Share via

Verwenden von Microsoft Entra-Empfehlungen

  • Artikel

Das Feature „Microsoft Entra-Empfehlungen“ bietet Ihnen personalisierte Erkenntnisse mit umsetzbaren Anleitungen für Folgendes:

  • Hilft Ihnen dabei, Möglichkeiten zur Implementierung bewährter Methoden für Microsoft Entra-bezogene Features zu identifizieren.
  • Verbessern Sie den Zustand Ihres Microsoft Entra-Mandanten.
  • Optimierung der Konfigurationen für Ihre Szenarien

In diesem Artikel erfahren Sie, wie Sie mit Microsoft Entra-Empfehlungen arbeiten. Jede Microsoft Entra-Empfehlung enthält ähnliche Details, z. B. eine Beschreibung, den Wert der Umsetzung der Empfehlung und die Schritte zur Umsetzung der Empfehlung. Dieser Artikel enthält ebenfalls Anleitungen für die Microsoft Graph-API.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit minimalen Berechtigungen für den erforderlichen Zugriffstyp.

Microsoft Entra-Rolle Zugriffstyp
Meldet Reader Schreibgeschützt
Sicherheitsleseberechtigter Schreibgeschützt
Globaler Leser Schreibgeschützt
Cloud-Apps-Administrator Aktualisieren und Lesen
Apps-Administrator Aktualisieren und Lesen
Sicherheitsoperator Aktualisieren und Lesen
Sicherheitsadministrator Aktualisieren und Lesen

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Lesen einer Empfehlung

Die meisten Empfehlungen folgen demselben Muster. Sie erhalten Informationen zur Funktionsweise der Empfehlung, zu ihrem Wert und einige Schritte, um die Empfehlung zu behandeln. Dieser Abschnitt bietet eine Übersicht über die Details, die in einer Empfehlung angegeben werden, aber nicht spezifisch für eine Empfehlung sind.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.

  2. Navigieren Sie zu Identität>Übersicht>Empfehlungsregisterkarte.

  3. Wählen Sie in der Liste eine Empfehlung aus.

    Screenshot of the list of recommendations.

Jede Empfehlung enthält die gleichen Details, die Aufschluss darüber geben, was die Empfehlung ist, warum sie wichtig ist und wie sie umgesetzt wird.

Screenshot of a recommendation's status, priority, and impacted resource type.

  • Der Status einer Empfehlung kann manuell oder automatisch vom System aktualisiert werden. Wenn alle Ressourcen gemäß dem Aktionsplan verarbeitet wurden, ändert sich der Status bei der nächsten Ausführung des Empfehlungsdiensts automatisch in Abgeschlossen. Der Empfehlungsdienst wird je nach Empfehlung alle 24 bis 48 Stunden ausgeführt.

  • Die Priorität einer Empfehlung kann „Niedrig“, „Mittel“ oder „Hoch“ sein. Diese Werte hängen von verschiedenen Faktoren ab. Hierzu zählen beispielsweise Sicherheitsauswirkungen, Integritätsbedenken oder potenzielle Breaking Changes.

    • Hoch: Erforderliche Maßnahme. Wenn Sie nicht handeln, riskieren Sie schwerwiegende Sicherheitsauswirkungen oder potenzielle Downtime.
    • Mittel: Empfohlene Maßnahme. Es entsteht kein schwerwiegendes Risiko, wenn Sie nicht aktiv werden.
    • Niedrig: Mögliche Maßnahme. Es gibt keine Sicherheitsrisiken oder Integritätsbedenken, wenn Sie nicht handeln.

  • Der betroffene Ressourcentyp einer Empfehlung kann eine Anwendungen, ein Benutzer oder Ihr vollständiger Mandant sein. Hier erfahren Sie, um welche Art von Ressourcen Sie sich kümmern müssen. Die betroffene Ressource auch auf Mandantenebene liegen, sodass Sie möglicherweise eine globale Änderung vornehmen müssen.

Screenshot of the recommendation status description, description, and value.

  • Die Statusbeschreibung enthält das Datum, an dem sich der Empfehlungsstatus geändert hat, und die Information, ob der Status vom System oder von einem Benutzer geändert wurde.

  • Der Wert der Empfehlung gibt an, warum die Umsetzung der Empfehlung für Sie von Vorteil ist und welchen Nutzen das entsprechende Feature hat.

  • Der Aktionsplan enthält Schritt-für-Schritt-Anweisungen zum Implementieren einer Empfehlung. Der Aktionsplan kann Links zu relevanten Dokumentationen enthalten oder auf andere Seiten im Azure-Portal verweisen.

  • Die Tabelle betroffener Ressourcen enthält eine Liste der Ressourcen, die durch die Empfehlung identifiziert werden. Der Name der Ressource, die ID, das Datum der ersten Erkennung und der Status sind angegeben. Die Ressource kann z. B. eine Anwendung oder ein Ressourcendienstprinzipal sein.

Hinweis

Im Microsoft Entra Admin Center sind die betroffenen Ressourcen auf maximal 50 Ressourcen beschränkt. Verwenden Sie die folgende Microsoft Graph-API-Anforderung, um alle betroffenen Ressourcen für eine Empfehlung anzuzeigen: GET /directory/recommendations/{recommendationId}/impactedResources

Weitere Informationen finden Sie im Abschnitt Verwenden von Microsoft Graph mit Microsoft Entra-Empfehlungen in diesem Artikel.

Aktualisieren einer Empfehlung

Um den Status einer Empfehlung oder einer zugehörigen Ressource zu aktualisieren, melden Sie sich bei Azure mit einer Rolle an, die die Mindestberechtigungen erfüllt, um eine Empfehlung zu aktualisieren.

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Wechseln Sie zu Microsoft Entra ID>Empfehlungen.

  2. Wählen Sie eine Empfehlung aus der Liste aus, um die Details, den Status und den Aktionsplan anzuzeigen.

  3. Folgen Sie dem Aktionsplan.

  4. Klicken Sie ggf. mit der rechten Maustaste auf den Status einer Ressource in einer Empfehlung, und wählen Sie Markieren als und anschließend einen Status aus.

    • Der Status für die Ressource wird als normaler Text angezeigt, Sie können jedoch mit der rechten Maustaste auf den Status klicken, um das Menü zu öffnen.
    • Sie können für jede Ressource nach Bedarf einen anderen Status festlegen.

    Screenshot of the status options for a resource.

  5. Der Empfehlungsdienst markiert die Empfehlung automatisch als abgeschlossen. Wenn Sie jedoch den Status einer Empfehlung manuell ändern müssen, wählen Sie oben auf der Seite Markieren als aus, und wählen Sie einen Status aus.

    Screenshot of the Mark as options, to highlight the difference from the resource menu.

    • Markieren Sie eine Empfehlung als Abgelehnt, wenn die Empfehlung Ihrer Ansicht nach nicht relevant ist oder die Daten falsch sind.
      • Microsoft Entra ID bittet Sie um eine Begründung, warum Sie die Empfehlung abgelehnt haben, damit wir den Dienst verbessern können.
    • Markieren Sie eine Empfehlung als Verschoben, wenn Sie die Empfehlung zu einem späteren Zeitpunkt umsetzen möchten.
      • Die Empfehlung wird am ausgewählten Datum in den Status Aktiv versetzt.
    • Sie können eine abgeschlossene oder verschobene Empfehlung reaktivieren, um sie im Blick zu behalten und die Ressourcen neu zu bewerten.
    • Empfehlungen erreichen den Status Abgeschlossen, wenn alle betroffenen Ressourcen verarbeitet wurden.
      • Wenn der Dienst eine aktive Ressource für eine abgeschlossene Empfehlung erkennt, wird der Status der Empfehlung bei der nächsten Ausführung des Diensts automatisch wieder in Aktiv geändert.
      • Das Abschließen einer Empfehlung ist die einzige Aktion, die im Überwachungsprotokoll erfasst wird. Um diese Protokolle anzuzeigen, wechseln Sie zu Microsoft Entra ID>Überwachungsprotokolle, und filtern Sie den Dienst nach „Microsoft Entra-Empfehlungen.“

Überwachen Sie die Empfehlungen in Ihrem Mandanten kontinuierlich auf Änderungen.

Verwenden von Microsoft Graph mit Microsoft Entra-Empfehlungen

Microsoft Entra-Empfehlungen können mithilfe von Microsoft Graph auf dem /beta-Endpunkt angezeigt und verwaltet werden. Sie können Empfehlungen zusammen mit den betroffenen Ressourcen anzeigen, eine Empfehlung auf einen späteren Zeitpunkt verschieben und vieles mehr. Weitere Informationen finden Sie in der Microsoft Graph-Dokumentation für Empfehlungen.

Befolgen Sie zunächst diese Anweisungen, um mit Empfehlungen für die Verwendung von Microsoft Graph im Graph-Explorer zu arbeiten.

  1. Melden Sie sich bei Graph Explorer an.
  2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.
  3. Legen Sie für die API-Version Beta fest.

Anzeigen aller Empfehlungen

Fügen Sie die folgende Abfrage hinzu, um alle Empfehlungen für Ihren Mandanten abzurufen, und wählen Sie dann die Schaltfläche Abfrage ausführen aus.

GET https://graph.microsoft.com/beta/directory/recommendations

Alle Empfehlungen, die für Ihren Mandanten gelten, werden in der Antwort angezeigt. Auswirkungen, Vorteile, Zusammenfassung der betroffenen Ressourcen und Korrekturschritte werden in der Antwort bereitgestellt. Suchen Sie die Empfehlungs-ID für jede Empfehlung, um die betroffenen Ressourcen anzuzeigen.

Anzeigen einer bestimmten Empfehlung

Wenn Sie nach einer bestimmten Empfehlung suchen möchten, können Sie der Anforderung einen recommendationType hinzufügen. In diesem Beispiel werden die Details der applicationCredentialExpiry-Empfehlung abgerufen.

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

Anzeigen betroffener Ressourcen für eine Empfehlung

Einige Empfehlungen geben möglicherweise eine lange Liste mit betroffenen Ressourcen zurück. Um die Liste der betroffenen Ressourcen anzuzeigen, müssen Sie die Empfehlungs-ID suchen. Die Empfehlungs-ID wird in der Antwort angezeigt, wenn Sie alle Empfehlungen und eine bestimmte Empfehlung anzeigen.

Um die betroffenen Ressourcen für eine bestimmte Empfehlung anzuzeigen, verwenden Sie die folgende Abfrage mit der Empfehlungs-ID, die Sie gespeichert haben.

GET /directory/recommendations/{recommendationId}/impactedResources

Nächste Schritte