Agent optimalizace podmíněného přístupu Microsoft Entra

Agent optimalizace podmíněného přístupu pomáhá zajistit, aby všichni uživatelé, aplikace a identity agentů byly chráněné zásadami podmíněného přístupu. Agent může doporučit nové zásady a aktualizovat stávající zásady na základě osvědčených postupů v souladu s nulovou důvěryhodností a učením Microsoftu. Agent také vytvoří sestavy kontroly zásad (Preview), které poskytují přehled o špičkách nebo poklesech, které můžou značit chybnou konfiguraci zásad.

Agent optimalizace podmíněného přístupu vyhodnocuje zásady, jako je vyžadování vícefaktorového ověřování (MFA), vynucování ovládacích prvků na základě zařízení (dodržování předpisů zařízením, zásady ochrany aplikací a zařízení připojená k doméně) a blokování starší verze ověřování a toku kódu zařízení. Agent také vyhodnotí všechny existující povolené zásady a navrhne potenciální konsolidaci podobných zásad. Když agent identifikuje návrh, můžete nechat agenta aktualizovat přidružené zásady jedním kliknutím.

Důležité

Integrace ServiceNow a Microsoft Teams v agentu optimalizace podmíněného přístupu jsou aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.

Požadavky

• Musíte mít aspoň licenci Microsoft Entra ID P1 .
• Musíte mít dostupné výpočetní jednotky zabezpečení (SCU).
  • V průměru každé spuštění agenta spotřebovává méně než jednu SCU.
• Musíte mít odpovídající roli Microsoft Entra.
  • K prvnímu aktivaci agenta se vyžaduje správce zabezpečení.
  • Role Čtenář zabezpečení a Globální čtenář mohou zobrazit agenta a jakékoli návrhy, ale nemůžou provádět žádné akce.
  • Role Správce podmíněného přístupu a Správce zabezpečení můžou zobrazit agenta a provádět akce s návrhy.
  • Správcům podmíněného přístupu můžete přiřadit přístup k aplikaci Security Copilot, což jim umožní využívat agenta.
  • Další informace naleznete v tématu Přiřazení přístupu do Security Copilot.
• Ovládací prvky založené na zařízení vyžadují licence Microsoft Intune.
• Zkontrolujte ochranu osobních údajů a zabezpečení dat ve službě Microsoft Security Copilot.

Omezení

• Vyhněte se použití účtu k nastavení agenta, který vyžaduje aktivaci role pomocí privileged Identity Management (PIM). Použití účtu, který nemá aktuální oprávnění, může vést k selhání autentizace agenta.
• Po spuštění agentů není možné je zastavit ani pozastavit. Spuštění může trvat několik minut.
• V případě konsolidace zásad se každé spuštění agenta podívá jenom na čtyři podobné páry zásad.
• Doporučujeme spustit agenta z Centra pro správu Microsoft Entra.
• Skenování je omezené na 24hodinovou dobu.
• Návrhy od agenta není možné přizpůsobit ani přepsat.
• Agent může v jednom spuštění zkontrolovat až 300 uživatelů a 150 aplikací.

Jak to funguje

Agent optimalizace podmíněného přístupu zkontroluje vašeho tenanta nové uživatele, aplikace a identity agentů za posledních 24 hodin a určí, jestli jsou k dispozici zásady podmíněného přístupu. Pokud agent najde uživatele, aplikace nebo identity agenta, které nejsou chráněné zásadami podmíněného přístupu, nabídne navrhované další kroky, jako je zapnutí nebo úprava zásad podmíněného přístupu. Můžete si projít návrh, zjistit, jak agent řešení identifikoval a co by se zahrnulo do zásad.

Kdykoli se agent spustí, provede následující kroky. Tyto kroky počáteční kontroly nevyužívají žádné SCU.

1. Agent prohledá všechny zásady podmíněného přístupu ve vašem tenantovi.
2. Agent kontroluje mezery v zásadách a pokud lze některé zásady zkombinovat.
3. Agent zkontroluje předchozí návrhy, aby znovu nenavrhl stejné zásady.

Pokud agent identifikuje něco, co se dříve nenavrhovalo, provede následující kroky. Tyto kroky akcí agenta spotřebovávají SCUs.

1. Agent identifikuje mezeru v zásadách nebo dvojici zásad, které je možné konsolidovat.
2. Agent vyhodnotí všechny vlastní pokyny, které jste zadali.
3. Agent vytvoří novou zásadu v režimu pouze pro sestavy nebo poskytne návrh na úpravu zásady, včetně veškeré logiky obsažené v uživatelských instrukcích.

Poznámka:

Funkce Security Copilot vyžaduje, aby se ve vašem tenantovi zřídila alespoň jedna SCU, ale SCU se účtuje každý měsíc, i když žádné SCU nevyužijete. Vypnutím agenta nezastavíte měsíční fakturaci pro SCU.

Mezi návrhy zásad identifikovaných agentem patří:

• Vyžadovat vícefaktorové ověřování: Agent identifikuje uživatele, kteří nejsou pokryti zásadami podmíněného přístupu, které vyžadují vícefaktorové ověřování a můžou zásady aktualizovat.
• Vyžadovat ovládací prvky založené na zařízeních: Agent může vynutit ovládací prvky založené na zařízeních, jako je dodržování předpisů zařízením, zásady ochrany aplikací a zařízení připojená k doméně.
• Blokovat starší ověřování: Přihlášení uživatelským účtům se starší verzí ověřování se zablokuje.
• Blokovat tok kódu zařízení: Agent hledá zásady blokující ověřování toku kódu zařízení.
• Rizikoví uživatelé: Agent navrhuje zásadu, která vyžaduje bezpečnou změnu hesla pro vysoce rizikové uživatele. Vyžaduje licenci Microsoft Entra ID P2.
• Riziková přihlášení: Agent navrhuje zásadu, která vyžaduje vícefaktorové ověřování pro přihlášení s vysokým rizikem. Vyžaduje licenci Microsoft Entra ID P2.
• Rizikoví agenti: Agent navrhuje zásadu, která zablokuje ověřování u vysoce rizikových přihlášení. Vyžaduje licenci Microsoft Entra ID P2.
• Konsolidace zásad: Agent zkontroluje zásady a identifikuje překrývající se nastavení. Pokud máte například více než jednu zásadu se stejnými ověřovacími mechanismy, agent navrhne sloučit tyto zásady do jedné.
• Hloubková analýza: Agent se podívá na zásady, které odpovídají klíčovým scénářům a identifikují odlehlé zásady, které mají více než doporučený počet výjimek (což vede k neočekávaným mezerám v pokrytí) nebo bez výjimek (což vede k možnému uzamčení).

Důležité

Agent neprovádí žádné změny stávajících zásad, pokud správce návrh explicitně neschválí.

Všechny nové zásady navrhované agentem se vytvoří v režimu pouze pro hlášení.

Dvě zásady je možné konsolidovat, pokud se liší maximálně dvěma podmínkami nebo ovládacími prvky.

Začínáme

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

2. Na nové domovské stránce vyberte z karty oznámení agenta Přejít na agenty.

   • V levé navigační nabídce můžete také vybrat agenty .

   

3. Vyberte Zobrazit podrobnosti na dlaždici agenta pro optimalizaci podmíněného přístupu.

   

4. Vyberte Spustit agenta a spusťte první spuštění. Nepoužívejte účet s rolí aktivovanou prostřednictvím PIM.

   

Když se stránka s přehledem agenta načte, jakékoli návrhy se zobrazí v poli Poslední návrhy. Pokud byl identifikován návrh, můžete si projít zásadu, určit dopad zásad a v případě potřeby změny použít. Další informace najdete v tématu Kontrola a schválení návrhů agenta podmíněného přístupu.

Nastavení

Jakmile je agent povolený, můžete upravit několik nastavení. Po provedení jakýchkoli změn vyberte tlačítko Uložit v dolní části stránky. K nastavení se dostanete ze dvou míst v Centru pro správu Microsoft Entra:

• ZAgentů>agenti pro optimalizaci podmíněného přístupu>Nastavení.
• Z podmíněného přístupu> vyberte kartu agenta optimalizace podmíněného přístupu v části Shrnutí zásady>Nastavení.

Spouštěč

Agent je nakonfigurovaný tak, aby běžel každých 24 hodin na základě počáteční konfigurace. Nastavení Triggeru můžete vypnout a opět zapnout, abyste změnili, kdy se agent spustí.

Objekty Microsoft Entra pro monitorování

Pomocí zaškrtávacích políček v části Objekty Microsoft Entra k monitorování určete, co má agent sledovat při poskytování doporučení zásad. Ve výchozím nastavení agent hledá nové uživatele i aplikace ve vašem tenantovi za předchozí 24hodinovou dobu.

Možnosti agenta

Ve výchozím nastavení může agent optimalizace podmíněného přístupu vytvářet nové zásady v režimu jen pro sestavy. Toto nastavení můžete změnit tak, aby správce musel před vytvořením schválit novou zásadu. Zásady se stále vytvářejí v režimu jen pro sestavy, ale teprve po schválení správcem. Po přezkoumání dopadu zásad můžete zásadu zapnout přímo z prostředí agenta nebo z Podmíněného přístupu.

Notifications

V rámci funkce preview může agent optimalizace podmíněného přístupu odesílat oznámení prostřednictvím Microsoft Teams vybrané sadě příjemců. Díky aplikaci agenta podmíněného přístupu v Microsoft Teams dostanou příjemci oznámení přímo do chatu v Teams, když agent zobrazí nový návrh.

Přidání aplikace agenta do Microsoft Teams:

1. V Microsoft Teams vyberte v levé navigační nabídce aplikace a vyhledejte a vyberte agenta podmíněného přístupu.

   

2. Vyberte tlačítko Přidat a pak výběrem tlačítka Otevřít otevřete aplikaci.

3. Pokud chcete usnadnit přístup k aplikaci, klikněte pravým tlačítkem myši na ikonu aplikace v levé navigační nabídce a vyberte Připnout.

Konfigurace oznámení v nastavení agenta optimalizace podmíněného přístupu:

1. V nastavení agenta optimalizace podmíněného přístupu vyberte odkaz Vybrat uživatele a skupiny .

2. Vyberte uživatele nebo skupiny, které chcete dostávat oznámení, a pak vyberte tlačítko Vybrat .

   

3. V dolní části hlavní stránky Nastavení vyberte tlačítko Uložit .

Pro příjem oznámení můžete vybrat až 10 příjemců. Můžete vybrat skupinu pro příjem oznámení, ale členství v této skupině nesmí překročit 10 uživatelů. Pokud vyberete skupinu, která má méně než 10 uživatelů, ale další se přidají později, skupina už nebude dostávat oznámení. Podobně lze oznámení odesílat pouze na pět objektů, jako je kombinace jednotlivých uživatelů nebo skupin. Pokud chcete přestat přijímat oznámení, odeberte objekt uživatele nebo skupinu, kterou jste zahrnuli ze seznamu příjemců.

V tuto chvíli je komunikace agenta jedním směrem, takže můžete dostávat oznámení, ale nemůžete na ně reagovat v Microsoft Teams. Pokud chcete provést akci s návrhem, vyberte Zkontrolovat návrh z chatu a otevřete agenta optimalizace podmíněného přístupu v Centru pro správu Microsoft Entra.

Postupné zavedení

Když agent vytvoří novou zásadu v režimu jen pro sestavy, zásada se zavádí ve fázích, takže můžete monitorovat účinek nové zásady. Postupné zavedení je ve výchozím nastavení zapnuté.

Počet dní mezi jednotlivými fázemi můžete změnit přetažením posuvníku nebo zadáním čísla do textového pole. Počet dní mezi jednotlivými fázemi je stejný pro všechny fáze. Ujistěte se, že začínáte postupné zavádění s dostatečným časem, abyste mohli monitorovat dopad před zahájením další fáze, a proto zavedení nezačne o víkendu nebo svátku, pokud potřebujete pozastavit zavedení.

Identita a oprávnění

Existuje několik klíčových bodů, které je potřeba zvážit v souvislosti s identitou a oprávněními agenta:

• Optimalizační agent podmíněného přístupu teď podporuje ID agenta Microsoft Entra, takže agent může běžet pod vlastní identitou, nikoli s konkrétní identitou uživatele. To zlepšuje zabezpečení, zjednodušuje správu a poskytuje větší flexibilitu.

  • Nové instalace se ve výchozím nastavení spouští pod identitou agenta.
  • Stávající instalace se můžou kdykoli přepnout z běhu v kontextu konkrétního uživatele, aby běžely pod identitou agenta.
    • Tato změna nemá vliv na vytváření sestav ani na analýzy.
    • Stávající zásady a doporučení zůstávají nedotčené.
    • Zákazníci nemůžou přepnout zpět na kontext uživatele.
  • Správci s rolemi Správce zabezpečení nebo Globální správce mohou přejít na Nastavení agenta a poté vybrat Vytvořit identitu agenta pro provedení přepnutí.

• Správce zabezpečení má ve výchozím nastavení přístup k souboru Security Copilot. Správcům podmíněného přístupu můžete přiřadit přístup k Security Copilot. Tato autorizace poskytuje správcům podmíněného přístupu také možnost používat agenta. Další informace naleznete v tématu Přiřazení přístupu do Security Copilot.

• Uživatel, který schválí návrh přidat uživatele do zásady, se stane vlastníkem nové skupiny, která přidá uživatele do zásady.

• Protokoly auditu pro akce prováděné agentem jsou přidružené k identitě uživatele nebo agenta, která agenta povolila. Název účtu najdete v části Identita a oprávnění nastavení.

  

Integrace ServiceNow („Preview“)

Organizace, které používají modul plug-in ServiceNow pro nástroj Security Copilot , teď můžou mít agenta optimalizace podmíněného přístupu k vytvoření žádostí o změnu ServiceNow pro každý nový návrh, který agent vygeneruje. To umožňuje týmům IT a zabezpečení sledovat, kontrolovat a schvalovat nebo odmítat návrhy agentů v rámci existujících pracovních postupů ServiceNow. V tuto chvíli se podporují jenom žádosti o změnu (CHG).

Pokud chcete používat integraci ServiceNow, musí mít vaše organizace nakonfigurovaný modul plug-in ServiceNow .

Když je modul plug-in ServiceNow zapnutý v nastavení agenta optimalizace podmíněného přístupu, každý nový návrh z agenta vytvoří žádost o změnu ServiceNow. Žádost o změnu obsahuje podrobnosti o návrhu, jako je typ zásad, uživatelé nebo skupiny, kterých se toto doporučení týká, a odůvodnění doporučení. Integrace také poskytuje smyčku zpětné vazby: Agent monitoruje stav žádosti o změnu ServiceNow a může automaticky implementovat změnu při schválení žádosti o změnu.

Vlastní pokyny

Zásady můžete přizpůsobit vašim potřebám pomocí volitelného pole Vlastní pokyny . Toto nastavení umožňuje poskytnout agentu výzvu jako součást jejího spuštění. Tyto pokyny lze použít k:

• Zahrnutí nebo vyloučení konkrétních uživatelů, skupin a rolí
• Vyloučte objekty, aby je agent nepovažoval za vhodné nebo aby nebyly přidány do zásad podmíněného přístupu.
• Použijte výjimky na konkrétní zásady, jako je vyloučení konkrétní skupiny ze zásad, vyžadování vícefaktorového ověřování nebo vyžadování zásad správy mobilních aplikací.

Ve vlastních pokynech můžete zadat název nebo ID objektu. Obě hodnoty jsou ověřeny. Pokud přidáte název skupiny, ID objektu pro tuto skupinu se automaticky přidá vaším jménem. Příklad vlastních pokynů:

• Vyloučení uživatelů ve skupině Break Glass ze všech zásad vyžadujících vícefaktorové ověřování
• "Vyloučit uživatele s ID objektu ddddddd-3333-4444-5555-eeeeeee ze všech zásad"

Běžným scénářem je, že pokud má vaše organizace hodně uživatelů typu host, které nechcete, aby agent navrhl přidání do standardních zásad podmíněného přístupu. Pokud se agent spustí a zobrazí nové uživatele typu host, kteří nejsou pokryti doporučenými zásadami, spotřebovávají se SCU jednotky, aby bylo navrženo pokrytí těchto uživatelů zásadami, které nejsou potřebné. Pokud chcete zabránit tomu, aby agent zvažoval uživatele typu host.

1. Vytvořte dynamickou skupinu s názvem "Hosté", kde (user.userType -eq "guest").
2. Přidejte vlastní instrukce podle vašich potřeb.
   • Vyloučit skupinu Hosté z posuzování agenta.
   • "Vyloučit skupinu "Hosté" ze všech zásad správy mobilních aplikací."

Další informace o tom, jak používat vlastní pokyny, najdete v následujícím videu.

Upozorňujeme, že některé obsahy ve videu, jako jsou prvky uživatelského rozhraní, se můžou měnit, protože se agent často aktualizuje.

Integrace Intune

Optimalizační agent podmíněného přístupu se integruje s Microsoft Intune, aby monitoroval dodržování předpisů zařízením a zásady ochrany aplikací nakonfigurované v Intune a identifikoval potenciální mezery v vynucení podmíněného přístupu. Tento proaktivní a automatizovaný přístup zajišťuje, že zásady podmíněného přístupu zůstanou v souladu s cíli zabezpečení organizace a požadavky na dodržování předpisů. Návrhy agentů jsou stejné jako ostatní návrhy zásad s tím rozdílem, že Intune poskytuje část signálu agenta.

Návrhy agentů pro scénáře Intune se týkají konkrétních skupin uživatelů a platforem (iOS nebo Android). Agent například identifikuje aktivní zásady ochrany aplikací Intune, které cílí na skupinu Finance, ale zjistí, že neexistuje dostatečná zásada podmíněného přístupu, která vynucuje ochranu aplikací. Agent vytvoří zásadu jen pro sestavu, která vyžaduje, aby uživatelé přistupovali k prostředkům jenom prostřednictvím kompatibilních aplikací na zařízeních s iOSem.

Aby bylo možné identifikovat dodržování předpisů zařízením Intune a zásady ochrany aplikací, musí být agent spuštěný jako globální správce nebo správce podmíněného přístupu A globální čtenář. Správce podmíněného přístupu nestačí k tomu, aby agent vytvořil návrhy Intune.

Globální integrace zabezpečeného přístupu

Microsoft Entra Internet Access a Microsoft Entra Private Access (souhrnně označovaný jako Globální zabezpečený přístup) se integrují s agentem optimalizace podmíněného přístupu a poskytují návrhy specifické pro zásady síťového přístupu vaší organizace. Návrh : Zapněte nové zásady pro vynucování požadavků na přístup k síti globálního zabezpečeného přístupu, které vám pomůžou sladit globální zásady zabezpečeného přístupu, které zahrnují síťová umístění a chráněné aplikace.

V této integraci agent identifikuje uživatele nebo skupiny, na které zásady podmíněného přístupu nevztahují, aby vyžadoval přístup k podnikovým prostředkům pouze prostřednictvím schválených globálních kanálů zabezpečeného přístupu. Tato zásada vyžaduje, aby se uživatelé před přístupem k podnikovým aplikacím a datům připojili k podnikovým prostředkům pomocí zabezpečené sítě globálního přístupu organizace. Uživatelům, kteří se připojují z nespravovaných nebo nedůvěryhodných sítí, se zobrazí výzva k použití klienta globálního zabezpečeného přístupu nebo webové brány. Pokud chcete ověřit kompatibilní připojení, můžete zkontrolovat protokoly přihlašování.

Odebrání agenta

Pokud už nechcete používat agenta pro optimalizaci podmíněného přístupu, vyberte v horní části okna volbu Odebrat agenta. Stávající data (aktivita agenta, návrhy a metriky) se odeberou, ale všechny zásady vytvořené nebo aktualizované na základě návrhů agenta zůstanou nedotčené. Dříve použité návrhy zůstávají beze změny, takže můžete dál používat zásady vytvořené nebo upravené agentem.

Poskytnutí zpětné vazby

Pomocí tlačítka Poskytnout microsoftu zpětnou vazbu v horní části okna agenta poskytněte Microsoftu zpětnou vazbu k agentovi.

FAQs

Kdy mám použít agenta optimalizace podmíněného přístupu vs. Copilot Chat?

Obě funkce poskytují různé přehledy o zásadách podmíněného přístupu. Následující tabulka obsahuje porovnání těchto dvou funkcí:

Scenario	Agent optimalizace podmíněného přístupu	Konverzace s Kopilotem
Obecné scénáře
Využití konfigurace specifické pro tenanta	✅
Pokročilé odůvodnění	✅
Přehledy na vyžádání		✅
Interaktivní řešení potíží		✅
Průběžné posuzování zásad	✅
Návrhy automatizovaného vylepšování	✅
Získání pokynů k osvědčeným postupům a konfiguraci certifikační autority	✅	✅
Konkrétní scénáře
Identifikace nechráněných uživatelů nebo aplikací proaktivně	✅
Používání vícefaktorového ověřování a dalších základních ovládacích prvků pro všechny uživatele	✅
Průběžné monitorování a optimalizace zásad podmíněného přístupu	✅
Změny zásad jedním kliknutím	✅
Přezkoumání existujících zásad podmíněného přístupu a přiřazení (Platí zásady pro Alice?)	✅	✅
Řešení potíží s přístupem uživatele (proč se Alice zobrazila výzva k vícefaktorové ověřování?)		✅

Aktivoval(a) jsem agenta, ale ve stavu aktivity se zobrazuje chyba. Co se děje?

Je možné, že agent byl aktivován pomocí účtu, který vyžaduje aktivaci role pomocí Privileged Identity Management (PIM). Takže když se agent pokusil spustit, selhal, protože účet v té době neměl požadovaná oprávnění. Pokud vypršela platnost oprávnění PIM, zobrazí se výzva k opětovnému ověření.

Tento problém můžete vyřešit odebráním agenta a opětovným povolením agenta s uživatelským účtem, který má stálá oprávnění pro přístup ke službě Security Copilot. Další informace naleznete v tématu Přiřazení přístupu do Security Copilot.

Související obsah

• Kontrola a schválení návrhů agentů
• Šablony zásad podmíněného přístupu
• Další informace o službě Microsoft Security Copilot