Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Optimeringsagenten för villkorsstyrd åtkomst hjälper dig att se till att alla användare och program skyddas av principer för villkorsstyrd åtkomst. Agenten kan rekommendera nya principer och uppdatera befintliga principer baserat på metodtips som är anpassade till Zero Trust och Microsofts utbildningar. Agenten skapar också principgranskningsrapporter (förhandsversion), som ger insikter om toppar eller dalar som kan tyda på en felaktig principkonfiguration.
Optimeringsagenten för villkorsstyrd åtkomst utvärderar principer som att kräva multifaktorautentisering (MFA), framtvinga enhetsbaserade kontroller (enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter) och blockera äldre autentisering och enhetskodflöde. Agenten utvärderar också alla befintliga aktiverade principer för att föreslå en eventuell konsolidering av liknande principer. När agenten identifierar ett förslag kan du låta agenten uppdatera den associerade policyn med ett klick.
Viktigt!
ServiceNow- och Microsoft Teams-integreringarna i optimeringsagenten för villkorsstyrd åtkomst finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Förutsättningar
- Du måste ha minst Microsoft Entra ID P1-licensen .
- Du måste ha tillgängliga Security Compute Units (SCU: säkerhetsenheter för beräkning).
- I genomsnitt förbrukar varje agentkörning mindre än en SCU.
- Du måste ha rätt Microsoft Entra-roll.
- Säkerhetsadministratör krävs för att aktivera agenten första gången.
- Rollerna Säkerhetsläsare och Global läsare kan visa agenten och eventuella förslag, men kan inte vidta några åtgärder.
- Roller som administratör för villkorlig åtkomst och säkerhetsadministratör kan visa agenten och vidta åtgärder för förslagen.
- Du kan tilldela administratörer för villkorlig åtkomst åtkomst med åtkomst till Security Copilot, vilket ger dina administratörer för villkorsstyrd åtkomst möjlighet att använda agenten också.
- Mer information finns i Tilldela åtkomst till Security Copilot.
- Enhetsbaserade kontroller kräver Microsoft Intune-licenser.
- Granska Sekretess och datasäkerhet i Microsoft Security Copilot.
Begränsningar
- Undvik att använda ett konto för att konfigurera agenten som kräver rollaktivering med Privileged Identity Management (PIM). Om du använder ett konto som inte har stående behörigheter kan det orsaka autentiseringsfel för agenten.
- När agenterna har startats kan de inte stoppas eller pausas. Det kan ta några minuter att genomföra.
- För policysammanslagning tittar varje agent bara på fyra liknande policyspar.
- Vi rekommenderar att du kör agenten från administrationscentret för Microsoft Entra.
- Genomsökningen är begränsad till en period av 24 timmar.
- Förslag från agenten kan inte anpassas eller åsidosättas.
- Agenten kan granska upp till 300 användare och 150 program i en enda körning.
Så här fungerar det
Optimeringsagenten för villkorsstyrd åtkomst söker igenom din klientorganisation efter nya användare och program från de senaste 24 timmarna och avgör om principer för villkorsstyrd åtkomst är tillämpliga. Om agenten hittar användare eller program som inte skyddas av principer för villkorsstyrd åtkomst, innehåller den föreslagna nästa steg, till exempel att aktivera eller ändra en princip för villkorsstyrd åtkomst. Du kan granska förslaget, hur agenten identifierade lösningen och vad som skulle ingå i principen.
Varje gång agenten körs utför den följande stegen. De här inledande genomsökningsstegen förbrukar inga SKU:er.
- Agenten söker igenom alla principer för villkorlig åtkomst i din klientorganisation.
- Agenten söker efter principluckor och om några principer kan kombineras.
- Agenten granskar tidigare förslag så att den inte föreslår samma princip igen.
Om agenten identifierar något som inte föreslogs tidigare, vidtar den följande steg. De här agentåtgärdsstegen använder SKU:er.
- Agenten identifierar ett principgap eller ett par principer som kan konsolideras.
- Agenten utvärderar eventuella anpassade instruktioner som du har angett.
- Agenten skapar en ny princip i rapportläge eller ger förslag på att ändra en princip, inklusive logik som tillhandahålls av de anpassade anvisningarna.
Tips/Råd
Två principer kan konsolideras om de skiljer sig åt med högst två villkor eller kontroller.
Bland de principförslag som identifierats av agenten finns:
- Kräv MFA: Agenten identifierar användare som inte omfattas av en princip för villkorsstyrd åtkomst som kräver MFA och kan uppdatera principen.
- Kräv enhetsbaserade kontroller: Agenten kan framtvinga enhetsbaserade kontroller, till exempel enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter.
- Blockera äldre autentisering: Användarkonton med äldre autentisering blockeras från att logga in.
- Blockera enhetskodflöde: Agenten söker efter en princip som blockerar enhetskodflödesautentisering.
- Riskfyllda användare: Agenten föreslår en princip för att kräva säker lösenordsändring för högriskanvändare. Kräver Microsoft Entra ID P2-licens.
- Riskfyllda inloggningar: Agenten föreslår en princip för att kräva multifaktorautentisering för högriskinloggningar. Kräver Microsoft Entra ID P2-licens.
- Principkonsolidering: Agenten söker igenom din princip och identifierar överlappande inställningar. Om du till exempel har fler än en princip som har samma beviljandekontroller föreslår agenten att dessa principer konsolideras till en.
- Djupanalys: Agenten tittar på principer som motsvarar viktiga scenarier för att identifiera avvikande principer som har mer än ett rekommenderat antal undantag (vilket leder till oväntade luckor i täckningen) eller inga undantag (vilket leder till eventuell utelåsning).
Viktigt!
Agenten gör inga ändringar i befintliga principer om inte en administratör uttryckligen godkänner förslaget.
Alla nya policyer som föreslås av agenten skapas i endast-rapportläge.
Komma igång
Logga in på Microsoft Entra administrationscenter med minst behörigheten Säkerhetsadministratör.
På den nya startsidan väljer du Gå till agenter från agentmeddelandekortet.
- Du kan också välja Agenter på den vänstra navigeringsmenyn.
Välj Visa information på panelen Optimeringsagent för villkorsstyrd åtkomst.
Välj Starta agent för att påbörja din första session. Undvik att använda ett konto med en roll aktiverad via PIM.
När översiktssidan för agenten läses in visas eventuella förslag i rutan Senaste förslag. Om ett förslag har identifierats kan du granska principen, fastställa princippåverkan och tillämpa ändringarna om det behövs. Mer information finns i Granska och godkänna agentförslag för villkorsstyrd åtkomst.
Inställningar
När agenten är aktiverad kan du justera några inställningar. När du har gjort några ändringar väljer du knappen Spara längst ned på sidan. Du kan komma åt inställningarna från två platser i administrationscentret för Microsoft Entra:
- Från Agenter>Inställningar> för villkorsstyrd åtkomst.
- Från Villkorlig åtkomst> väljer du agentkortet för optimering av villkorsstyrd åtkomst underPrincipsammanfattningsinställningar>.
Trigger
Agenten är konfigurerad att köras var 24:e timme baserat på när den först konfigurerades. Du kan ändra när agenten körs genom att växla inställningen Utlösare och sedan aktivera igen när du vill att den ska köras.
Microsoft Entra-objekt att övervaka
Använd kryssrutorna under Microsoft Entra-objekt för att övervaka för att ange vad agenten ska övervaka när du gör principrekommendationer. Som standard söker agenten efter både nya användare och program i klientorganisationen under den senaste 24-timmarsperioden.
Agentfunktioner
Som standard kan optimeringsagenten för villkorsstyrd åtkomst skapa nya principer i rapportläge. Du kan ändra den här inställningen så att en administratör måste godkänna den nya principen innan den skapas. Policyn skapas fortfarande endast i rapportläge, men först efter godkännande av administratören. När du har granskat princippåverkan kan du aktivera principen direkt från agentupplevelsen eller från villkorsstyrd åtkomst.
Notifications
Som en del av en förhandsgranskningsfunktion kan optimeringsagenten för villkorsstyrd åtkomst skicka meddelanden via Microsoft Teams till en utvald uppsättning mottagare. Med agentappen för villkorsstyrd åtkomst i Microsoft Teams får mottagarna meddelanden direkt i teams-chatten när agenten lägger fram ett nytt förslag.
Så här lägger du till agentappen i Microsoft Teams:
I Microsoft Teams väljer du Appar på den vänstra navigeringsmenyn och söker efter och väljer agenten för villkorsstyrd åtkomst.
Välj knappen Lägg till och välj sedan knappen Öppna för att öppna appen.
Om du vill göra det enklare att komma åt appen högerklickar du på appikonen i den vänstra navigeringsmenyn och väljer Fäst.
Så här konfigurerar du meddelanden i optimeringsagentinställningarna för villkorsstyrd åtkomst:
I inställningarna för optimeringsagenten för villkorsstyrd åtkomst väljer du länken Välj användare och grupper .
Välj de användare eller grupper som du vill ta emot meddelanden och välj sedan knappen Välj .
Längst ned på sidan Inställningar väljer du knappen Spara .
Du kan välja upp till 10 mottagare för att ta emot meddelanden. Du kan välja en grupp för att ta emot meddelandena, men medlemskapet i den gruppen får inte överstiga 10 användare. Om du väljer en grupp som har färre än 10 användare men fler läggs till senare får gruppen inte längre meddelanden. På samma sätt kan meddelandena bara skickas till fem objekt, till exempel en kombination av enskilda användare eller grupper. Om du vill sluta ta emot meddelanden tar du bort ditt användarobjekt eller den grupp som du ingår i från mottagarens lista.
För närvarande är agentens kommunikation en riktning, så du kan ta emot meddelanden men inte svara på dem i Microsoft Teams. Om du vill vidta åtgärder på ett förslag väljer du Granska förslag från chatten för att öppna optimeringsagenten för villkorsstyrd åtkomst i administrationscentret för Microsoft Entra.
Stegvis distribution
När agenten skapar en ny princip i rapportläge distribueras principen i faser, så att du kan övervaka effekten av den nya principen. Stegvis distribution är aktiverat som standard.
Du kan ändra antalet dagar mellan varje fas genom att antingen dra skjutreglaget eller ange ett tal i textrutan. Antalet dagar mellan varje fas är detsamma för alla faser. Kontrollera att du startar den stegvisa distributionen med tillräckligt med tid för att övervaka effekten innan nästa fas startar, så att distributionen inte startar på en helg eller helgdag, om du behöver pausa distributionen.
Identitet och behörigheter
Det finns flera viktiga saker att tänka på när det gäller agentens identitet och behörigheter:
Agenten körs under identiteten och behörigheterna för den användare som aktiverade agenten i din klientorganisation.
Undvik att använda ett konto som kräver utökade privilegier via PIM för just-in-time-höjning. Om användaren inte har upphöjts till rätt roll när agenten körs, misslyckas körningen.
Säkerhetsadministratören har som standard åtkomst till Security Copilot. Du kan tilldela administratörer för villkorlig åtkomst med åtkomst till Security Copilot. Den här auktoriseringen ger dina administratörer för villkorsstyrd åtkomst möjlighet att även använda agenten. Mer information finns i Tilldela åtkomst till Security Copilot.
Den användare som godkänner ett förslag om att lägga till användare i en princip blir ägare till en ny grupp som lägger till användarna i en princip.
Granskningsloggarna för åtgärder som vidtas av agenten är associerade med användaren som aktiverade agenten. Du hittar namnet på det konto som startade agenten i avsnittet Identitet och behörigheter i inställningarna.
ServiceNow-integrering (förhandsversion)
Organisationer som använder ServiceNow-plugin-programmet för Security Copilot kan nu låta optimeringsagenten för villkorsstyrd åtkomst skapa ServiceNow-ändringsbegäranden för varje nytt förslag som agenten genererar. På så sätt kan IT- och säkerhetsteam spåra, granska och godkänna eller avvisa agentförslag i befintliga ServiceNow-arbetsflöden. För närvarande stöds endast ändringsbegäranden (CHG).
Om du vill använda ServiceNow-integreringen måste din organisation ha serviceNow-plugin-programmet konfigurerat.
När ServiceNow-plugin-programmet är aktiverat i inställningarna för optimeringsagenten för villkorsstyrd åtkomst skapar varje nytt förslag från agenten en ServiceNow-ändringsbegäran. Ändringsbegäran innehåller information om förslaget, till exempel typen av princip, vilka användare eller grupper som påverkas och logiken bakom rekommendationen. Integreringen ger också en feedbackloop: Agenten övervakar tillståndet för ServiceNow-ändringsbegäran och kan automatiskt implementera ändringen när ändringsbegäran godkänns.
Anpassade instruktioner
Du kan anpassa principen efter dina behov med hjälp av det valfria fältet Anpassade instruktioner . Med den här inställningen kan du ge en prompt till agenten som en del av exekveringsprocessen. Dessa instruktioner kan användas för att:
- Inkludera eller exkludera specifika användare, grupper och roller
- Undanta objekt från att övervägas av agenten eller läggas till i principen för villkorsstyrd åtkomst
- Tillämpa undantag på specifika principer, till exempel att undanta en specifik grupp från en princip, kräva MFA eller kräva hanteringsprinciper för mobilprogram.
Du kan ange antingen namnet eller objekt-ID:t i de anpassade anvisningarna. Båda värdena verifieras. Om du lägger till namnet på gruppen läggs objekt-ID:t för den gruppen automatiskt till för din räkning. Exempel på anpassade instruktioner:
- "Exkludera användare i gruppen "Break Glass" från alla principer som kräver multifaktorautentisering."
- "Undanta användare med objekt-ID dddddddd-3333-4444-5555-eeeeeeeeeeee från alla principer"
Ett vanligt scenario att tänka på är om din organisation har många gästanvändare som du inte vill att agenten ska föreslå att lägga till i dina standardprinciper för villkorsstyrd åtkomst. Om agenten kör och ser nya gästanvändare som inte omfattas av rekommenderade principer, används SKU:er för att föreslå att dessa gästanvändare omfattas av principer som inte är nödvändiga. Så här förhindrar du att gästanvändare övervägs av agenten:
- Skapa en dynamisk grupp med namnet "Gäster" där
(user.userType -eq "guest"). - Lägg till en anpassad instruktion baserat på dina behov.
- "Undanta gruppen Gäster från agentövervägande."
- "Exkludera gruppen Gäster från alla hanteringsprinciper för mobilprogram."
Mer information om hur du använder anpassade instruktioner finns i följande video.
Observera att en del av innehållet i videon, till exempel användargränssnittselementen, kan komma att ändras eftersom agenten uppdateras ofta.
Intune-integrering
Optimeringsagenten för villkorsstyrd åtkomst integreras med Microsoft Intune för att övervaka enhetsefterlevnads- och programskyddsprinciper som konfigurerats i Intune och identifiera potentiella luckor i tillämpningen av villkorsstyrd åtkomst. Den här proaktiva och automatiserade metoden säkerställer att principer för villkorsstyrd åtkomst förblir i linje med organisationens säkerhetsmål och efterlevnadskrav. Agentförslagen är desamma som de andra principförslagen, förutom att Intune tillhandahåller en del av signalen till agenten.
Agentförslag för Intune-scenarier omfattar specifika användargrupper och plattformar (iOS eller Android). Agenten identifierar till exempel en aktiv Intune-appskyddsprincip som riktar sig mot gruppen "Finance", men fastställer att det inte finns någon tillräcklig princip för villkorsstyrd åtkomst som tillämpar appskydd. Agenten skapar en rapportprincip som kräver att användarna endast får åtkomst till resurser via kompatibla program på iOS-enheter.
För att identifiera Intune-enhetsefterlevnad och appskyddsprinciper måste agenten köras med rollerna som Global Administratör eller Villkorsstyrd Åtkomst-administratör OCH Global Läsare. Administratören för villkorsstyrd åtkomst räcker inte för att agenten ska kunna ta fram Intune-förslag.
Ta bort agent
Om du inte längre vill använda optimeringsagenten för villkorsstyrd åtkomst väljer du Ta bort agent överst i agentfönstret. Befintliga data (agentaktivitet, förslag och mått) tas bort, men alla principer som skapas eller uppdateras baserat på agentförslagen förblir intakta. Tidigare tillämpade förslag förblir oförändrade så att du kan fortsätta att använda de principer som skapats eller ändrats av agenten.
Att ge återkoppling
Använd knappen Ge Microsoft feedback överst i agentfönstret för att ge feedback till Microsoft om agenten.
FAQs
När ska jag använda optimeringsagenten för villkorsstyrd åtkomst jämfört med Copilot Chat?
Båda funktionerna ger olika insikter om dina principer för villkorsstyrd åtkomst. Följande tabell innehåller en jämförelse av de två funktionerna:
| Scenario | Agent för optimering av villkorsstyrd åtkomst | Copilotchatt |
|---|---|---|
| Allmänna scenarier | ||
| Använda klientspecifik konfiguration | ✅ | |
| Avancerade resonemang | ✅ | |
| Insikter på begäran | ✅ | |
| Interaktiv felsökning | ✅ | |
| Kontinuerlig principutvärdering | ✅ | |
| Förslag på automatiserad förbättring | ✅ | |
| Få vägledning om bästa praxis och konfiguration för certifikatutfärdare | ✅ | ✅ |
| Specifika scenarier | ||
| Identifiera oskyddade användare eller program proaktivt | ✅ | |
| Framtvinga MFA och andra baslinjekontroller för alla användare | ✅ | |
| Kontinuerlig övervakning och optimering av CA-principer | ✅ | |
| Principändringar med ett klick | ✅ | |
| Granska befintliga CA-principer och tilldelningar (Gäller principer för Alice?) | ✅ | ✅ |
| Felsöka en användares åtkomst (Varför tillfrågades Alice om MFA?) | ✅ |
Jag aktiverade agenten men ser "Misslyckas" i aktivitetsstatusen. Vad händer?
Det är möjligt att agenten har aktiverats med ett konto som kräver rollaktivering med Privileged Identity Management (PIM). Så när agenten försökte köra misslyckades det eftersom kontot inte hade de behörigheter som krävdes vid den tidpunkten. Du uppmanas att autentisera om PIM-behörigheten har upphört att gälla.
Du kan lösa det här problemet genom att ta bort agenten och sedan aktivera agenten igen med ett användarkonto som har stående behörigheter för Åtkomst till Security Copilot. Mer information finns i Tilldela åtkomst till Security Copilot.