如何使用 Microsoft Entra 建议

2025-06-12

Microsoft Entra 建议功能提供个性化的见解和可行的指导，可以：

帮助你找到实施 Microsoft Entra 相关功能最佳做法的机会。
改善 Microsoft Entra 租户的状态。
针对方案优化配置。

本文介绍如何使用 Microsoft Entra 建议。每个 Microsoft Entra 建议都包含类似的详细信息，例如说明、解决建议的价值以及解决建议的步骤。本文还提供了 Microsoft Graph API 指南。

先决条件

查看或更新建议有不同的角色要求。对所需的访问类型使用最低特权角色。有关角色的完整列表，请参阅按任务列出的最低特权角色。

Microsoft Entra 角色	访问类型
报告读者	只读
安全读取者	只读
全局读取者	只读
身份验证策略管理员	更新和读取
Exchange 管理员	更新和读取
安全管理员	更新和读取
`DirectoryRecommendations.Read.All`	在 Microsoft Graph 中只读
`DirectoryRecommendations.ReadWrite.All`	在 Microsoft Graph 中更新和读取

某些建议可能需要 P2 或其他许可证。有关详细信息，请参阅 “建议”概述表。

如何阅读建议

大多数建议都遵循相同的模式。你将获得有关建议工作原理、建议的价值以及处理建议的一些操作步骤的信息。本部分概述了建议中提供的详细信息，但它们并不特定于某项建议。

至少以报表读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>概述>建议。
从列表中选择建议。

每个建议都提供了相同的一组详细信息，来说明建议是什么、为何它很重要以及如何进行修复。建议服务每 24-48 小时运行一次，具体取决于建议。

建议的状态、优先级和受影响的资源类型的屏幕截图。

状态

建议 的状态 可以是活动、完成、消除或推迟。当解决所有受影响的资源时，建议服务会自动将建议标记为已完成。

活跃：建议中有需要解决的资源。可以手动将已消除、推迟或已完成的建议更改为活动状态。
已完成：已解决推荐中的所有资源。根据行动计划解决所有资源时，系统会自动更新状态。无法手动将建议标记为已完成。
已消除：如果建议无关或数据不正确，则可以消除该建议。必须提供消除建议的理由。
已推迟：如果要稍后解决建议，可以推迟该建议。到达所选日期时，建议会变为“活动”。可以将建议推迟至多一年。

优先级

建议的 优先级 可以是低、中或高。这些值由几个因素决定，例如安全隐患、运行状况问题或潜在的中断性变更。

高：必须做到。不执行操作将导致严重的安全隐患或可能出现故障时间。
中：应该可以。如果不执行操作，不会面临严重风险。
低：可能可以。如果不执行操作，不会面临安全风险或运行状况问题。

建议详细信息

状态说明会告知建议状态已更改的日期。
完成建议的价值是对其为什么对您的组织有利以及相关功能的价值的解释。
行动计划提供了实施建议的分步说明。操作计划可能包含相关文档的链接，或定向到 Azure 门户中的其他页面。
某些建议可能包括一个描述在落实建议时用户体验的用户影响。

建议状态说明、详细说明和值的屏幕截图。

受影响的资源

建议 的受影响资源 可以是应用程序、用户或完整租户。如果受影响的资源位于租户级别，则可能需要进行全局更改。并非所有建议都会写入受影响的资源表。例如，“删除未使用的应用程序”建议列出了建议服务标识的所有应用程序。但是，租户级建议不会在表中列出任何资源。

对于那些需要解决单独资源的建议，“受影响的资源”表包含建议功能所标识的资源列表。会提供资源的名称、ID、首次检测到的日期和状态。例如，资源可以是应用程序、用户或资源服务主体。

可以将单个受影响的资源标记为“已消除”或“已推迟”。资源级别的规则和功能与建议级别的相同。在某些建议中，可以选择资源或“更多详细信息”链接以直接访问资源。

受影响资源表中更多详细信息链接的屏幕截图。

在 Microsoft Entra 管理中心中，受影响的资源限制为最多 50 个资源。如果要查看建议的所有受影响的资源，请使用以下 Microsoft Graph API 请求：GET /directory/recommendations/{recommendationId}/impactedResources

如何更新建议和受影响的资源

可以通过 Microsoft Entra 管理中心或 Microsoft Graph 更新建议以及任何相关资源的状态。

Microsoft Entra 管理中心
Microsoft图形 API

至少以报表读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>概述>建议。
从列表中选择建议。
按照“操作计划”中的指南进行操作。
如果需要手动更改建议的状态，请从页面顶部选择“标记为”，然后选择一种状态。
- 如果认为建议无关或数据不正确，请将建议标记为“ 已消除 ”。
  - 在打开的面板中，选择一个已消除的原因，以便我们可以改进服务。
- 如果以后要解决建议，请将建议标记为 “已推迟 ”。
  - 在打开的面板中，选择明年内的日期以推迟建议。
  - 到达所选日期时，建议会变为“活动”。
- 将已消除、推迟或已完成的建议标记为 “活动 ”以重新评估资源并解决问题。
- 当所有受影响的资源都得到解决时，建议状态将更改为“已完成”。
  - 如果服务在下次运行服务时为已完成的建议标识活动资源，则建议会自动更改回活动。
  - 完成建议是审核日志中收集的唯一操作。若要查看这些日志，请转到 Microsoft Entra ID>审核日志 ，并将服务筛选为“Microsoft Entra 建议”。
如果需要手动更改受影响资源的状态，请在“受影响的资源”表中选中该资源的复选框，然后从菜单中选择状态。
继续监视租户中的更改建议。

注意

无法手动将建议标记为已完成。当解决所有受影响的资源时，系统会自动将建议标记为已完成。当服务运行时，如果未找到活动资源，则会将建议标记为已完成。

可以使用 /beta 端点上的 Microsoft Graph 查看和管理 Microsoft Entra 建议。可以查看建议及其受影响的资源、推迟建议供之后处理等。有关详细信息，请参阅 Microsoft Graph 文档以获取建议。

若要开始使用，请按照这些说明在 Graph 浏览器中使用 Microsoft Graph 处理建议。

登录到 Graph 资源管理器。
从下拉列表中选择 GET 作为 HTTP 方法。
将 API 版本设置为“beta 版本”。

查看所有建议

添加以下查询以检索租户的所有建议，然后选择 “运行查询 ”按钮。

GET https://graph.microsoft.com/beta/directory/recommendations

所有适用于租户的建议都会显示在响应中。响应中提供了受影响资源的影响、优势、摘要和修正步骤。找到任何建议的建议 ID，查看受影响的资源。

查看特定的建议

如果要查找特定建议，可以向请求添加 recommendationType。此示例检索 applicationCredentialExpiry 建议的详细信息。

GET https://graph.microsoft.com/beta/directory/recommendations?$filter=recommendationType eq 'applicationCredentialExpiry'

查看受影响的资源以获取建议

某些建议可能会返回一长串受影响的资源。如果要查看受影响资源的列表，需要找到建议 ID。查看所有建议和特定建议时，建议 ID 会显示在响应中。

如果要查看特定建议的受影响资源，请将以下查询与保存的建议 ID 配合使用。

GET /directory/recommendations/{recommendationId}/impactedResources