Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met de agent voor optimalisatie van voorwaardelijke toegang kunt u ervoor zorgen dat alle gebruikers en toepassingen worden beveiligd door beleid voor voorwaardelijke toegang. De agent kan nieuwe beleidsregels aanbevelen en bestaand beleid bijwerken, op basis van best practices die zijn afgestemd op zero Trust en de bevindingen van Microsoft. De agent maakt ook rapporten voor beleidsbeoordeling (preview), die inzicht geven in pieken of dips die kunnen duiden op een onjuiste configuratie van beleid.
De optimalisatieagent voor voorwaardelijke toegang evalueert beleid zoals het vereisen van meervoudige of multifactorauthenticatie (MFA), het afdwingen van apparaatgebonden controles (apparaatnaleving, app-beveiligingsbeleid en apparaten die aan een domein zijn gekoppeld), en het blokkeren van verouderde authenticatie en apparaatcodestroom. De agent evalueert ook alle bestaande ingeschakelde beleidsregels om mogelijke samenvoeging van vergelijkbare beleidsregels voor te stellen. Wanneer de agent een suggestie identificeert, kunt u de agent het bijbehorende beleid laten bijwerken met één klik op herstelactie.
Belangrijk
De integraties van ServiceNow en Microsoft Teams in de agent voor optimalisatie van voorwaardelijke toegang zijn momenteel beschikbaar in PREVIEW. Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd vóór de release. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Vereiste voorwaarden
- U moet ten minste de Licentie voor Microsoft Entra ID P1 hebben.
- U moet beschikbare SCU's (Security Compute Units) hebben.
- Gemiddeld verbruikt elke agentuitvoering minder dan één SCU.
- U moet de juiste Microsoft Entra-rol hebben.
- Beveiligingsbeheerder is vereist om de agent de eerste keer te activeren.
- De rollen Beveiligingslezer en Globale lezer kunnen de agent en eventuele suggesties bekijken, maar kunnen geen acties uitvoeren.
- Beheerder voor voorwaardelijke toegang en Beveiligingsbeheerder rollen kunnen de agent bekijken en actie ondernemen op de suggesties.
- U kunt beheerders voor voorwaardelijke toegang toewijzen met Copilot-toegang voor beveiliging, waardoor uw beheerders van voorwaardelijke toegang ook de mogelijkheid hebben om de agent te gebruiken.
- Zie Security Copilot-toegang toewijzen voor meer informatie.
- Voor besturingselementen op basis van apparaten zijn Microsoft Intune-licenties vereist.
- Bekijk privacy- en gegevensbeveiliging in Microsoft Security Copilot.
Beperkingen
- Vermijd het gebruik van een account om de agent in te stellen waarvoor rolactivering met Privileged Identity Management (PIM) is vereist. Als u een account gebruikt dat geen permanente machtigingen heeft, kan dit verificatiefouten voor de agent veroorzaken.
- Zodra agents zijn gestart, kunnen ze niet worden gestopt of gepauzeerd. Het kan enkele minuten duren.
- Voor beleidsconsolidatie kijkt elke agent alleen naar vier beleidsparen die op elkaar lijken.
- U wordt aangeraden de agent uit te voeren vanuit het Microsoft Entra-beheercentrum.
- Scannen is beperkt tot een periode van 24 uur.
- Suggesties van de agent kunnen niet worden aangepast of overschreven.
- De agent kan maximaal 300 gebruikers en 150 toepassingen in één uitvoering bekijken.
Hoe het werkt
De agent voor optimalisatie van voorwaardelijke toegang scant uw tenant op nieuwe gebruikers en toepassingen van de afgelopen 24 uur en bepaalt of beleid voor voorwaardelijke toegang van toepassing is. Als de agent gebruikers of toepassingen vindt die niet zijn beveiligd door beleid voor voorwaardelijke toegang, worden er voorgestelde volgende stappen weergegeven, zoals het inschakelen of wijzigen van beleid voor voorwaardelijke toegang. U kunt de suggestie bekijken, hoe de agent de oplossing heeft geïdentificeerd en wat er in het beleid zou worden opgenomen.
Elke keer dat de agent wordt uitgevoerd, worden de volgende stappen doorlopen. Deze eerste scanstappen verbruiken geen SKU's.
- De agent scant alle beleidsregels voor voorwaardelijke toegang binnen uw tenant.
- De agent controleert op beleidshiaten en of er beleidslijnen kunnen worden gecombineerd.
- De agent beoordeelt eerdere suggesties, zodat hetzelfde beleid niet opnieuw wordt voorgesteld.
Als de agent iets identificeert dat nog niet eerder is voorgesteld, voert de agent de volgende stappen uit. Deze agentactiestappen verbruiken SCU's.
- De agent identificeert een beleidsverschil of een paar beleidsregels die kunnen worden geconsolideerd.
- De agent evalueert eventuele aangepaste instructies die u hebt opgegeven.
- De agent maakt een nieuw beleid in de modus Alleen-rapporteren of doet een voorstel om een beleid te wijzigen, inclusief de logica die voortkomt uit de aangepaste instructies.
Aanbeveling
Twee beleidsregels kunnen worden geconsolideerd als ze niet meer dan twee voorwaarden of besturingselementen verschillen.
De beleidssuggesties die door de agent zijn geïdentificeerd, omvatten:
- MFA vereisen: de agent identificeert gebruikers die niet worden gedekt door beleid voor voorwaardelijke toegang waarvoor MFA is vereist en kan het beleid bijwerken.
- Apparaatgebaseerde besturingselementen vereisen: de agent kan op apparaten gebaseerde besturingselementen afdwingen, zoals apparaatnaleving, app-beveiligingsbeleid en apparaten die lid zijn van een domein.
- Verouderde verificatie blokkeren: gebruikersaccounts met verouderde verificatie kunnen niet worden aangemeld.
- Apparaatcodestroom blokkeren: de agent zoekt naar een beleid dat verificatie van apparaatcodestroom blokkeert.
- Riskante gebruikers: de agent stelt een beleid voor om een veilige wachtwoordwijziging te vereisen voor gebruikers met een hoog risico. Hiervoor is een P2-licentie voor Microsoft Entra ID vereist.
- Riskante aanmeldingen: de agent stelt een beleid voor om meervoudige verificatie te vereisen voor aanmeldingen met een hoog risico. Hiervoor is een P2-licentie voor Microsoft Entra ID vereist.
- Beleidsconsolidatie: de agent scant uw beleid en identificeert overlappende instellingen. Als u bijvoorbeeld meer dan één beleid hebt met dezelfde besturingselementen voor toekenning, stelt de agent voor om dit beleid in één te consolideren.
- Uitgebreide analyse: De agent bekijkt beleidsregels die overeenkomen met belangrijke scenario's om uitbijters te identificeren die meer dan een aanbevolen aantal uitzonderingen hebben (leidend tot onverwachte hiaten in dekking) of geen uitzonderingen (leiden tot mogelijke vergrendeling).
Belangrijk
De agent wijzigt geen bestaande beleidsregels, tenzij een beheerder de suggestie expliciet goedkeurt.
Alle nieuwe beleidsregels worden door de agent voorgesteld en gemaakt in de alleen-rapportagemodus.
Aan de slag
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beveiligingsbeheerder.
Selecteer op de nieuwe startpagina de optie Ga naar agents op de meldingskaart van de agent.
- U kunt agents ook selecteren in het linkernavigatiemenu.
Selecteer Details weergeven op de tegel Voorwaardelijke toegangsoptimalisatieagent.
Selecteer Start agent om je eerste run te beginnen. Vermijd het gebruik van een account met een rol die is geactiveerd via PIM.
Wanneer de overzichtspagina van de agent wordt geladen, worden alle suggesties weergegeven in het vak Recente suggesties . Als er een suggestie is geïdentificeerd, kunt u het beleid controleren, de impact van het beleid bepalen en de wijzigingen indien nodig toepassen. Zie voor meer informatie Suggesties voor voorwaardelijke toegangsagent nakijken en goedkeuren.
Instellingen
Zodra de agent is ingeschakeld, kunt u enkele instellingen aanpassen. Nadat u wijzigingen hebt aangebracht, selecteert u de knop Opslaan onder aan de pagina. U hebt toegang tot de instellingen vanaf twee locaties in het Microsoft Entra-beheercentrum:
- Vanuit Agents>, instellingen voor >.
- Selecteer in Voorwaardelijke toegang onder > de kaart Conditional Access optimalisatieagent>.
Aanleiding
De agent wordt zo geconfigureerd dat deze elke 24 uur wordt uitgevoerd op basis van wanneer deze in eerste instantie is geconfigureerd. U kunt wijzigen wanneer de agent wordt uitgevoerd door de triggerinstelling uit te schakelen en vervolgens weer in te schakelen wanneer u wilt dat deze wordt uitgevoerd.
Microsoft Entra-objecten die moeten worden bewaakt
Gebruik de selectievakjes onder Microsoft Entra-objecten om te controleren wat de agent moet monitoren bij het maken van beleidsaanbevelingen. Standaard zoekt de agent naar nieuwe gebruikers en toepassingen in uw tenant in de afgelopen periode van 24 uur.
Agentmogelijkheden
De optimalisatieagent voor voorwaardelijke toegang kan standaard nieuw beleid maken in rapportagemodus. U kunt deze instelling wijzigen zodat een beheerder het nieuwe beleid moet goedkeuren voordat het wordt gemaakt. Het beleid wordt nog steeds aangemaakt in de rapportmodus alleen, maar pas na goedkeuring van de beheerder. Nadat u de impact van het beleid hebt bekeken, kunt u het beleid rechtstreeks vanuit de agentervaring of vanuit voorwaardelijke toegang inschakelen.
Notifications
Als onderdeel van een preview-functie kan de optimalisatieagent voor voorwaardelijke toegang meldingen verzenden via Microsoft Teams naar een bepaalde set geadresseerden. Met de Conditional Access agent-app in Microsoft Teams ontvangen geadresseerden meldingen rechtstreeks in hun Teams-chat wanneer de agent een nieuwe suggestie naar voren brengt.
De agent-app toevoegen aan Microsoft Teams:
Selecteer in Microsoft Teams Apps in het linkernavigatiemenu en zoek en selecteer de agent voor voorwaardelijke toegang.
Selecteer de knop Toevoegen en selecteer vervolgens de knop Openen om de app te openen.
Als u de app gemakkelijker wilt openen, klikt u met de rechtermuisknop op het app-pictogram in het linkernavigatiemenu en selecteert u Vastmaken.
Meldingen configureren in de instellingen voor de optimalisatieagent voor voorwaardelijke toegang:
Selecteer in de instellingen voor de optimalisatieagent voor voorwaardelijke toegang de koppeling Gebruikers en groepen selecteren.
Selecteer de gebruikers of groepen die u meldingen wilt ontvangen en selecteer vervolgens de knop Selecteren .
Selecteer onder aan de hoofdpagina Instellingen de knop Opslaan .
U kunt maximaal 10 geadresseerden selecteren die meldingen zullen ontvangen. U kunt een groep selecteren om de meldingen te ontvangen, maar het lidmaatschap van die groep mag niet groter zijn dan 10 gebruikers. Als u een groep selecteert met minder dan 10 gebruikers, maar er later meer worden toegevoegd, ontvangt de groep geen meldingen meer. Op dezelfde manier kunnen de meldingen alleen worden verzonden naar vijf objecten, zoals een combinatie van afzonderlijke gebruikers of groepen. Als u geen meldingen meer wilt ontvangen, verwijdert u uw gebruikersobject of de groep waarin u bent opgenomen uit de lijst met geadresseerden.
Op dit moment is de communicatie van de agent één richting, zodat u meldingen kunt ontvangen, maar niet kunt reageren in Microsoft Teams. Als u actie wilt ondernemen op een suggestie, selecteert u De suggestie Controleren in de chat om de optimalisatieagent voor voorwaardelijke toegang te openen in het Microsoft Entra-beheercentrum.
Gefaseerde implementatie
Wanneer de agent een nieuw beleid maakt in de modus Alleen-rapporteren, wordt het beleid in fasen geïmplementeerd, zodat u het effect van het nieuwe beleid kunt controleren. Gefaseerde implementatie is standaard ingeschakeld.
U kunt het aantal dagen tussen elke fase wijzigen door de schuifregelaar te slepen of een getal in het tekstvak in te voeren. Het aantal dagen tussen elke fase is hetzelfde voor alle fasen. Zorg ervoor dat u de gefaseerde implementatie start met voldoende tijd om de impact te controleren voordat de volgende fase wordt gestart en dat de implementatie niet begint op een weekend of vakantie, voor het geval u de implementatie moet onderbreken.
Identiteit en machtigingen
Er zijn verschillende belangrijke punten die u moet overwegen met betrekking tot de identiteit en machtigingen van de agent:
De agent wordt uitgevoerd onder de identiteit en machtigingen van de gebruiker die de agent in uw tenant heeft ingeschakeld.
Vermijd het gebruik van een account waarvoor uitbreiding via PIM is vereist voor Just-In-Time-uitbreiding. Indien de gebruiker niet de juiste rol heeft gekregen wanneer de agent draait, mislukt de taak.
Beveiligingsbeheerder heeft standaard toegang tot Security Copilot. U kunt voorwaardelijke toegangsbeheerders aanstellen met toegang tot Security Copilot. Met deze autorisatie kunnen beheerders van voorwaardelijke toegang ook de agent gebruiken. Zie Security Copilot-toegang toewijzen voor meer informatie.
De gebruiker die een suggestie goedkeurt om gebruikers toe te voegen aan een beleid, wordt eigenaar van een nieuwe groep die de gebruikers toevoegt aan een beleid.
De auditlogboeken voor acties die door de agent worden uitgevoerd, zijn gekoppeld aan de gebruiker die de agent heeft ingeschakeld. U vindt de naam van het account dat de agent heeft gestart in de sectie Identiteit en machtigingen van de instellingen.
ServiceNow-integratie (Preview)
Organisaties die de ServiceNow-invoegtoepassing voor Security Copilot gebruiken, kunnen nu de agent voor optimalisatie van voorwaardelijke toegang ServiceNow-wijzigingsaanvragen maken voor elke nieuwe suggestie die de agent genereert. Hierdoor kunnen IT- en beveiligingsteams agentsuggesties in bestaande ServiceNow-werkstromen bijhouden, beoordelen en afwijzen. Op dit moment worden alleen wijzigingsaanvragen (CHG) ondersteund.
Als u de ServiceNow-integratie wilt gebruiken, moet de ServiceNow-invoegtoepassing zijn geconfigureerd voor uw organisatie.
Wanneer de ServiceNow-invoegtoepassing is ingeschakeld in de instellingen voor de optimalisatieagent voor voorwaardelijke toegang, maakt elke nieuwe suggestie van de agent een ServiceNow-wijzigingsaanvraag. De wijzigingsaanvraag bevat details over de suggestie, zoals het type beleid, de betrokken gebruikers of groepen en de logica achter de aanbeveling. De integratie biedt ook een feedbacklus: de agent bewaakt de status van de ServiceNow-wijzigingsaanvraag en kan de wijziging automatisch implementeren wanneer de wijzigingsaanvraag wordt goedgekeurd.
Aangepaste instructies
U kunt het beleid aanpassen aan uw behoeften met behulp van het optionele veld Aangepaste instructies . Met deze instelling kunt u een prompt aan de agent opgeven als onderdeel van de uitvoering ervan. Deze instructies kunnen worden gebruikt om:
- Specifieke gebruikers, groepen en rollen opnemen of uitsluiten
- Objecten uitsluiten van overweging door de agent of toevoegen aan het voorwaardelijke toegangsbeleid.
- Pas uitzonderingen toe op specifieke beleidsregels, zoals het uitsluiten van een specifieke groep van een beleid, het vereisen van MFA of het vereisen van Mobile Application Management-beleid.
U kunt de naam of de object-id invoeren in de aangepaste instructies. Beide waarden worden gevalideerd. Als u de naam van de groep toevoegt, wordt de object-id voor die groep automatisch namens u toegevoegd. Voorbeeld van aangepaste instructies:
- 'Sluit gebruikers uit in de groep 'Break Glass' van elk beleid waarvoor meervoudige verificatie is vereist.
- Gebruiker met object-id dddddddd-3333-4444-5555-eeeeeeeeeeee uitsluiten uit alle beleidsregels
Een veelvoorkomend scenario waarmee u rekening moet houden, is als uw organisatie veel gastgebruikers heeft die u niet wilt dat de agent suggesties doet om toe te voegen aan uw standaardbeleid voor voorwaardelijke toegang. Als de agent wordt uitgevoerd en nieuwe gastgebruikers ziet die niet worden gedekt door aanbevolen beleidsregels, worden SKU's gebruikt om te suggereren dat deze gastgebruikers worden gedekt door beleidsregels die niet nodig zijn. Om te voorkomen dat gastgebruikers door de agent worden beschouwd:
- Maak een dynamische groep met de naam 'Gasten' waar
(user.userType -eq "guest"). - Voeg een aangepaste instructie toe op basis van uw behoeften.
- 'Sluit de groep 'Gasten' uit van de agentoverweging.
- 'Sluit de groep 'Gasten' uit van elk Mobile Application Management-beleid.
Bekijk de volgende video voor meer informatie over het gebruik van aangepaste instructies.
Houd er rekening mee dat sommige van de inhoud in de video, zoals de elementen van de gebruikersinterface, kunnen worden gewijzigd omdat de agent regelmatig wordt bijgewerkt.
Intune-integratie
De agent voor optimalisatie van voorwaardelijke toegang kan worden geïntegreerd met Microsoft Intune om apparaatnalevings- en toepassingsbeveiligingsbeleid te bewaken dat is geconfigureerd in Intune en mogelijke hiaten in het afdwingen van voorwaardelijke toegang te identificeren. Deze proactieve en geautomatiseerde aanpak zorgt ervoor dat het beleid voor voorwaardelijke toegang afgestemd blijft op de beveiligingsdoelstellingen en nalevingsvereisten van de organisatie. De agentsuggesties zijn hetzelfde als de andere beleidssuggesties, behalve dat Intune een deel van het signaal aan de agent biedt.
Agentsuggesties voor Intune-scenario's hebben betrekking op specifieke gebruikersgroepen en platforms (iOS of Android). De agent identificeert bijvoorbeeld een actief Intune-app-beveiligingsbeleid dat is gericht op de groep Financiën, maar bepaalt dat er geen voldoende beleid voor voorwaardelijke toegang is dat app-beveiliging afdwingt. De agent maakt een beleid voor alleen rapporten waarvoor gebruikers alleen toegang moeten krijgen tot resources via compatibele toepassingen op iOS-apparaten.
Als u Intune-apparaatnalevings- en app-beveiligingsbeleid wilt identificeren, moet de agent zich aanmelden als Globale Beheerder of Voorwaardelijke Toegangsbeheerder EN Globale Lezer. Voorwaardelijke Toegang Beheerder is op zichzelf niet voldoende zodat de agent suggesties voor Intune kan geven.
Wereldwijde integratie van Secure Access
Microsoft Entra Internet Access en Microsoft Entra Private Access (gezamenlijk bekend als Global Secure Access) kunnen worden geïntegreerd met de agent voor optimalisatie van voorwaardelijke toegang om suggesties te bieden die specifiek zijn voor het netwerktoegangsbeleid van uw organisatie. De suggestie, schakel nieuw beleid in om globale toegangsvereisten voor beveiligde toegang af te dwingen, helpt u bij het afstemmen van uw globale secure access-beleid met netwerklocaties en beveiligde toepassingen.
Met deze integratie identificeert de agent gebruikers of groepen die niet onder een beleid voor voorwaardelijke toegang vallen om alleen toegang tot bedrijfsbronnen te vereisen via goedgekeurde wereldwijde beveiligde toegangskanalen. Dit beleid vereist dat gebruikers verbinding maken met bedrijfsbronnen met behulp van het beveiligde global Secure Access-netwerk van de organisatie voordat ze toegang hebben tot zakelijke apps en gegevens. Gebruikers die verbinding maken vanuit niet-beheerde of niet-vertrouwde netwerken, wordt gevraagd om de global Secure Access-client of webgateway te gebruiken. U kunt aanmeldingslogboeken controleren om compatibele verbindingen te controleren.
Agent verwijderen
Als u de optimalisatieagent voor voorwaardelijke toegang niet meer wilt gebruiken, selecteert u Agent verwijderen boven aan het agentvenster. De bestaande gegevens (agentactiviteit, suggesties en metrische gegevens) worden verwijderd, maar alle beleidsregels die zijn gemaakt of bijgewerkt op basis van de agentsuggesties, blijven intact. Eerder toegepaste suggesties blijven ongewijzigd, zodat u het beleid dat door de agent is gemaakt of gewijzigd, kunt blijven gebruiken.
Feedback geven
Gebruik de knop Feedback geven boven aan het agentvenster om feedback te geven aan Microsoft over de agent.
FAQs
Wanneer moet ik de agent voor optimalisatie van voorwaardelijke toegang versus Copilot Chat gebruiken?
Beide functies bieden verschillende inzichten in uw beleid voor voorwaardelijke toegang. De volgende tabel bevat een vergelijking van de twee functies:
| Scenario | Agent voor optimalisatie van voorwaardelijke toegang | Copilot Chat |
|---|---|---|
| Algemene scenario's | ||
| Tenantspecifieke configuratie gebruiken | ✅ | |
| Geavanceerde redenering | ✅ | |
| Inzichten op aanvraag | ✅ | |
| Interactieve probleemoplossing | ✅ | |
| Doorlopende beleidsevaluatie | ✅ | |
| Suggesties voor geautomatiseerde verbetering | ✅ | |
| Hulp krijgen bij best practices en configuratie van CA | ✅ | ✅ |
| Specifieke scenario's | ||
| Niet-beveiligde gebruikers of toepassingen proactief identificeren | ✅ | |
| MFA en andere basislijnbesturingselementen afdwingen voor alle gebruikers | ✅ | |
| Continue bewaking en optimalisatie van CA-beleid | ✅ | |
| Beleidswijzigingen met één klik | ✅ | |
| Controleer bestaande CA-beleidsregels en -toewijzingen (Zijn beleidsregels van toepassing op Alice?) | ✅ | ✅ |
| Problemen met de toegang van een gebruiker oplossen (waarom werd Alice om MFA gevraagd?) | ✅ |
Ik heb de agent geactiveerd, maar zie 'Mislukt' in de activiteitsstatus. Wat gebeurt er?
Het is mogelijk dat de agent is ingeschakeld met een account waarvoor rolactivering met Privileged Identity Management (PIM) is vereist. Dus toen de agent probeerde uit te voeren, mislukte het omdat het account op dat moment niet over de vereiste machtigingen beschikte. U wordt gevraagd om opnieuw te verifiëren als de PIM-machtiging is verlopen.
U kunt dit probleem oplossen door de agent te verwijderen en vervolgens de agent opnieuw in te schakelen met een gebruikersaccount met vaste machtigingen voor Security Copilot-toegang. Zie Security Copilot-toegang toewijzen voor meer informatie.