Microsoft Entra Conditional Access Optimization Agent

  • 10 Minuten

Der Optimierungs-Agent für bedingten Zugriff hilft Ihnen, sicherzustellen, dass alle Benutzer durch eine Richtlinie geschützt sind. Es empfiehlt Richtlinien und Änderungen basierend auf bewährten Methoden, die mit Zero Trust und Microsoft Learning abgestimmt sind.

Der Optimierungs-Agent für bedingten Zugriff wertet Richtlinien aus, z. B. die mehrstufige Authentifizierung (MFA). Der Agent erzwingt gerätebasierte Steuerelemente (Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte). Schließlich kann der Agent die Legacy-Authentifizierung und den Gerätecodefluss blockieren.

Der Agent bewertet auch alle vorhandenen aktivierten Richtlinien, um eine potenzielle Konsolidierung ähnlicher Richtlinien vorzuschlagen.

Anforderung zur Verwendung des Optimierungs-Agenten für bedingten Zugriff

  • Sie müssen mindestens über die Microsoft Entra ID P1-Lizenz verfügen.
  • Sie müssen über Security Compute Units (SCU) verfügen.
  • Um den Agent zum ersten Mal zu aktivieren, benötigen Sie den Sicherheitsadministrator oder eine höhere Rolle.
  • Sie können Administratoren für bedingten Zugriff den Zugriff auf Security Copilot zuweisen.
    • Weitere Informationen finden Sie unter Assign Security Copilot access
  • Gerätebasierte Steuerelemente erfordern Microsoft Intune-Lizenzen.

Zentrale Funktionen des Agenten für die Optimierung des bedingten Zugriffs

Der Optimierungs-Agent für bedingten Zugriff überprüft Ihren Mandanten nach neuen Benutzern und Anwendungen und bestimmt, ob Richtlinien für bedingten Zugriff anwendbar sind. Zu den wichtigsten Features gehören:

Merkmal BESCHREIBUNG
MFA erzwingen Der Agent identifiziert Benutzer, die nicht von einer Richtlinie für bedingten Zugriff abgedeckt sind, die MFA erfordert und die Richtlinie aktualisieren kann.
Erforderlich sind gerätebasierte Steuerelemente Der Agent kann gerätebasierte Steuerelemente erzwingen, z. B. Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte.
Blockieren älterer Authentifizierungsmethoden Benutzerkonten mit älteren Authentifizierungen werden daran gehindert, sich anzumelden.
Richtlinienkonsolidierung Der Agent überprüft Ihre Richtlinie und identifiziert überlappende Einstellungen. Wenn Sie beispielsweise mehr als eine Richtlinie haben, die dieselben Zugriffsrechte steuert, schlägt der Agent vor, diese Richtlinien zu einer einzigen zu konsolidieren.
Blockieren des Gerätecodeflusses Der Agent sucht nach einer Richtlinie, die die Gerätecodeflussauthentifizierung blockiert.
Korrektur mit nur einem Klick Wenn der Agent einen Vorschlag identifiziert, können Sie "Vorschlag anwenden" auswählen, damit der Agent die zugeordnete Richtlinie mit einem Klick auf eine Schaltfläche aktualisiert.

Probieren Sie den Optimierungs-Agent für bedingten Zugriff aus

In dieser Übung erkunden Sie wichtige Funktionen im Security Copilot Conditional Access Optimization Agent, der in Microsoft Entra eingebettet ist.

Bedenken Sie bei der Erkundung, dass die angezeigten Informationen und die Konfigurationseinstellungen für den aktuell angemeldeten Sicherheitsadministrator gelten, sofern nicht anders angegeben.

Hinweis

Die Umgebung für diese Übung ist eine Simulation, die aus dem Produkt generiert wird. Als eingeschränkte Simulation werden nicht alle Links auf einer Seite aktiviert, und textbasierte Eingaben, die außerhalb des angegebenen Skripts liegen, werden nicht unterstützt. Ein Popup mit der Meldung "Dieses Feature ist in der Simulation nicht verfügbar" wird angezeigt. Wenn Sie diese Nachricht erhalten, wählen Sie "OK" aus, und fahren Sie mit den Übungsschritten fort.

Screenshot des Popupbildschirms, der angibt, dass dieses Feature in der Simulation nicht verfügbar ist.

Übung

Diese Übung sollte ungefähr 10 Minuten dauern, bis zum Abschluss.

Hinweis

Wenn Sie durch eine Labanweisung dazu aufgefordert werden, einen Link zur simulierten Umgebung zu öffnen, wird empfohlen, den Link in einem neuen Browserfenster zu öffnen, damit Sie gleichzeitig die Anweisungen und die Übungsumgebung anzeigen können. Wählen Sie dazu die rechte Maustaste und dann die Option aus.

  1. Öffnen https://Entra.Microsoft.com (Simulation) mit mindestens der Rolle "Sicherheitsadministrator".

Es gibt zwei Möglichkeiten, den Bildschirm "Security Copilot Agents" zu starten:

  • Option-1: Wählen Sie die Try Security Copilot Agents kostenlos für 60 Tage aus
  • Option-2: Öffnen sie den bedingten Zugriff über das Menü auf der linken Seite. Wählen Sie dann den Agent für die Optimierung des bedingten Zugriffs aus.

Bitte können Sie eine der beiden Optionen verwenden, um den Agent zu starten, aber denken Sie daran, dass beide Optionen verfügbar sind.

Option-1:

  1. Wählen Sie die Schaltfläche "Kostenlose 60 Tage Testversion" aus.
  2. Wählen Sie " Details anzeigen" auf der Seite aus:

Option-2:

  1. Öffnen Sie das Element für bedingten Zugriff im linken Menü.
  2. Wählen Sie auf der Registerkarte " Übersicht " den Agent für die Optimierung des bedingten Zugriffs aus.

Untersuchung des Bedingten Zugriffs-Agenten

  1. Überprüfen Sie die Registerkarte "Übersicht ".
  • Agent ist aktiv – Beachten Sie, wann der Agent zuletzt ausgeführt wurde, und den bevorstehenden Zeitplan.
  • Leistungshighlights – Überprüfen Sie die Kosten in Security Compute Units (SCUs) für den Agent. Erfahren Sie, wie viele nicht geschützte Benutzer der Agent identifiziert hat, die geschützt werden müssen.
  • Über diesen Agent – schnelle Beschreibung des Agenten und dessen Funktionsweise.
  • Aktuelle Vorschläge – Überprüfen Sie alle vorhandenen Richtlinien für bedingten Zugriff und Vorschläge, wie sie zusammengeführt, aktualisiert, entfernt oder erweitert werden können.
  • Letzte Aktivität – Status der letzten Versuche des Conditional Access Optimization Agents und der Ergebnisse.

  1. Wählen Sie den Link "Ansicht ausführen " im Feld "Agent ist aktiv" aus .

  2. Überprüfen Sie den Prozessablauf des Agents und sehen Sie, welche neuen Informationen seit dem letzten Abschluss erkannt wurden.

  • Beachten Sie, dass nach drei allgemeinen Optimierungen für Zugriffsrechte gesucht wird:
    • App/Anwendungs-Dift – Neue Anwendungen wurden bereitgestellt und müssen geschützt werden.
    • Benutzer-Drift – Neue Benutzende wurden gefunden oder Benutzerrechte wurden geändert, die nicht mehr durch die Richtlinie geschützt sind.
    • Richtlinienzusammenführung – Orte, an denen 2 oder mehr Richtlinien zusammengeführt werden können, um dasselbe Ergebnis mit einfacherer Verwaltung bereitzustellen.

  1. Wählen Sie den Breadcrumb Conditional Access Optimization Agent aus, um zur Übersicht zurückzukehren.

  2. Wählen Sie im oberen Menü die Registerkarte "Aktivitäten" aus. Überprüfen Sie den Verlauf, wann der Agent für die Optimierung des bedingten Zugriffs ausgeführt wurde, und die Ergebnisse.

  3. Wählen Sie mehrere verschiedene Schaltflächen "Aktivität anzeigen" aus, um den Fortschritt des Agenten für die Optimierung des bedingten Zugriffs anzuzeigen, während er in jedem 24-Stunden-Zeitraum ausgeführt wird.

  4. Öffnen Sie das zweite Element in der Liste. Beachten Sie, dass vier neue Anwendungen gefunden wurden, und es werden im Laufe der Zeit Richtlinienänderungen empfohlen.

  5. Verwenden Sie die Breadcrumbs, um zur Seite "Übersicht" zurückzukehren.

  6. Wählen Sie im Registerkartenmenü die Option Vorschläge aus.

  7. Erkunden Sie den Vorschlagsverlauf. Sie haben ein Element für jeden Tag, an dem der Agent ausgeführt wurde.

  8. Wählen Sie die Schaltfläche " Vorschlag überprüfen " für das erste Element aus.

  9. Beachten Sie, dass die Richtlinie 2 Benutzer zu einer vorhandenen Richtlinie für bedingten Zugriff hinzufügen möchte. Ziel ist es, Benutzende zur Richtlinie „CA99 – Mindern Sie das Risiko für Benutzende mit der Kennwortzurücksetzung“ hinzuzufügen.

  10. Wählen Sie oben auf der Seite die Registerkarte " Richtlinienwirkung " aus, um ein Diagramm dieser Richtlinienänderung im Laufe der Zeit anzuzeigen.

  11. Wechseln Sie zurück zur Registerkarte " Richtliniendetails ", und wählen Sie dann die Änderungen der Überprüfungsrichtlinie aus, um die vorgeschlagenen Änderungen und das json-Update anzuzeigen, das vorgenommen werden soll.

  12. Verwenden Sie die Schaltfläche " Browser zurück ", um zur Seite "Übersicht" zurückzukehren.

  13. Wählen Sie im Menü "Vorschläge" aus.

  14. Wählen Sie das X oben rechts auf dem Bildschirm aus, um das Dialogfeld zu schließen.

Erkunden von Optimierungsagenten für bedingten Zugriff in CA-Policies

  1. Öffnen Sie den bedingten Zugriff über das Menü auf der linken Seite.

  2. Wählen Sie "Richtlinien" im Menü "Bedingter Zugriff" aus.

  3. Überprüfen Sie die Liste der Richtlinien, es sollten drei Typen angezeigt werden:

  • Microsoft – globale Richtlinien, die von Microsoft gesendet werden, wie z. B. die Anforderung der Multifaktor-Authentifizierung (MFA).
  • Benutzer – Richtlinien für bedingten Zugriff, die von einem autorisierten Benutzer in Ihrer Organisation erstellt wurden.
  • Conditional Access Optimization Agent – Melden Sie nur Richtlinien, die vom Agent für Ihre Überprüfung erstellt wurden. Sie können sie je nach Geschäfts- und Sicherheitszielen anwenden.

  1. Scrollen Sie nach unten in der Liste, um die zuvor überprüfte CA99-Richtlinie zu finden.

  2. Wählen Sie das Element "Neuer Agent-Vorschlag" aus .

  3. Bei vier Gelegenheiten hat der Agent für die Optimierung des bedingten Zugriffs einen neuen Benutzer gefunden und verfügt über einen Vorschlag "Anwenden " für jeden.

  4. Lesen Sie die Beschreibung, was der Vorschlag tun wird.

  5. Wählen Sie die Schaltfläche " Vorschlag übernehmen " aus.

Ergebnis – Der Agent überwacht Ihre Benutzer jeden Tag und fand benutzer, die nicht durch riskante Benutzerrichtlinien geschützt wurden. Sie haben vorgeschlagen, Ihre Richtlinie so zu aktualisieren, dass sie die neuen Benutzer enthält, und Sie erhalten eine Schaltfläche, um die Änderung vorzunehmen. In einer Schaltfläche haben Sie den Schutz für die Benutzer hinzugefügt.

  1. Beenden Sie Microsoft Entra, um die Simulation abzuschließen.