Share via

如何使用 Microsoft Entra 建議

  • 發行項

Microsoft Entra 建議功能提供個人化深入解析,並提供可採取動作的指引:

  • 協助您找出實作 Microsoft Entra 相關功能最佳做法的機會。
  • 改善 Microsoft Entra 租使用者的狀態。
  • 優化案例的組態。

本文涵蓋如何使用 Microsoft Entra 建議。 每個 Microsoft Entra 建議都包含類似的詳細資料,例如描述、解決建議的值,以及解決建議的步驟。 本文也會提供 Microsoft Graph API 指引。

必要條件

檢視或更新建議有不同的角色需求。 針對所需的存取類型,使用最低許可權角色。

Microsoft Entra 角色 存取類型
報告讀取者 唯讀
安全性讀取者 唯讀
全域讀者 唯讀
雲端應用程式管理員istrator 更新和讀取
應用程式管理員istrator 更新和讀取
安全性操作員 更新和讀取
安全性系統管理員 更新和讀取

某些建議可能需要 P2 或其他授權。 如需詳細資訊,請參閱 建議可用性和授權需求

如何閱讀建議

大部分的建議都遵循相同的模式。 系統會提供建議運作方式、其值,以及解決建議的一些動作步驟的相關資訊。 本節提供建議中提供的詳細資料概觀,但並非一項建議專屬。

  1. 以至少報表讀者身分登入 Microsoft Entra 系統管理中心

  2. 流覽至 [ 身分識別概 >> 觀建議] 索引標籤。

  3. 從清單中選取建議。

    Screenshot of the list of recommendations.

每個建議都會提供一組相同的詳細資料,說明建議是什麼、為何重要,以及如何修正。

Screenshot of a recommendation's status, priority, and impacted resource type.

  • 建議的狀態可由系統手動或自動更新。 如果所有資源都根據行動計畫解決,則下次執行建議服務時,狀態會自動變更為 [已完成 ]。 建議服務會每隔 24-48 小時執行一次,視建議而定。

  • 建議的優先順序 可能是低、中或高。 這些值是由數個因素所決定,例如安全性影響、健康情況考慮或潛在的重大變更。

    • :必須執行。 不採取行動會導致嚴重的安全性影響或潛在的停機時間。
    • :應該執行。 如果未採取動作,就不會有嚴重風險。
    • :可能這麼做。 如果未採取動作,則不會有任何安全性風險或健康情況考慮。

  • 建議的影響資源類型 可能是應用程式、使用者或完整租使用者。 此詳細資料可讓您瞭解您需要處理的資源類型。 如果受影響的資源位於租使用者層級,您可能需要進行全域變更。

Screenshot of the recommendation status description, description, and value.

  • 狀態 描述 會告訴您建議狀態變更的日期,以及系統或使用者是否已變更。

  • 建議的值 是完成建議的優點,以及相關聯功能值的原因說明。

  • 行動計畫 提供實作建議的逐步指示。 行動計畫可能包含相關檔的連結,或將您導向至Azure 入口網站中的其他頁面。

  • 受影響的 資源 資料表包含建議所識別的資源清單。 資源的名稱、識別碼、第一次偵測到的日期,以及提供狀態。 例如,資源可以是應用程式或資源服務主體。

注意

在 Microsoft Entra 系統管理員輸入中,受影響的資源限制為最多 50 個資源。 若要檢視建議的所有受影響的資源,請使用此 Microsoft Graph API 要求: GET /directory/recommendations/{recommendationId}/impactedResources

如需詳細資訊,請參閱 本文的 How to use Microsoft Graph with with Microsoft Entra recommendations 一節。

如何更新建議

若要更新建議或相關資源的狀態,請使用最低許可權角色登入 Azure 以更新建議。

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 移至 Microsoft Entra ID > 建議。

  2. 從清單中選取建議,以檢視詳細資料、狀態和行動計畫。

  3. 遵循行動計畫

  4. 如果適用, 請以滑鼠右鍵按一下建議中資源的狀態 ,選取 [ 標示為 ],然後選取狀態。

    • 資源的狀態會顯示為一般文字,但您可以以滑鼠右鍵按一下狀態以開啟功能表。
    • 您可以視需要將每個資源設定為不同的狀態。

    Screenshot of the status options for a resource.

  5. 建議服務會自動將建議標示為完成,但如果您需要手動變更建議的狀態,請從頁面頂端選取 [標示為 ],然後選取狀態。

    Screenshot of the Mark as options, to highlight the difference from the resource menu.

    • 如果您認為建議無關,或資料錯誤,請將建議標示為 [已 關閉]。
      • Microsoft Entra ID 會要求您關閉建議的原因,以便我們可以改善服務。
    • 如果您想要稍後處理建議,請將建議標示為 後。
      • 當選取的日期發生時,建議會 變成作用 中。
    • 您可以重新啟用已完成或延後的建議,讓它保持頭腦,並重新評估資源。
    • 建議變更為 如果解決所有受影響的資源,則已完成
      • 如果服務在下一次執行服務時識別已完成建議的作用中資源,則建議會自動變更回 作用中
      • 完成建議是稽核記錄中收集的唯一動作。 若要檢視這些記錄,請移至 Microsoft Entra ID > 稽核記錄 ,並將服務篩選為「Microsoft Entra 建議」。

繼續監視租使用者中是否有變更的建議。

如何搭配 Microsoft Entra 建議使用 Microsoft Graph

您可以使用端點上的 /beta Microsoft Graph 來檢視及管理 Microsoft Entra 建議。 您可以檢視建議及其受影響的資源、延遲稍後的建議等等。 如需詳細資訊,請參閱 Microsoft Graph 檔以取得建議

若要開始使用,請遵循這些指示,在 Graph 總管中使用 Microsoft Graph 來處理建議。

  1. 登入 Graph 總管
  2. 從下拉式清單中選取 [GET ] 作為 HTTP 方法。
  3. 將 API 版本設定為 Beta

檢視所有建議

新增下列查詢以擷取租使用者的所有建議,然後選取 [ 執行查詢] 按鈕。

GET https://graph.microsoft.com/beta/directory/recommendations

套用至租使用者的所有建議都會出現在回應中。 回應中會提供受影響資源的影響、優點、摘要和補救步驟。 找出任何建議的建議識別碼,以檢視受影響的資源。

檢視特定建議

如果您想要尋找特定建議,您可以將 新增 recommendationType 至要求。 此範例會擷取建議的詳細 applicationCredentialExpiry 資料。

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

檢視建議受影響的資源

某些建議可能會傳回一長串受影響的資源。 若要檢視受影響的資源清單,您需要找出建議識別碼。 檢視所有建議和特定建議時,建議識別碼會出現在回應中。

若要檢視特定建議受影響的資源,請使用下列查詢搭配您儲存的建議識別碼。

GET /directory/recommendations/{recommendationId}/impactedResources

下一步