资源的状态,选择“标记为”,然后选择一个状态。

    • 资源的状态显示为常规文本,但你可以右键单击状态以打开菜单。
    • 可以根据需要将每个资源设置为不同的状态。

    Screenshot of the status options for a resource.

  5. 建议服务会自动将建议标记为已完成,但如果需要手动更改建议的状态,请从页面顶部选择“标记为”,然后选择状态。

    Screenshot of the Mark as options, to highlight the difference from the resource menu.

    • 如果认为建议不相关或数据错误,请将建议标记为“已关闭”。
      • Microsoft Entra ID 会询问关闭建议的原因,以改进服务。
    • 如果想稍后处理建议,请将建议标记为“已推迟”。
      • 到达所选日期时,建议会变为“活动”。
    • 可以重新激活已完成或已推迟的建议,以将其放在首位并重新评估资源。
    • 如果已处理所有受影响的资源,建议会更改为“已完成”
      • 如果服务在下次运行时为完成的建议识别出活动资源,则该建议会自动变回“活动”。
      • 完成建议是审核日志中收集的唯一操作。 若要查看这些日志,请转到 Microsoft Entra ID>审核日志,并将服务筛选为“Microsoft Entra 建议”。

继续监视租户中的更改建议。

如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用

可以使用 /beta 终结点上的 Microsoft Graph 查看和管理 Microsoft Entra 建议。 可以查看建议及其受影响的资源、推迟建议供之后处理等。 有关详细信息,请参阅 Microsoft Graph 建议文档

若要开始使用,请按照这些说明在 Graph 浏览器中使用 Microsoft Graph 处理建议。

  1. 登录到图形资源管理器
  2. 从下拉列表中选择 GET 作为 HTTP 方法。
  3. 将 API 版本设置为“beta 版本”。

查看所有建议

添加以下查询以为租户检索所有建议,然后选择“运行查询”按钮。

GET https://graph.microsoft.com/beta/directory/recommendations

所有适用于租户的建议都会显示在响应中。 响应中提供了受影响资源的影响、优势、摘要和修正步骤。 找到任何建议的建议 ID,查看受影响的资源。

查看特定的建议

如果要查找特定建议,可以向请求添加 recommendationType。 此示例检索 applicationCredentialExpiry 建议的详细信息。

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

查看受影响的资源以获取建议

某些建议可能会返回一长串受影响的资源。 若要查看受影响资源的列表,需要找到建议 ID。 查看所有建议和特定建议时,建议 ID 会显示在响应中。

若要查看特定建议的受影响资源,请将以下查询与保存的建议 ID 配合使用。

GET /directory/recommendations/{recommendationId}/impactedResources

后续步骤