使用Microsoft Entra建议 API 为租户实现Microsoft Entra ID最佳做法

  • 项目

Microsoft Entra建议是个性化且可操作的见解,可用于在租户中实现Microsoft Entra ID最佳做法。 Microsoft Entra建议服务每天运行,以针对每个建议的预定义条件检查租户。 如果服务检测到建议适用于租户,则会生成相应的建议对象,并将其状态设置为活动。

使用 Microsoft Graph 中的建议 API 来识别和跟踪见解,评估和应用为实施最佳做法而提供的指南,并保持租户正常运行、安全和优化。

管理建议

Microsoft Entra建议由两个构建基块组成:建议及其适用的Microsoft Entra资源

单个建议可应用于一个或多个Microsoft Entra资源实例。 例如,与应用程序凭据过期相关的建议将引用租户中具有即将过期的应用程序凭据的所有应用。

对于每个建议,你具有以下数据:

  • 建议的类型。 目前支持八种类型。 有关建议类型的详细信息,请参阅 建议的类型
  • 建议适用的Microsoft Entra资源。 其中包括用户、组和应用程序。
  • 用于处理建议的建议操作计划。
  • 如果适用,Microsoft Entra ID建议在影响关联的服务之前完成建议。
  • 建议的影响,可以是租户范围或特定于资源的。
  • Microsoft 为建议分配的优先级排名。
  • 建议的状态,例如建议是仍处于活动状态,还是已完成、已解除或推迟到将来的日期。

建议类型

Microsoft Entra建议中目前提供了八种类型的建议。 这些建议在 Microsoft Graph 中建议对象的一部分的 recommendationType 属性中标识。

下表列出了可用的建议类型,并将 Microsoft Graph 值映射到Microsoft Entra 管理中心上使用的用户友好名称。

recommendationType Microsoft Entra 管理中心中的友好名称 Comments
adfsAppsMigration 将符合条件的应用程序从 AD FS 迁移到Microsoft Entra ID以提高安全性、工作效率和自动化 有关详细信息,请参阅将应用从 ADFS 迁移到 Microsoft Entra ID
switchFromPerUserMFA 将每用户 MFA 转换为条件访问 MFA 有关详细信息,请参阅 将每用户 MFA 转换为条件访问 MFA
tenantMFA 最小化用户从已知设备登录的 MFA 提示 有关详细信息,请参阅 最小化来自已知设备的 MFA 提示
useAuthenticatorApp 将符合条件的用户从短信和语音呼叫迁移到 Microsoft Authenticator 应用,以提供更好的 MFA 用户体验 有关详细信息,请参阅 迁移到 Microsoft Authenticator
staleApps 删除未使用的应用程序 有关详细信息,请参阅 删除未使用的应用程序
staleAppCreds 从应用程序中删除未使用的凭据 有关详细信息,请参阅 从应用中删除未使用的凭据
applicationCredentialExpiry 续订即将过期的应用程序凭据 有关详细信息,请参阅 续订即将过期的应用程序凭据
servicePrincipalKeyExpiry 续订即将过期的 serivce 主体凭据 有关详细信息,请参阅 续订即将过期的服务主体凭据

API 方案

可以通过 建议资源类型 及其关联方法管理建议。 此资源类型公开了 impactedResources 关系,用于查询建议适用的Microsoft Entra资源。

下面是使用 Microsoft Graph 建议 API 的一些最常用的请求:

应用场景 API
检索所有建议及其关联数据,包括受影响的资源。 列出建议
检索建议及其关联数据,包括受影响的资源。 获取建议
根据建议采取行动 Dismiss
推迟
Complete
重新激活
检索建议的所有受影响资源的详细信息。 列出 impactedResources
检索建议的受影响资源的详细信息。 获取 impactedResource
针对受影响的资源执行建议 Dismiss
推迟
Complete
重新激活
获取租户的历史安全功能分数数据。 获取 tenantSecureScores

许可要求

各种建议具有不同的许可证要求。 有关每种类型的建议的许可证的详细信息,请参阅Microsoft Entra建议:角色和许可证

相关内容