Compartilhar via

Configurações do Agente de Otimização de Acesso Condicional

O Agente de Otimização de Acesso Condicional ajuda as organizações a melhorar sua postura de segurança analisando políticas de Acesso Condicional para lacunas, sobreposição e exceções. À medida que o Acesso Condicional se torna um componente central da estratégia de Confiança Zero de uma organização, os recursos do agente devem ser configuráveis para atender às necessidades exclusivas da sua organização.

As configurações do agente descritas neste artigo abrangem opções padrão, como gatilhos, notificações e escopo. Mas as configurações também incluem opções avançadas, como instruções personalizadas, integrações do Intune e permissões.

Importante

A integração do ServiceNow e a funcionalidade de upload de arquivo no Agente de Otimização de Acesso Condicional estão atualmente em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Como definir as configurações do agente

Você pode acessar as configurações de dois locais no Centro de administração do Microsoft Entra:

  • Das Agentes>Otimização de Acesso Condicional>Configurações.
  • No Acesso Condicional>, selecione o cartão do agente de otimização de acesso condicional em Resumo de política>Configurações.

Captura de tela da opção de gatilho nas configurações do agente de Otimização de Acesso Condicional.

Selecione a categoria no menu esquerdo para navegar por todas as configurações. Depois de fazer alterações, selecione o botão Salvar na parte inferior da página.

Trigger

O agente é configurado para ser executado a cada 24 horas, com base em quando ele foi configurado inicialmente. Você pode executar manualmente o agente a qualquer momento.

Capabilities

A categoria Recursos inclui configurações importantes que você deve examinar.

  • Objetos do Microsoft Entra para monitorar: use as caixas de seleção para especificar o que o agente deve monitorar ao fazer recomendações de política. Por padrão, o agente procura por novos usuários e aplicativos em seu locatário no período de 24 horas anterior.
  • Funcionalidades do agente: por padrão, o agente de otimização de acesso condicional pode criar novas políticas no modo somente relatório. Você pode alterar essa configuração para que um administrador deva aprovar a nova política antes de ser criada. A política ainda é criada no modo somente relatório, mas somente após a aprovação do administrador. Depois de examinar o impacto da política, você pode ativar a política diretamente a partir da interface do agente ou do Acesso Condicional.
  • Distribuição em fases: quando o agente cria uma nova política no modo somente relatório e essa política atende aos critérios de uma distribuição em fases, a política é distribuída em fases, para que você possa monitorar o efeito da nova política. A distribuição em fases está ativada por padrão. Para obter mais informações, consulte Distribuição em fases do Agente de Otimização de Acesso Condicional.

Captura de tela das configurações de funcionalidades do agente de Otimização de Acesso Condicional.

Notifications

O agente de otimização de acesso condicional pode enviar notificações por meio do Microsoft Teams para um conjunto selecionado de destinatários. Com o aplicativo agente de Acesso Condicional no Microsoft Teams, os destinatários recebem notificações diretamente no chat do Teams quando o agente apresenta uma nova sugestão.

Para adicionar o aplicativo agente ao Microsoft Teams:

  1. No Microsoft Teams, selecione Aplicativos no menu de navegação esquerdo e pesquise e selecione o agente de Acesso Condicional.

    Captura de tela do botão de aplicativo acesso condicional no Teams.

  2. Selecione o botão Adicionar e, em seguida, selecione o botão Abrir para abrir o aplicativo.

  3. Para facilitar o acesso ao aplicativo, clique com o botão direito do mouse no ícone do aplicativo no menu de navegação esquerdo e selecione Fixar.

Para configurar notificações nas configurações do agente de otimização de acesso condicional:

  1. Nas configurações do agente de otimização de acesso condicional, selecione o link Selecionar usuários e grupos .

  2. Selecione os usuários ou grupos que você deseja receber notificações e selecione o botão Selecionar.

    Captura de tela da configuração do agente de Acesso Condicional para escolher os usuários e grupos para notificações.

  3. Na parte inferior da página Configurações principal, selecione o botão Salvar .

Você pode selecionar até 10 destinatários para receber notificações. Você pode selecionar um grupo para receber as notificações, mas a associação desse grupo não pode exceder 10 usuários. Se você selecionar um grupo que tenha menos de 10 usuários, mas que mais sejam adicionados posteriormente, o grupo não receberá mais notificações. Da mesma forma, as notificações só podem ser enviadas para cinco objetos, como uma combinação de usuários ou grupos individuais. Para parar de receber notificações, remova o objeto de usuário ou o grupo no qual você está incluído na lista do destinatário.

No momento, a comunicação do agente é uma direção, portanto, você pode receber notificações, mas não pode responder a elas no Microsoft Teams. Para executar uma ação em uma sugestão, selecione Revisar sugestão no chat para abrir o Agente de Otimização de Acesso Condicional no Centro de administração do Microsoft Entra.

Captura de tela da mensagem de notificação do agente de Acesso Condicional no Teams.

Fontes de conhecimento

O Agente de Otimização de Acesso Condicional pode extrair de duas fontes de conhecimento diferentes para fazer sugestões adaptadas à configuração exclusiva da sua organização.

Instruções personalizadas

Você pode adaptar a política às suas necessidades usando o campo Instruções Personalizadas opcionais. Essa configuração permite que você forneça um prompt ao agente como parte de sua execução. Estas instruções podem ser usadas para:

  • Incluir ou excluir usuários, grupos e funções específicos
  • Excluir objetos de serem considerados pelo agente ou adicionados à política de Acesso Condicional
  • Aplique exceções a políticas específicas, como excluir um grupo específico de uma política, exigir MFA ou exigir políticas de gerenciamento de aplicativos móveis.

Você pode inserir o nome ou a ID do objeto nas instruções personalizadas. Ambos os valores são validados. Se você adicionar o nome do grupo, a ID do objeto desse grupo será adicionada automaticamente em seu nome. Exemplo de instruções personalizadas:

  • Exclua os usuários do grupo "Break Glass" de qualquer política que exija autenticação multifator.
  • Excluir usuário com ID de Objeto dddddddd-3333-4444-5555-eeeeeeeeeeee de todas as políticas

Um cenário comum a ser considerado é se sua organização tem muitos usuários convidados que você não deseja que o agente sugira adicionar às suas políticas de Acesso Condicional padrão. Se o agente for executado e vir novos usuários convidados que não são cobertos por políticas recomendadas, as SCUs serão consumidas para sugerir a cobertura desses usuários convidados por políticas que não são necessárias. Para impedir que usuários convidados sejam considerados pelo agente:

  1. Crie um grupo dinâmico chamado "Convidados" em que (user.userType -eq "guest").
  2. Adicione uma instrução personalizada, com base em suas necessidades.
    • "Exclua o grupo "Convidados" da consideração do agente."
    • "Exclua o grupo "Convidados" de quaisquer políticas de gerenciamento de aplicativos móveis."

Para obter mais informações sobre como usar instruções personalizadas, confira o vídeo a seguir.

Parte do conteúdo no vídeo, como os elementos da interface do usuário, está sujeita a alterações, pois o agente é atualizado com frequência.

Arquivos (versão prévia)

O Agente de Otimização de Acesso Condicional inclui um mecanismo para fornecer instruções específicas sobre sua organização. Essas instruções podem incluir informações como convenções de nomenclatura de política de Acesso Condicional, procedimentos exclusivos e estrutura organizacional para que as sugestões do agente sejam ainda mais relevantes para seu ambiente. Esses arquivos carregados compõem a base de dados de conhecimento do agente. Para obter mais informações, consulte a base de dados de conhecimento do Agente de Otimização de Acesso Condicional.

Importante

Seus dados permanecem dentro do agente e não são usados para treinamento de modelo.

Para adicionar um arquivo à base de dados de conhecimento:

  1. Navegue até Agente de Otimização de Acesso Condicional>Configurações>Arquivos.
  2. Selecione o botão Carregar .
  3. Arraste e solte o arquivo no painel que é aberto ou selecione o espaço para carregar arquivo para navegar até o arquivo em seu computador.

O agente processa o arquivo e o analisa para garantir que ele inclua as informações necessárias.

Plugins

Além das integrações internas do Intune e do Acesso Seguro Global , o Agente de Otimização de Acesso Condicional também fornece integrações externas para simplificar com seus fluxos de trabalho existentes.

Integração do ServiceNow (versão prévia)

As organizações que usam o plug-in do ServiceNow para o Security Copilot agora podem fazer com que o agente de otimização de acesso condicional crie solicitações de alteração do ServiceNow para cada nova sugestão gerada pelo agente. Esse recurso permite que as equipes de TI e segurança acompanhem, examinem e aprovem ou rejeitem sugestões de agente nos fluxos de trabalho existentes do ServiceNow. Neste momento, somente solicitações de alteração (CHG) têm suporte.

Para usar a integração do ServiceNow, sua organização deve ter o plug-in do ServiceNow configurado.

Captura de tela das configurações de integração do ServiceNow.

Quando o plug-in do ServiceNow é ativado nas configurações do agente de otimização de acesso condicional, cada nova sugestão do agente cria uma solicitação de alteração do ServiceNow. A solicitação de alteração inclui detalhes sobre a sugestão, como o tipo de política, os usuários ou grupos afetados e a lógica por trás da recomendação. A integração também fornece um ciclo de feedback: o agente monitora o estado da solicitação de mudança do ServiceNow e pode implementar automaticamente a mudança quando a solicitação de mudança é aprovada.

Captura de tela da integração do ServiceNow em uma sugestão de agente.

Permissions

Esta seção das configurações do agente descreve a identidade sob a qual o agente é executado e as permissões que ele usa para operar.

Identidade do agente

O Agente de Otimização de Acesso Condicional agora dá suporte à ID do Agente do Microsoft Entra, permitindo que o agente seja executado sob sua própria identidade, em vez de uma identidade de usuário específica. Essa funcionalidade melhora a segurança, simplifica o gerenciamento e proporciona maior flexibilidade.

Selecione Gerenciar identidade do agente para exibir os detalhes do agente na ID do Agente do Microsoft Entra.

Captura de tela da exibição de configurações do agente para permissões e identidades.png

  • Novas instalações do agente usam padrãomente uma identidade de agente.
  • As instalações existentes podem mudar do contexto do usuário para serem executadas em uma identidade de agente a qualquer momento.
    • Essa alteração não afeta relatórios ou análises.
    • As políticas e recomendações existentes permanecem não afetadas.
    • Os clientes não podem alternar de volta para o contexto do usuário anterior.
    • Administradores com a função Administrador de Segurança podem fazer essa alteração. Selecione Criar identidade do agente a partir da mensagem na faixa na página do agente ou da seção Identidade e permissões das configurações do agente.

Ativar e usar o Agente de Otimização de Acesso Condicional também requer funções do Copiloto de Segurança. O Administrador de Segurança tem acesso ao Security Copilot por padrão. Você pode atribuir administradores de acesso condicional com acesso ao Security Copilot. Essa autorização fornece aos administradores de acesso condicional a capacidade de usar o agente também. Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.

Permissões de agente

A identidade do agente usa as seguintes permissões para executar suas tarefas. Essas permissões são atribuídas automaticamente quando você cria a identidade do agente.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Usuários

O Agente de Otimização de Acesso Condicional usa o controle de acesso baseado em função para usar o agente. A função com menos privilégios necessária para usar o agente é o Administrador de Acesso Condicional.

  • Last updated on