Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Agente de Otimização de Acesso Condicional ajuda as organizações a melhorar a sua postura de segurança, analisando políticas de Acesso Condicional para lacunas, sobreposições e exceções. À medida que o Acesso Condicional se torna um componente central da estratégia de Zero Trust de uma organização, as capacidades do agente devem ser configuráveis para responder às necessidades únicas da sua organização.
As definições do agente descritas neste artigo abrangem opções padrão como gatilhos, notificações e âmbito. Mas as definições também incluem opções avançadas como instruções personalizadas, integrações com o Intune e permissões.
Importante
A integração com o ServiceNow e a capacidade de carregamento de ficheiros no Agente de Otimização de Acesso Condicional estão atualmente em PREVIEW. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Como configurar as definições do agente
Você pode acessar as configurações de dois lugares no centro de administração do Microsoft Entra:
- De>Agentes> Configurações.
- Em Acesso Condicional>, selecione o cartão Agente de Otimização de Acesso Condicional em Resumo das Políticas>Definições.
Selecione a categoria no menu do lado esquerdo para navegar por todas as definições. Depois de fazer as alterações, selecione o botão Salvar na parte inferior da página.
Acionador
O agente está configurado para funcionar a cada 24 horas, com base no momento em que foi inicialmente configurado. Podes executar o agente manualmente a qualquer momento.
Capabilities
A categoria Capacidades inclui definições importantes que deve rever.
- Objetos Microsoft Entra a monitorizar: Use as caixas de seleção para especificar o que o agente deve monitorizar ao fazer recomendações de políticas. Por padrão, o agente procura novos usuários e aplicativos em seu locatário durante o período de 24 horas anterior.
- Capacidades do agente: Por defeito, o agente de otimização de Acesso Condicional pode criar novas políticas apenas em modo de relatório. Você pode alterar essa configuração para que um administrador aprove a nova política antes que ela seja criada. A política ainda é criada no modo somente relatório, mas somente após a aprovação do administrador. Depois de analisar o impacto da política, pode ativar a política diretamente da interface do agente ou do Acesso Condicional.
- Implementação faseada: Quando o agente cria uma nova política em modo apenas de relatório e essa política cumpre os critérios para uma implementação faseada, a política é implementada em fases, para que possa monitorizar o efeito da nova política. A distribuição em fases está ativada por padrão. Para mais informações, consulte Implementação Faseada do Agente de Otimização de Acesso Condicional.
Notifications
O agente de otimização de Acesso Condicional pode enviar notificações através do Microsoft Teams para um conjunto selecionado de destinatários. Com o aplicativo do agente de Acesso Condicional no Microsoft Teams, os destinatários recebem notificações diretamente no bate-papo do Teams quando o agente apresenta uma nova sugestão.
Para adicionar o aplicativo agente ao Microsoft Teams:
No Microsoft Teams, selecione Aplicativos no menu de navegação esquerdo e procure e selecione o agente de Acesso Condicional.
Selecione o botão Adicionar e, em seguida, selecione o botão Abrir para abrir a aplicação.
Para facilitar o acesso à aplicação, clique com o botão direito do rato no ícone da aplicação no menu de navegação esquerdo e selecione Pinar.
Para configurar notificações nas configurações do agente de otimização de Acesso Condicional:
Nas configurações do agente de otimização de acesso condicional, selecione o link Selecionar usuários e grupos .
Selecione os utilizadores ou grupos que pretende receber notificações e, em seguida, selecione o botão Selecionar .
Na parte inferior da página principal Configurações , selecione o botão Salvar .
Você pode selecionar até 10 destinatários para receber notificações. Você pode selecionar um grupo para receber as notificações, mas a associação desse grupo não pode exceder 10 usuários. Se você selecionar um grupo com menos de 10 usuários, mas mais forem adicionados posteriormente, o grupo não receberá mais notificações. Da mesma forma, as notificações só podem ser enviadas para cinco objetos, como uma combinação de usuários individuais ou grupos. Para parar de receber notificações, remova o objeto de usuário ou o grupo no qual você está incluído da lista de destinatários.
No momento, a comunicação do agente é unidirecional, por isso pode-se receber notificações, mas não se pode respondê-las no Microsoft Teams. Para agir sobre uma sugestão, selecione Rever sugestão no chat para abrir o Agente de Otimização de Acesso Condicional no centro de administração do Microsoft Entra.
Fontes de conhecimento
O Agente de Otimização de Acesso Condicional pode recorrer a duas fontes de conhecimento diferentes para fazer sugestões adaptadas à configuração única da sua organização.
Instruções personalizadas
Você pode adaptar a política às suas necessidades usando o campo opcional Instruções personalizadas . Essa configuração permite que você forneça um prompt ao agente como parte de sua execução. Estas instruções podem ser utilizadas para:
- Incluir ou excluir usuários, grupos e funções específicos
- Excluir objetos de serem considerados pelo agente ou adicionados à política de Acesso Condicional
- Aplique exceções a políticas específicas, como excluir um grupo específico de uma política, exigir MFA ou exigir políticas de gerenciamento de aplicativos móveis.
Você pode inserir o nome ou o ID do objeto nas instruções personalizadas. Ambos os valores são validados. Se você adicionar o nome do grupo, a ID do objeto para esse grupo será adicionada automaticamente em seu nome. Exemplo de instruções personalizadas:
- Exclua utilizadores no grupo "Break Glass" de qualquer política que exija autenticação multifator.
- "Excluir usuário com ID de objeto dddddddd-3333-4444-5555-eeeeeeeeeeeee de todas as políticas"
Um cenário comum a ser considerado é se sua organização tiver muitos usuários convidados que você não deseja que o agente sugira adicionar às suas políticas padrão de Acesso Condicional. Se o agente for executado e vir novos usuários convidados que não são cobertos pelas políticas recomendadas, as SCUs serão consumidas para sugerir a cobertura desses usuários convidados por políticas que não são necessárias. Para evitar que os usuários convidados sejam considerados pelo agente:
- Crie um grupo dinâmico chamado "Convidados" onde
(user.userType -eq "guest"). - Adicione uma instrução personalizada, com base nas suas necessidades.
- Exclua o grupo "Convidados" da avaliação do agente.
- "Exclua o grupo "Convidados" de quaisquer políticas de gerenciamento de aplicativos móveis."
Para obter mais informações sobre como usar instruções personalizadas, confira o vídeo a seguir.
Algum conteúdo do vídeo, como os elementos da interface do utilizador, está sujeito a alterações à medida que o agente é atualizado frequentemente.
Ficheiros (Pré-visualização)
O Agente de Otimização de Acesso Condicional inclui um mecanismo para fornecer instruções específicas sobre a sua organização. Estas instruções podem incluir informações como convenções de nomenclatura de políticas de Acesso Condicional, procedimentos únicos e estrutura organizacional, tornando as sugestões de agentes ainda mais relevantes para o seu ambiente. Estes ficheiros carregados compõem a base de conhecimento do agente. Para mais informações, consulte a base de conhecimento do Agente de Otimização de Acesso Condicional.
Importante
Os teus dados ficam dentro do agente e não são usados para treino de modelos.
Para adicionar um ficheiro à base de conhecimento:
- Navegue até Agente de Otimização de Acesso Condicional>Definições>Ficheiros.
- Selecione o botão Carregar.
- Arraste e larga o ficheiro no painel que se abre ou seleciona o espaço Upload do ficheiro para navegar até ao ficheiro no teu computador.
O agente processa o ficheiro e analisa-o para garantir que inclui a informação necessária.
Plugins
Para além das integrações integradas com o Intune e o Global Secure Access , o Agente de Otimização de Acesso Condicional também fornece integrações externas para simplificar com os seus fluxos de trabalho existentes.
Integração com ServiceNow (Pré-visualização)
As organizações que usam o plug-in ServiceNow para Security Copilot agora podem fazer com que o agente de otimização de Acesso Condicional crie solicitações de alteração do ServiceNow para cada nova sugestão gerada pelo agente. Esta funcionalidade permite que as equipas de TI e segurança acompanhem, revejam e aprovem ou rejeitem sugestões de agentes dentro dos fluxos de trabalho existentes do ServiceNow. No momento, apenas solicitações de alteração (CHG) são suportadas.
Para usar a integração ServiceNow, sua organização deve ter o plug-in ServiceNow configurado.
Quando o plug-in ServiceNow é ativado nas configurações do agente de otimização de acesso condicional, cada nova sugestão do agente cria uma solicitação de alteração do ServiceNow. A solicitação de alteração inclui detalhes sobre a sugestão, como o tipo de política, os usuários ou grupos afetados e a lógica por trás da recomendação. A integração também fornece um loop de feedback: o agente monitora o estado da solicitação de alteração do ServiceNow e pode implementar automaticamente a alteração quando a solicitação de alteração é aprovada.
Permissions
Esta secção das definições do agente descreve a identidade sob a qual o agente funciona e as permissões que utiliza para operar.
Identidade do agente
O Agente de Otimização de Acesso Condicional suporta agora o Microsoft Entra Agent ID, permitindo que o agente seja executado sob a sua própria identidade em vez da identidade de um utilizador específico. Esta capacidade melhora a segurança, simplifica a gestão e proporciona maior flexibilidade.
Selecione Gerir a identidade do agente para visualizar os detalhes do agente no ID do Agente Microsoft Entra.
- As novas instalações do agente usam por defeito uma identidade de agente.
- As instalações existentes podem mudar do contexto do utilizador para correr sob uma identidade de agente a qualquer momento.
- Esta mudança não afeta os relatórios nem as análises.
- As políticas e recomendações existentes permanecem inalteradas.
- Os clientes não podem voltar ao contexto do utilizador anterior.
- Administradores com o papel de Administrador de Segurança podem fazer esta alteração. Selecione Criar identidade de agente a partir da mensagem banner na página do agente ou da secção Identidade e permissões das definições do agente.
Ativar e usar o Agente de Otimização de Acesso Condicional também requer funções de Copilot de Segurança. O Security Administrator tem acesso ao Security Copilot por padrão. Você pode atribuir Administradores de Acesso Condicional com acesso ao Security Copilot. Esta autorização dá aos seus Administradores de Acesso Condicional a capacidade de usar o agente também. Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.
Permissões do agente
A identidade do agente utiliza as seguintes permissões para executar as suas tarefas. Estas permissões são atribuídas automaticamente quando cria a identidade do agente.
AuditLog.Read.AllCustomSecAttributeAssignment.Read.AllDeviceManagementApps.Read.AllDeviceManagementConfiguration.Read.AllGroupMember.Read.AllLicenseAssignment.Read.AllNetworkAccess.Read.AllPolicy.Create.ConditionalAccessROPolicy.Read.AllRoleManagement.Read.DirectoryUser.Read.All
Utilizadores
O Agente de Otimização de Acesso Condicional utiliza controlo de acesso baseado em funções para utilizar o agente. O papel menos privilegiado necessário para usar o agente é Administrador de Acesso Condicional.