Microsoft Entra レコメンデーション API を使用して、テナントの Microsoft Entra ID のベスト プラクティスを実装する
Microsoft Entra の推奨事項は、テナントに Microsoft Entra ID のベスト プラクティスを実装するための、パーソナライズされた実用的な分析情報です。 Microsoft Entra レコメンデーション サービスは毎日実行され、すべての推奨事項に対して定義済みの条件に対してテナントを確認します。 推奨事項がテナントに適用されていることがサービスによって検出された場合、対応する推奨事項オブジェクトが生成され、その状態がアクティブに設定されます。
Microsoft Graph のレコメンデーション API を使用して、分析情報を特定して追跡し、ベスト プラクティスを実装するためのガイダンスを評価して適用し、テナントを正常で安全で最適化した状態に保ちます。
推奨事項を管理する
Microsoft Entra の推奨事項は、 推奨事項 と 、それらが適用する Microsoft Entra リソースという 2 つの構成要素で構成されています。
1 つの推奨事項は、1 つ以上の Microsoft Entra リソース インスタンスに適用できます。 たとえば、アプリケーションの有効期限切れに関連する推奨事項は、アプリケーション資格情報の有効期限が切れているテナント内のすべてのアプリを信頼します。
推奨事項ごとに、次のデータがあります。
- 推奨事項の種類。 現在、サポートされている数は限られています。 詳細については、「 推奨事項の種類」を参照してください。
- 推奨事項が適用される Microsoft Entra リソース。 これには、ユーザー、グループ、アプリケーションが含まれます。
- 推奨事項に対処するための推奨アクション プラン。
- 該当する場合、Microsoft Entra ID が、関連するサービスに影響を与える前に完了済みとして推奨事項を推奨する場合。
- テナント全体またはリソース固有の推奨事項の影響。
- 推奨事項の Microsoft 割り当て優先度のランク付け。
- 推奨事項の状態 (まだアクティブであるか、完了しているか、却下されているか、将来の日付に延期されているかなど)。
推奨事項の種類
現在、Microsoft Entra の推奨事項では、8 種類の推奨事項を利用できます。 これらの推奨事項は、Microsoft Graph の レコメンデーション リソースの種類の一部である recommendationType プロパティで識別されます。
次の表に、使用できる推奨事項の種類を示し、Microsoft Graph の値を Microsoft Entra 管理センターで使用されるわかりやすい名前にマップします。
| recommendationType | Microsoft Entra 管理センターのフレンドリ名 | 注釈 |
|---|---|---|
| adfsAppsMigration | セキュリティ、生産性、自動化を強化するために、対象となるアプリケーションを AD FS から Microsoft Entra ID に移行する | 詳細については、「アプリを ADFS から Microsoft Entra ID に移行する」を参照してください。 |
| aadGraphDeprecationApplication, aadGraphDeprecationServicePrincipal | Azure AD Graph API から Microsoft Graph への移行 | 詳細については、「Azure AD Graph API から Microsoft Graph への移行」を参照してください。 |
| adalToMsalMigration | Azure Active Directory 認証ライブラリから Microsoft 認証ライブラリに移行する | 詳細については、「Azure Active Directory 認証ライブラリから Microsoft 認証ライブラリに移行する」を参照してください。 |
| applicationCredentialExpiry | 期限切れのアプリケーション資格情報を更新する | 詳細については、「期限切れのアプリケーション資格情報を更新する」を参照してください。 |
| mfaServerDeprecation | MFA サーバーから Microsoft Entra 多要素認証 (MFA) への移行 | 詳細については、「MFA サーバーから Microsoft Entra 多要素認証 (MFA) に移行する」を参照してください。 |
| servicePrincipalKeyExpiry | 期限切れの serivce プリンシパル資格情報を更新する | 詳細については、「有効期限切れのサービス プリンシパルの資格情報を更新する」を参照してください。 |
| staleApps | 未使用のアプリケーションを削除する | 詳細については、「使用されていないアプリケーションを削除する」を参照してください。 |
| staleAppCreds | アプリケーションから未使用の資格情報を削除する | 詳細については、「アプリから未使用の資格情報を削除する」を参照してください。 |
| switchFromPerUserMFA | ユーザーごとの MFA を条件付きアクセス MFA に変換する | 詳細については、「ユーザーごとの MFA を条件付きアクセス MFA に変換する」を参照してください。 |
| tenantMFA | 既知のデバイスからサインインするユーザーの MFA プロンプトを最小限に抑える | 詳細については、「既知のデバイスからの MFA プロンプトを最小化する」を参照してください。 |
| useAuthenticatorApp | MFA ユーザー エクスペリエンスを向上させるために、対象となるユーザーを SMS と音声通話から Microsoft Authenticator アプリに移行する | 詳細については、「Microsoft Authenticator への移行」を参照してください。 |
API シナリオ
推奨事項は、 レコメンデーション リソースの種類 とそれに関連付けられているメソッドを使用して管理します。 このリソースの種類は、推奨事項が適用される Microsoft Entra リソースのクエリに使用する impactedResources リレーションシップを公開します。
Microsoft Graph レコメンデーション API を使用するための最も一般的な要求の一部を次に示します。
| シナリオ | API |
|---|---|
| 影響を受けたリソースを含め、すべての推奨事項とその関連データを取得します。 | 推奨事項を一覧表示する |
| 影響を受けるリソースを含む推奨事項とその関連データを取得します。 | 推奨事項を取得する |
| 推奨事項に基づいて行動する |
Dismiss 延期 完了する 再アクティブ化 |
| 推奨事項の影響を受けるすべてのリソースの詳細を取得します。 | 影響を受けたResourcesを一覧表示する |
| 推奨事項の影響を受けるリソースの詳細を取得します。 | 影響を受けるResource |
| 影響を受けるリソースの推奨事項に基づいて行動する |
Dismiss 延期 完了する 再アクティブ化 |
| テナントのセキュリティ スコアの履歴データを取得します。 | tenantSecureScores を取得する |
ライセンス要件
さまざまな推奨事項には、さまざまなライセンス要件があります。 推奨事項の種類ごとのライセンスの詳細については、「 Microsoft Entra の推奨事項: ロールとライセンス」を参照してください。