Dela via

Inställningar för optimeringsagent för villkorsstyrd åtkomst

Optimeringsagenten för villkorsstyrd åtkomst hjälper organisationer att förbättra sin säkerhetsstatus genom att analysera principer för villkorsstyrd åtkomst för luckor, överlappningar och undantag. Eftersom villkorsstyrd åtkomst blir en central komponent i organisationens Noll förtroende-strategi måste agentens funktioner vara konfigurerbara för att uppfylla organisationens unika behov.

Agentinställningarna som beskrivs i den här artikeln beskriver standardalternativ som utlösare, meddelanden och omfång. Men inställningarna innehåller även avancerade alternativ som anpassade instruktioner, Intune-integreringar och behörigheter.

Viktigt!

ServiceNow-integreringen och filuppladdningsfunktionen i optimeringsagenten för villkorsstyrd åtkomst finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Så här konfigurerar du agentinställningar

Du kan komma åt inställningarna från två platser i administrationscentret för Microsoft Entra:

  • Från Agent>Agent för optimering av villkorsstyrd åtkomst>Inställningar.
  • Från Villkorlig åtkomst> väljer du agentkortet för optimering av villkorsstyrd åtkomst underPrincipsammanfattningsinställningar>.

Skärmbild av utlösaralternativet i agentinställningarna för optimering av villkorsstyrd åtkomst.

Välj kategorin på menyn till vänster för att navigera genom alla inställningar. När du har gjort några ändringar väljer du knappen Spara längst ned på sidan.

Trigger

Agenten är konfigurerad att köras var 24:e timme, baserat på när den ursprungligen konfigurerades. Du kan när som helst köra agenten manuellt.

Capabilities

Kategorin Funktioner innehåller viktiga inställningar som du bör granska.

  • Microsoft Entra-objekt att övervaka: Använd kryssrutorna för att ange vad agenten ska övervaka när du gör principrekommendationer. Som standard söker agenten efter både nya användare och program i klientorganisationen under den senaste 24-timmarsperioden.
  • Agentfunktioner: Som standard kan optimeringsagenten för villkorsstyrd åtkomst skapa nya principer i rapportläge. Du kan ändra den här inställningen så att en administratör måste godkänna den nya principen innan den skapas. Policyn skapas fortfarande endast i rapportläge, men först efter godkännande av administratören. När du har granskat princippåverkan kan du aktivera principen direkt från agentupplevelsen eller från villkorsstyrd åtkomst.
  • Stegvis distribution: När agenten skapar en ny princip i rapportläge och principen uppfyller kriterierna för en stegvis distribution distribueras principen i faser, så att du kan övervaka effekten av den nya principen. Stegvis distribution är aktiverat som standard. Mer information finns i Stegvis distribution av agenten för optimering av villkorsstyrd åtkomst.

Skärmbild av inställningarna för optimering av agenten för villkorsstyrd åtkomst.

Notifications

Optimeringsagenten för villkorsstyrd åtkomst kan skicka meddelanden via Microsoft Teams till en utvald uppsättning mottagare. Med agentappen för villkorsstyrd åtkomst i Microsoft Teams får mottagarna meddelanden direkt i teams-chatten när agenten lägger fram ett nytt förslag.

Så här lägger du till agentappen i Microsoft Teams:

  1. I Microsoft Teams väljer du Appar på den vänstra navigeringsmenyn och söker efter och väljer agenten för villkorsstyrd åtkomst.

    Skärmbild av knappen För villkorlig åtkomst-app i Teams.

  2. Välj knappen Lägg till och välj sedan knappen Öppna för att öppna appen.

  3. Om du vill göra det enklare att komma åt appen högerklickar du på appikonen i den vänstra navigeringsmenyn och väljer Fäst.

Så här konfigurerar du meddelanden i optimeringsagentinställningarna för villkorsstyrd åtkomst:

  1. I inställningarna för optimeringsagenten för villkorsstyrd åtkomst väljer du länken Välj användare och grupper .

  2. Välj de användare eller grupper som du vill ta emot meddelanden och välj sedan knappen Välj .

    Skärmbild av agentinställningen för villkorsstyrd åtkomst för att välja användare och grupper för meddelanden.

  3. Längst ned på sidan Inställningar väljer du knappen Spara .

Du kan välja upp till 10 mottagare för att ta emot meddelanden. Du kan välja en grupp för att ta emot meddelandena, men medlemskapet i den gruppen får inte överstiga 10 användare. Om du väljer en grupp som har färre än 10 användare men fler läggs till senare får gruppen inte längre meddelanden. På samma sätt kan meddelandena bara skickas till fem objekt, till exempel en kombination av enskilda användare eller grupper. Om du vill sluta ta emot meddelanden tar du bort ditt användarobjekt eller den grupp som du ingår i från mottagarens lista.

För närvarande är agentens kommunikation en riktning, så du kan ta emot meddelanden men inte svara på dem i Microsoft Teams. Om du vill vidta åtgärder på ett förslag väljer du Granska förslag från chatten för att öppna agenten för optimering av villkorsstyrd åtkomst i administrationscentret för Microsoft Entra.

Skärmbild av meddelandemeddelandet för agenten för villkorsstyrd åtkomst i Teams.

Kunskapskällor

Optimeringsagenten för villkorsstyrd åtkomst kan hämta från två olika kunskapskällor för att komma med förslag som är skräddarsydda för din organisations unika konfiguration.

Anpassade instruktioner

Du kan anpassa principen efter dina behov med hjälp av det valfria fältet Anpassade instruktioner . Med den här inställningen kan du ge en prompt till agenten som en del av exekveringsprocessen. Dessa instruktioner kan användas för att:

  • Inkludera eller exkludera specifika användare, grupper och roller
  • Undanta objekt från att övervägas av agenten eller läggas till i principen för villkorsstyrd åtkomst
  • Tillämpa undantag på specifika principer, till exempel att undanta en specifik grupp från en princip, kräva MFA eller kräva hanteringsprinciper för mobilprogram.

Du kan ange antingen namnet eller objekt-ID:t i de anpassade anvisningarna. Båda värdena verifieras. Om du lägger till namnet på gruppen läggs objekt-ID:t för den gruppen automatiskt till för din räkning. Exempel på anpassade instruktioner:

  • "Exkludera användare i gruppen "Break Glass" från alla principer som kräver multifaktorautentisering."
  • "Undanta användare med objekt-ID dddddddd-3333-4444-5555-eeeeeeeeeeee från alla principer"

Ett vanligt scenario att tänka på är om din organisation har många gästanvändare som du inte vill att agenten ska föreslå att lägga till i dina standardprinciper för villkorsstyrd åtkomst. Om agenten kör och ser nya gästanvändare som inte omfattas av rekommenderade principer, används SKU:er för att föreslå att dessa gästanvändare omfattas av principer som inte är nödvändiga. Så här förhindrar du att gästanvändare övervägs av agenten:

  1. Skapa en dynamisk grupp med namnet "Gäster" där (user.userType -eq "guest").
  2. Lägg till en anpassad instruktion baserat på dina behov.
    • "Undanta gruppen Gäster från agentövervägande."
    • "Exkludera gruppen Gäster från alla hanteringsprinciper för mobilprogram."

Mer information om hur du använder anpassade instruktioner finns i följande video.

En del av innehållet i videon, till exempel användargränssnittselementen, kan komma att ändras eftersom agenten uppdateras ofta.

Filer (förhandsversion)

Optimeringsagenten för villkorsstyrd åtkomst innehåller en mekanism för att ge specifika instruktioner om din organisation. De här instruktionerna kan innehålla information som namngivningskonventioner för principer för villkorsstyrd åtkomst, unika procedurer och organisationsstruktur så att agentförslagen är ännu mer relevanta för din miljö. Dessa uppladdade filer utgör kunskapsbasen för agenten. Mer information finns i kunskapsbasen för optimering av agenten för villkorsstyrd åtkomst.

Viktigt!

Dina data finns kvar i agenten och används inte för modellträning.

Så här lägger du till en fil i kunskapsbasen:

  1. Bläddra till Optimeringsagent för villkorsstyrd åtkomst>Inställningar>Filer.
  2. Välj knappen Ladda upp.
  3. Dra och släpp antingen filen i panelen som öppnas eller välj filutrymmet Ladda upp för att navigera till filen på datorn.

Agenten bearbetar filen och analyserar den för att säkerställa att den innehåller nödvändig information.

Tillägg

Förutom inbyggda integreringar i Intune och Global Secure Access tillhandahåller agenten för optimering av villkorsstyrd åtkomst även externa integreringar för att effektivisera med dina befintliga arbetsflöden.

ServiceNow-integrering (förhandsversion)

Organisationer som använder ServiceNow-plugin-programmet för Security Copilot kan nu låta optimeringsagenten för villkorsstyrd åtkomst skapa ServiceNow-ändringsbegäranden för varje nytt förslag som agenten genererar. Med den här funktionen kan IT- och säkerhetsteam spåra, granska och godkänna eller avvisa agentförslag i befintliga ServiceNow-arbetsflöden. För närvarande stöds endast ändringsbegäranden (CHG).

Om du vill använda ServiceNow-integreringen måste din organisation ha serviceNow-plugin-programmet konfigurerat.

Skärmbild av ServiceNow-integreringsinställningarna.

När ServiceNow-plugin-programmet är aktiverat i inställningarna för optimeringsagenten för villkorsstyrd åtkomst skapar varje nytt förslag från agenten en ServiceNow-ändringsbegäran. Ändringsbegäran innehåller information om förslaget, till exempel typen av princip, vilka användare eller grupper som påverkas och logiken bakom rekommendationen. Integreringen ger också en feedbackloop: Agenten övervakar tillståndet för ServiceNow-ändringsbegäran och kan automatiskt implementera ändringen när ändringsbegäran godkänns.

Skärmbild av ServiceNow-integreringen i ett agentförslag.

Permissions

I det här avsnittet av agentinställningarna beskrivs identiteten under vilken agenten körs och de behörigheter som används för att fungera.

Agentidentitet

Optimeringsagenten för villkorsstyrd åtkomst stöder nu Microsoft Entra-agent-ID så att agenten kan köras under sin egen identitet i stället för en specifik användares identitet. Den här funktionen förbättrar säkerheten, förenklar hanteringen och ger större flexibilitet.

Välj Hantera agentidentitet för att visa agentinformationen i Microsoft Entra-agent-ID.

Skärmbild av agentinställningarna för behörigheter och identiteter.png

  • Nya installationer av agenten använder som standard en agentidentitet.
  • Befintliga installationer kan växla från användarkontexten för att köras under en agentidentitet när som helst.
    • Den här ändringen påverkar inte rapportering eller analys.
    • Befintliga principer och rekommendationer påverkas inte.
    • Kunder kan inte växla tillbaka till den tidigare användarkontexten.
    • Administratörer med rollen Säkerhetsadministratör kan göra den här ändringen. Välj Skapa agentidentitet från antingen banderollsmeddelandet på agentsidan eller avsnittet Identitet och behörigheter i agentinställningarna.

För att aktivera och använda optimeringsagenten för villkorsstyrd åtkomst krävs även Security Copilot-roller. Säkerhetsadministratören har som standard åtkomst till Security Copilot. Du kan tilldela administratörer för villkorlig åtkomst med åtkomst till Security Copilot. Den här auktoriseringen ger dina administratörer för villkorsstyrd åtkomst möjlighet att även använda agenten. Mer information finns i Tilldela åtkomst till Security Copilot.

Agentbehörigheter

Agentidentiteten använder följande behörigheter för att utföra sina uppgifter. Dessa behörigheter tilldelas automatiskt när du skapar agentidentiteten.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

Optimeringsagenten för villkorsstyrd åtkomst använder rollbaserad åtkomstkontroll för att använda agenten. Den minst privilegierade roll som krävs för att använda agenten är administratör för villkorsstyrd åtkomst.

  • Last updated on