共用方式為

如何使用 Microsoft Entra 建議

  • 發行項

Microsoft Entra 建議功能會為您提供個人化深入解析,並提供可採取動作的指引:

  • 協助您找出實作 Microsoft Entra 相關功能最佳做法的機會。
  • 改善 Microsoft Entra 租用戶的狀態。
  • 最佳化案例的設定。

本文涵蓋如何使用 Microsoft Entra 建議。 每個 Microsoft Entra 建議都包含類似的詳細資料,例如描述、處理建議的值,以及處理建議的步驟。 本文也會提供 Microsoft Graph API 指引。

必要條件

檢視或更新建議有不同的角色需求。 針對所需的存取類型,使用最低權限角色。

Microsoft Entra 角色 存取類型
報告讀取者 唯讀
安全性讀取者 唯讀
全域讀取者 唯讀
雲端應用程式管理員 更新及讀取
應用程式管理員 更新及讀取
安全性操作員 更新及讀取
安全性系統管理員 更新及讀取

某些建議可能需要 P2 或其他授權。 如需詳細資訊,請參閱建議可用性和授權需求

如何閱讀建議

大部分的建議都遵循相同的模式。 系統會提供建議運作方式、其值,以及處理建議的一些動作步驟相關資訊。 本節提供建議中所提供的詳細資料概觀,但並非一項建議專屬。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[概觀]>[建議] 索引標籤。

  3. 從清單中選取建議。

    建議清單的螢幕擷取畫面。

每個建議都會提供一組相同的詳細資料,說明建議是什麼、為何重要,以及如何修正。

建議的狀態、優先順序和受影響資源類型的螢幕擷取畫面。

  • 建議的 [狀態] 可以手動或由系統自動更新。 如果根據行動計劃處理所有資源,則下次執行建議服務時,狀態會自動變更為 [已完成]。 建議服務會每隔 24-48 小時執行一次,視建議而定。

  • 建議的 [優先順序] 可能為低、中或高。 這些值是由數個因素所決定,例如安全性影響、健康情況考量或潛在的重大變更。

    • :必須執行。 不採取行動會導致嚴重的安全性影響或潛在的停機。
    • :應該執行。 如果未採取動作,並不會有嚴重風險。
    • :可能執行。 如果未採取動作,並不會有任何安全性風險或健康情況考量。

  • 建議的 [受影響的資源類型] 可能是應用程式、使用者或完整租用戶。 此詳細資料可讓您了解您需要處理的資源類型。 如果受影響的資源位於租用戶層級,您可能需要進行全域變更。

建議狀態描述、描述和值的螢幕擷取畫面。

  • [狀態描述] 會告訴您建議狀態變更的日期,以及系統或使用者是否已變更。

  • 建議的 [價值] 說明完成建議對您有益的原因,以及相關功能的價值。

  • [行動計劃] 提供實作建議的逐步指示。 行動計劃可能包含相關文件的連結,或引導您前往 Azure 入口網站中的其他頁面。

  • [受影響的資源] 資料表包含建議所識別的資源清單。 會提供資源的名稱、識別碼、第一次偵測到的日期以及狀態。 例如,資源可以是應用程式或資源服務主體。

注意

在 Microsoft Entra 系統管理員中心,受影響的資源限制為最多 50 個資源。 若要檢視建議的所有受影響資源,請使用此 Microsoft Graph API 要求:GET /directory/recommendations/{recommendationId}/impactedResources

如需詳細資訊,請參閱本文的如何使用 Microsoft Graph 搭配 Microsoft Entra 建議一節。

如何更新建議

若要更新建議或相關資源的狀態,請使用最低權限角色登入 Azure 以更新建議。

提示

根據您開始使用的入口網站,本文中的步驟可能略有不同。

  1. 移至 [Microsoft Entra ID]>[建議]

  2. 從清單中選取建議,以檢視詳細資料、狀態和行動計劃。

  3. 請遵循 [行動計畫]

  4. 如果適用,以滑鼠右鍵按一下建議中資源的狀態,請選取 [標示為],然後選取狀態。

    • 資源的狀態會顯示為一般文字,但您可以滑鼠右鍵按一下狀態來開啟功能表。
    • 您可以視需要將每個資源設定為不同的狀態。

    資源狀態選項的螢幕擷取畫面。

  5. 建議服務會自動將建議標示為完成,但如果您需要手動變更建議的狀態,請從頁面頂端選取 [標示為],然後選取狀態。

    [標示為] 選項的螢幕擷取畫面,以醒目提示資源功能表的差異。

    • 如果您認為建議無關或資料錯誤,請將建議標示為 [已關閉]
      • Microsoft Entra ID 會詢問您關閉建議的原因,以便我們可以改善服務。
    • 如果您想要稍後處理建議,請將建議標示為 [延後]
      • 當選取的日期發生時,建議會變成 [作用中]
    • 您可以重新啟用已完成或延後的建議,使其保持首要地位,並重新評估資源。
    • 如果處理完所有受影響的資源,建議會變更為 [已完成]
      • 如果服務在下一次執行服務時識別已完成建議的作用中資源,則建議會自動變更回 [作用中]
      • 完成建議是稽核記錄中收集到的唯一動作。 若要檢視這些記錄,請移至 [Microsoft Entra ID]>[稽核記錄],並將服務篩選為「Microsoft Entra 建議」。

繼續監視租用戶中是否有變更的建議。

如何使用 Microsoft Graph 搭配 Microsoft Entra 建議

您可以在 /beta 端點上使用 Microsoft Graph 來檢視及管理 Microsoft Entra 建議。 您可以檢視建議及其受影響的資源、延後建議以稍後處理等等。 如需詳細資訊,請參閱 Microsoft Graph 文件以取得建議

若要開始使用,請遵循這些指示,在 Graph 總管中使用 Microsoft Graph 來使用建議。

  1. 登入 Graph 總管
  2. 從下拉式清單中選取 [GET] 作為 HTTP 方法。
  3. 將 API 版本設定為搶鮮版 (Beta)

檢視所有建議

新增下列查詢以擷取租用戶的所有建議,然後選取 [執行查詢] 按鈕。

GET https://graph.microsoft.com/beta/directory/recommendations

套用至租用戶的所有建議都會出現在回應中。 回應中會提供受影響資源的影響、好處、摘要以及補救步驟。 找出任何建議的建議識別碼,以檢視受影響的資源。

檢視特定建議

如果您想要尋找特定建議,可以將 recommendationType 新增至要求。 此範例會擷取 applicationCredentialExpiry 建議的詳細資料。

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

檢視建議的受影響資源

某些建議可能會傳回一長串受影響的資源。 若要檢視受影響資源的清單,您需要找出建議識別碼。 檢視所有建議和特定建議時,建議識別碼會出現在回應中。

若要檢視特定建議的受影響資源,請使用下列查詢搭配您儲存的建議識別碼。

GET /directory/recommendations/{recommendationId}/impactedResources

下一步