通过

如何查看和应用来自条件访问优化代理的建议

Microsoft Entra 条件访问优化代理提供创建或更新条件访问策略的建议,并为与这些策略相关的活动创建报告。 建议内容根据代理发现的情况有所不同 作为管理员,你需要查看建议并决定该怎么做。

本文概述了建议和报表背后的逻辑,以及如何查看和处理这些建议。

先决条件

局限性

  • 避免使用帐户设置需要通过 Privileged Identity Management (PIM) 进行角色激活的代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
  • 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
  • 对于策略合并,每个代理仅查看四组类似的策略对。
  • 当前,代理以启用它的用户身份运行。
  • 建议从 Microsoft Entra 管理中心运行代理。
  • 扫描的时间限制为 24 小时。
  • 无法自定义或替代代理的建议。
  • 代理可以在一次运行中最多查看 150 个用户和 100 个应用程序。

工作原理

代理可以运行并:

  • 不识别任何未受保护的用户或建议进行任何更改
  • 在仅报告模式下创建新的条件访问策略
  • 建议修改现有策略
  • 建议合并重叠策略
  • 识别与现有策略相关的活动的峰值或下降

我们希望尽可能多地提供有关用于标识建议的逻辑的信息,因为条件访问策略可能很复杂。 对于每个建议,代理都提供详细的推理、策略影响摘要和策略的详细信息。 最佳做法是,在将建议或更改仅报告策略应用于活动策略之前,请查看提供的信息。

查看建议和代理逻辑

选择 “查看建议 ”以查看建议的彻底概述,包括用于识别建议的逻辑以及策略的潜在影响。 策略建议详细信息中的可用选项因建议类型而异。 例如,新的策略建议包括 “启用策略 ”按钮,而修改现有策略的建议包括 “添加帐户 ”按钮,用于添加要从策略中排除的用户或组。

策略详细信息

建议的默认视图提供策略详情,顶部是简要描述,随后是构成该策略的详细内容

打开策略建议详细信息的代理的屏幕截图。

在此视图中,你可以做出有关建议的决定,包括:

  • 在仅报告模式下启用新策略
  • 对现有策略应用更改
  • 将建议标记为已审阅
  • 推迟建议 14 天
  • 添加建议的说明以供其他管理员审阅

还可以从此页面编辑、复制或下载策略。 策略建议详细信息页是详细的,并提供做出有关建议的明智决策所需的每个选项。 但是,如果需要更多信息,还可以查看策略影响,并查看有关代理活动的详细信息。

策略影响

在打开的详细信息面板中,选择 “策略影响 ”以查看策略的潜在影响的可视化效果。

根据需要调整筛选器和显示。 选择图形上的点以查看策略影响的数据示例。 例如,对于要求多重身份验证的策略(MFA),该图显示了未应用条件访问策略的登录事件示例。 有关详细信息,请参阅 策略影响

查看代理的完整活动

若要查看代理活动的详细摘要及其计算建议的方式,请选择 “查看代理的完整活动”。 代理的活动评估用户和应用的策略覆盖范围中的策略偏差或差距。 代理还会查找可以合并或整合的策略。

代理活动映射的屏幕截图,其中突出显示了可单击的用户列表选项。

如果策略建议包括将特定用户或应用程序添加到策略,则可以直接从地图查看应用程序或用户列表。 例如,在以下示例中,你将选择 8 个用户 链接,以查看代理标识为未包含在策略中的 8 个用户。

代理活动映射的屏幕截图。

代理活动的摘要是地图中说明的活动的自然语言说明。 这些详细信息可帮助你了解建议背后的逻辑,以便就是否应用建议做出明智的决策。

查看策略更改

如果代理建议修改现有策略,请选择“ 查看策略更改 ”以查看建议更改的详细信息。 此页面列出了应用建议时将更改的策略的用户、目标资源和其他详细信息。

  • 策略详细信息作为所有更改的详细信息列表和整个策略的 JSON 视图提供,其中突出显示了更改。
  • 对于影响用户或应用程序的策略更改,可以下载受策略更改影响的用户和应用程序的 JSON 文件。

深度分析

深度分析对条件访问策略进行深入审查,涵盖阻止旧式身份验证、阻止设备控制流程,以及需要设备或 MFA 控制的策略等方案。 它会评估目标用户、组和角色,以确定覆盖差距、重叠或冗余策略以及整合机会。 它还会分析排除策略,标记那些排除大部分用户的策略,并建议显式排除紧急访问帐户,以减少意外锁定的风险。

由于通过深入分析的策略建议可能对环境产生重大影响,请考虑使用“推迟”选项,让你在应用建议之前及时调查建议,并对策略进行任何所需的更改。 还可以添加有关可保存供其他管理员查看的建议的注释。 如果选择推迟建议,则会在 14 天后重新出现在列表中,笔记保持不变。

使用深入分析创建的建议的屏幕截图,其中突出显示了暂停和备注按钮。

采纳建议

应用建议的体验取决于代理是在仅报告模式下创建新策略还是建议修改现有策略。

修改现有策略

代理可以建议修改现有策略或合并重叠策略。 查看策略更改的详细信息和影响后,可以将建议应用于策略。

  • “策略详细信息 ”页中,选择 “应用建议 ”以将更改应用于策略。

“修改策略详细信息”页的屏幕截图,其中突出显示了“应用建议”按钮。

  • “审阅策略更改 ”页中,还可以从页面底部选择 “批准建议的更改 ”。

“审阅策略”页的屏幕截图,其中突出显示了“批准建议的更改”按钮。

启用新策略

当代理建议新策略时,它会在仅报告模式下创建策略。 查看策略影响后,可以直接从代理体验或条件访问策略列表中打开策略。

  • 选择 “启用策略 ”,让代理 在仅报告模式下对策略应用更改。

策略详细信息的屏幕截图,其中突出显示了“启用策略”按钮。

  • 在“条件访问”中选择策略,然后将“启用策略”切换从“仅报告”改为“启用

条件访问中仅报告模式切换的屏幕截图。

小窍门

最佳做法是,组织应将其不受限帐户排除在策略之外,以避免因配置不当而被锁定。

警告

仅报告模式下要求合规设备的策略可能会提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可能会重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除设备平台 Mac、iOS 和 Android。

查看策略报告

条件访问优化代理还会检测与现有策略相关的活动的峰值和下降。 这些异常通常表示需要调查的策略配置错误。 如果代理识别到活动的显著变化,建议列表中会显示一份报告。 报告适用于代理建议启用的活动策略和仅限报告的策略。 在 代理执行的操作 列中,你将看到 “建议的策略评审” 作为值。

重要

条件访问优化代理中的策略报告目前为预览版。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

若要查看策略评审报告,请执行以下步骤:

  1. 选择 “审阅建议 ”以查看建议的策略评审的详细信息。

  2. 在“策略详细信息”页上,选择“ 查看报表”。 将显示一份详细报表,其中包含策略相关活动的可视化内容。

    报表的策略详细信息的屏幕截图,其中突出显示了“审阅报表”按钮。

  3. 查看报告并根据需要调查策略。

  4. 在“策略详细信息”页中,选择 “将建议标记为已审阅 ”或“ 推迟”14 天。 (可选)可以添加有关所学内容的说明以及对相关策略所做的任何更改。