Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Optimierungs-Agent für bedingten Zugriff hilft Ihnen sicherzustellen, dass alle Benutzer, Anwendungen und Agentidentitäten durch Richtlinien für bedingten Zugriff geschützt sind. Der Agent kann neue Richtlinien empfehlen und vorhandene Richtlinien aktualisieren, basierend auf bewährten Methoden, die den Erkenntnissen von Zero Trust und Microsoft entsprechen. Der Agent erstellt außerdem Richtlinienüberprüfungsberichte (Vorschau), die Einblicke in Spitzen oder Dips bieten, die auf eine falsch konfigurierte Richtlinie hinweisen können.
Der Optimierungs-Agent für bedingten Zugriff wertet Richtlinien aus, z. B. die Mehrstufige Authentifizierung (MFA), das Erzwingen von gerätebasierten Steuerelementen (Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte) und das Blockieren von Legacyauthentifizierungs- und Gerätecodefluss. Der Agent bewertet auch alle vorhandenen aktivierten Richtlinien, um eine potenzielle Konsolidierung ähnlicher Richtlinien vorzuschlagen. Wenn der Agent einen Vorschlag identifiziert, können Sie den Agent per Ein-Klick-Korrektur die zugehörige Richtlinie aktualisieren lassen.
Von Bedeutung
Die ServiceNow- und Microsoft Teams-Integrationen im Agent zur Optimierung für Bedingten Zugriff befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Voraussetzungen
- Sie müssen mindestens über die Microsoft Entra ID P1-Lizenz verfügen.
- Sie müssen über Security Compute Units (SCU) verfügen.
- Im Durchschnitt verbraucht jeder Agent weniger als eine SCU.
- Sie müssen über die entsprechende Microsoft Entra-Rolle verfügen.
- Der Sicherheitsadministrator ist erforderlich, um den Agent zum ersten Mal zu aktivieren.
- Die Rollen Sicherheitsleser und Globalleser können den Agenten und alle Vorschläge anzeigen; jedoch keine Aktionen ausführen.
- Die Rollen "Administrator für bedingten Zugriff" und "Sicherheitsadministrator" können den Agent anzeigen und maßnahmen für die Vorschläge ergreifen.
- Sie können Administratoren für bedingten Zugriff mit Security Copilot Zugriff zuweisen, wodurch Ihre Administratoren für bedingten Zugriff auch den Agent verwenden können.
- Weitere Informationen finden Sie unter Assign Security Copilot Access.
- Gerätebasierte Steuerelemente erfordern Microsoft Intune-Lizenzen.
- Überprüfen Sie den Datenschutz und die Datensicherheit in Microsoft Security Copilot.
Einschränkungen
- Vermeiden Sie die Verwendung eines Kontos zum Einrichten des Agents, der die Rollenaktivierung mit Privileged Identity Management (PIM) erfordert. Die Verwendung eines Kontos, das nicht über ständige Berechtigungen verfügt, kann zu Authentifizierungsfehlern für den Agent führen.
- Sobald Agenten gestartet sind, können sie nicht angehalten oder pausiert werden. Die Ausführung kann einige Minuten dauern.
- Bei der Konsolidierung von Richtlinien werden bei jedem Ausführen des Agenten nur vier ähnliche Richtlinienpaare berücksichtigt.
- Wir empfehlen, den Agent über das Microsoft Entra Admin Center auszuführen.
- Das Scannen ist auf einen Zeitraum von 24 Stunden beschränkt.
- Die Vorschläge des Agenten können nicht angepasst oder überschrieben werden.
- Der Agent kann bis zu 300 Benutzer und 150 Anwendungen in einer einzigen Ausführung überprüfen.
Funktionsweise
Der Optimierungs-Agent für bedingten Zugriff überprüft Ihren Mandanten nach neuen Benutzern, Anwendungen und Agentidentitäten aus den letzten 24 Stunden und bestimmt, ob Richtlinien für bedingten Zugriff anwendbar sind. Wenn der Agent Benutzer, Anwendungen oder Agentidentitäten findet, die nicht durch Richtlinien für bedingten Zugriff geschützt sind, bietet er die folgenden Schritte, z. B. das Aktivieren oder Ändern einer Richtlinie für bedingten Zugriff. Sie können den Vorschlag überprüfen, wie der Agent die Lösung identifiziert hat und was in der Richtlinie enthalten wäre.
Jedes Mal, wenn der Agent ausgeführt wird, werden folgende Schritte durchgeführt. Diese ersten Scanschritte verbrauchen keine SCUs.
- Der Agent prüft alle Richtlinien für Conditional Access (Bedingten Zugriff) in Ihrem Mandanten.
- Der Agent prüft auf Richtlinienlücken und ob Richtlinien kombiniert werden können.
- Der Agent überprüft vorherige Vorschläge, sodass es nicht mehr dieselbe Richtlinie vorschlagen wird.
Wenn der Agent etwas identifiziert, das zuvor nicht vorgeschlagen wurde, führt er die folgenden Schritte aus. Diese Agent-Aktionsschritte verbrauchen SCUs.
- Der Agent identifiziert eine Richtlinienlücke oder ein Paar von Richtlinien, die konsolidiert werden können.
- Der Agent wertet alle von Ihnen bereitgestellten benutzerdefinierten Anweisungen aus.
- Der Agent erstellt eine neue Richtlinie im Nur-Bericht-Modus oder stellt den Vorschlag bereit, eine Richtlinie zu ändern, einschließlich aller Logik, die von den benutzerdefinierten Anweisungen bereitgestellt wird.
Hinweis
Security Copilot erfordert, dass mindestens eine SCU in Ihrem Mandanten bereitgestellt wird, jedoch wird diese SCU jeden Monat berechnet, selbst wenn Sie keine SCUs nutzen. Durch das Deaktivieren des Agents wird die monatliche Abrechnung für die SCU nicht beendet.
Zu den vom Agent identifizierten Richtlinienvorschlägen gehören:
- MFA erfordern: Der Agent identifiziert Benutzer, die nicht von einer Richtlinie für bedingten Zugriff abgedeckt sind, die MFA erfordert und die Richtlinie aktualisieren kann.
- Erfordern von gerätebasierten Steuerelementen: Der Agent kann gerätebasierte Steuerelemente erzwingen, z. B. Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte.
- Legacy-Authentifizierung blockieren: Benutzerkonten mit älteren Authentifizierungen können sich nicht anmelden.
- Blockieren des Gerätecodeflusses: Der Agent sucht nach einer Richtlinie, die die Gerätecodeflussauthentifizierung blockiert.
- Riskante Benutzer: Der Agent schlägt eine Richtlinie vor, um eine sichere Kennwortänderung für Benutzer mit hohem Risiko zu verlangen. Erfordert eine Microsoft Entra ID P2-Lizenz.
- Riskante Anmeldungen: Der Agent schlägt eine Richtlinie vor, die eine mehrstufige Authentifizierung für Anmeldungen mit hohem Risiko erfordert. Erfordert microsoft Entra ID P2-Lizenz.
- Riskante Agents: Der Agent schlägt eine Richtlinie vor, um die Authentifizierung für Anmeldungen mit hohem Risiko zu blockieren. Erfordert microsoft Entra ID P2-Lizenz.
- Richtlinienkonsolidierung: Der Agent überprüft Ihre Richtlinie und identifiziert überlappende Einstellungen. Wenn Sie beispielsweise mehr als eine Richtlinie haben, die dieselben Zugriffsrechte steuert, schlägt der Agent vor, diese Richtlinien zu einer einzigen zu konsolidieren.
- Umfassende Analyse: Der Agent untersucht Richtlinien, die wichtigen Szenarien entsprechen, um Ausreißerrichtlinien zu identifizieren, die mehr als eine empfohlene Anzahl von Ausnahmen aufweisen (was zu unerwarteten Lücken bei der Abdeckung führt) oder keine Ausnahmen (was zu möglichen Sperren führt).
Von Bedeutung
Der Agent ändert keine vorhandenen Richtlinien, es sei denn, ein Administrator genehmigt den Vorschlag explizit.
Alle neuen Richtlinien, die vom Agent vorgeschlagen werden, werden im modus "Nur Bericht" erstellt.
Zwei Richtlinien können konsolidiert werden, wenn sie sich in nicht mehr als zwei Bedingungen oder Kontrollen unterscheiden.
Erste Schritte
Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Wählen Sie auf der neuen Startseite auf der Agent-Benachrichtigungskarte Zu Agents gehen aus.
- Sie können " Agents" auch im linken Navigationsmenü auswählen.
Wählen Sie "Details anzeigen" auf der Kachel des Conditional Access Optimization Agents aus.
Wählen Sie "Agent starten" aus, um mit der ersten Ausführung zu beginnen. Vermeiden Sie die Verwendung eines Kontos mit einer über PIM aktivierten Rolle.
Wenn die Seite "Agentübersicht" geladen wird, werden alle Vorschläge im Feld "Zuletzt verwendete Vorschläge " angezeigt. Wenn ein Vorschlag identifiziert wurde, können Sie die Richtlinie überprüfen, die Auswirkungen auf die Richtlinie bestimmen und die Änderungen bei Bedarf anwenden. Weitere Informationen finden Sie unter "Überprüfen und Genehmigen von Agentvorschlägen für bedingten Zugriff".
Einstellungen
Sobald der Agent aktiviert ist, können Sie einige Einstellungen anpassen. Nachdem Sie Änderungen vorgenommen haben, wählen Sie unten auf der Seite die Schaltfläche " Speichern " aus. Sie können auf die Einstellungen von zwei Stellen im Microsoft Entra Admin Center zugreifen:
- Einstellungen von Agents>Optimierungsagent für bedingten Zugriff>.
- Wählen Sie unter Bedingter Zugriff> die Karte Agent für die Optimierung des bedingten Zugriffs unter Richtlinienübersicht>Einstellungen.
Auslöser
Der Agent ist so konfiguriert, dass er alle 24 Stunden ausgeführt wird, je nachdem, wann er anfänglich konfiguriert ist. Sie können ändern, wann der Agent ausgeführt wird, indem Sie die Trigger-Einstellung deaktivieren und sie anschließend wieder aktivieren, wenn Sie möchten, dass er ausgeführt wird.
Überwachbare Microsoft Entra-Objekte
Verwenden Sie die Kontrollkästchen unter Microsoft Entra-Objekte zum Überwachen, um anzugeben, was der Agent bei der Erstellung von Richtlinienempfehlungen überwachen soll. Standardmäßig sucht der Agent im vorherigen 24-Stunden-Zeitraum nach neuen Benutzern und Anwendungen in Ihrem Mandanten.
Agent-Funktionen
Standardmäßig kann der Optimierungs-Agent für bedingten Zugriff neue Richtlinien im Nur-Bericht-Modus erstellen. Sie können diese Einstellung ändern, damit ein Administrator die neue Richtlinie genehmigen muss, bevor sie erstellt wird. Die Richtlinie wird weiterhin im Modus "Nur Bericht" erstellt, aber erst nach der Administratorgenehmigung. Nachdem Sie die Auswirkungen der Richtlinie überprüft haben, können Sie die Richtlinie direkt über die Agentenoberfläche oder über Conditional Access aktivieren.
Benachrichtigungen
Als Teil einer Vorschaufunktion kann der Optimierungs-Agent für bedingten Zugriff Benachrichtigungen über Microsoft Teams an eine ausgewählte Gruppe von Empfängern senden. Mit der Agent-App für bedingten Zugriff in Microsoft Teams erhalten Empfänger Benachrichtigungen direkt in ihrem Teams-Chat, wenn der Agent einen neuen Vorschlag anzeigt.
So fügen Sie die Agent-App zu Microsoft Teams hinzu:
Wählen Sie in Microsoft Teams apps aus dem linken Navigationsmenü aus, und suchen Sie nach dem Agent für bedingten Zugriff, und wählen Sie den Agent für bedingten Zugriff aus.
Wählen Sie die Schaltfläche "Hinzufügen " und dann die Schaltfläche " Öffnen " aus, um die App zu öffnen.
Um den Zugriff auf die App zu vereinfachen, klicken Sie im linken Navigationsmenü mit der rechten Maustaste auf das App-Symbol, und wählen Sie "Anheften" aus.
So konfigurieren Sie Benachrichtigungen in den Einstellungen für den Optimierungs-Agent für bedingten Zugriff:
Wählen Sie in den Einstellungen für den Optimierungs-Agent für bedingten Zugriff den Link " Benutzer und Gruppen auswählen " aus.
Wählen Sie die Benutzer oder Gruppen aus, die Sie Benachrichtigungen erhalten möchten, und wählen Sie dann die Schaltfläche " Auswählen " aus.
Wählen Sie unten auf der Hauptseite "Einstellungen" die Schaltfläche " Speichern" aus .
Sie können bis zu 10 Empfänger auswählen, um Benachrichtigungen zu erhalten. Sie können eine Gruppe auswählen, um die Benachrichtigungen zu erhalten, aber die Mitgliedschaft dieser Gruppe darf 10 Benutzer nicht überschreiten. Wenn Sie eine Gruppe auswählen, die weniger als 10 Benutzer enthält, aber später mehr hinzugefügt werden, empfängt die Gruppe keine Benachrichtigungen mehr. Ebenso können die Benachrichtigungen nur an fünf Objekte gesendet werden, z. B. eine Kombination einzelner Benutzer oder Gruppen. Um den Empfang von Benachrichtigungen zu beenden, entfernen Sie Ihr Benutzerobjekt oder die Gruppe, in die Sie in der Liste des Empfängers einbezogen sind.
Zurzeit ist die Kommunikation des Agents eine Richtung, sodass Sie Benachrichtigungen empfangen, aber nicht in Microsoft Teams darauf reagieren können. Um Maßnahmen für einen Vorschlag zu ergreifen, wählen Sie " Vorschlag überprüfen " aus dem Chat aus, um den Optimierungs-Agent für bedingten Zugriff im Microsoft Entra Admin Center zu öffnen.
Phasenrollout
Wenn der Agent eine neue Richtlinie im Modus "Nur Bericht" erstellt, wird die Richtlinie in Phasen eingeführt, sodass Sie die Auswirkungen der neuen Richtlinie überwachen können. Das phasenweise Rollout ist standardmäßig aktiviert.
Sie können die Anzahl der Tage zwischen jeder Phase ändern, indem Sie entweder den Schieberegler ziehen oder eine Zahl in das Textfeld eingeben. Die Anzahl der Tage zwischen jeder Phase ist für alle Phasen identisch. Stellen Sie sicher, dass Sie den phasenweisen Rollout mit genügend Zeit starten, um die Auswirkungen zu überwachen, bevor die nächste Phase beginnt und das Rollout nicht an einem Wochenende oder Feiertag beginnt, falls Sie das Rollout anhalten müssen.
Identität und Berechtigungen
Es gibt mehrere wichtige Punkte, die Sie hinsichtlich der Identität und Berechtigungen des Agents berücksichtigen sollten:
Der Agent zur Optimierung des bedingten Zugriffs unterstützt jetzt die Microsoft Entra-Agent-ID und ermöglicht es dem Agenten, unter seiner eigenen Identität statt unter der Identität eines bestimmten Benutzers zu laufen. Dies verbessert die Sicherheit, vereinfacht die Verwaltung und bietet mehr Flexibilität.
- Neue Installationen werden standardmäßig unter einer Agentidentität ausgeführt.
- Vorhandene Installationen können jederzeit von der Ausführung in einem bestimmten Benutzerkontext wechseln, um sie unter einer Agentidentität auszuführen.
- Diese Änderung wirkt sich nicht auf Berichte oder Analysen aus.
- Bestehende Richtlinien und Empfehlungen bleiben unberührt.
- Kunden können nicht zurück zum Benutzerkontext wechseln.
- Admiins mit den Rollen "Sicherheitsadministrator" oder "Globaler Administrator" können zu den Agent-Einstellungen navigieren und dann " Agentidentität erstellen" auswählen, um den Wechsel vorzunehmen.
Der Sicherheitsadministrator hat standardmäßig Zugriff auf Security Copilot. Sie können Administratoren für bedingten Zugriff den Zugriff auf Security Copilot zuweisen. Diese Autorisierung gibt Ihren Administratoren für bedingten Zugriff auch die Möglichkeit, den Agent zu verwenden. Weitere Informationen finden Sie unter Assign Security Copilot Access.
Der Benutzer, der einen Vorschlag zum Hinzufügen von Benutzern zu einer Richtlinie genehmigt, wird zum Besitzer einer neuen Gruppe, die die Benutzer zu einer Richtlinie hinzufügt.
Die Überwachungsprotokolle für Aktionen, die vom Agent ausgeführt werden, sind mit der Benutzer- oder Agentidentität verknüpft, die den Agent aktiviert hat. Sie finden den Namen des Kontos im Abschnitt " Identität und Berechtigungen " der Einstellungen.
ServiceNow-Integration (Vorschau)
Organisationen, die das ServiceNow-Plug-In für Security Copilot verwenden, können jetzt den Optimierungsagenten für bedingten Zugriff nutzen, um ServiceNow-Änderungsanforderungen für jeden neuen Vorschlag zu erstellen, den der Agent generiert. Auf diese Weise können IT- und Sicherheitsteams Agentvorschläge innerhalb vorhandener ServiceNow-Workflows nachverfolgen, überprüfen und genehmigen oder ablehnen. Derzeit werden nur Änderungsanforderungen (CHG) unterstützt.
Um die ServiceNow-Integration zu verwenden, muss Ihre Organisation das ServiceNow-Plug-In konfiguriert haben.
Wenn das ServiceNow-Plug-In in den Einstellungen für den Optimierungs-Agent für bedingten Zugriff aktiviert ist, erstellt jeder neue Vorschlag vom Agent eine ServiceNow-Änderungsanforderung. Die Änderungsanforderung enthält Details zum Vorschlag, z. B. den Typ der Richtlinie, die betroffenen Benutzer oder Gruppen sowie die Gründe für die Empfehlung. Die Integration bietet auch eine Feedbackschleife: Der Agent überwacht den Status der ServiceNow-Änderungsanforderung und kann die Änderung automatisch implementieren, wenn die Änderungsanforderung genehmigt wird.
Benutzerdefinierte Anweisungen
Sie können die Richtlinie auf Ihre Anforderungen anpassen, indem Sie das optionale Feld "Benutzerdefinierte Anweisungen " verwenden. Diese Einstellung bietet Ihnen die Möglichkeit, dem Agenten als Element seiner Ausführung einen Prompt zu geben. Diese Anweisungen können verwendet werden, um:
- Einschließen oder Ausschließen bestimmter Benutzer, Gruppen und Rollen
- Ausschließen von Objekten, damit sie nicht vom Agent berücksichtigt werden oder der Richtlinie für bedingten Zugriff hinzugefügt werden
- Wenden Sie Ausnahmen auf bestimmte Richtlinien an, z. B. das Ausschließen einer bestimmten Gruppe aus einer Richtlinie, das Erfordern von MFA oder das Erfordern von Richtlinien für die Verwaltung mobiler Anwendungen.
Sie können entweder den Namen oder die Objekt-ID in die benutzerdefinierten Anweisungen eingeben. Beide Werte werden überprüft. Wenn Sie den Namen der Gruppe hinzufügen, wird die Objekt-ID für diese Gruppe automatisch in Ihrem Auftrag hinzugefügt. Beispiel für benutzerdefinierte Anweisungen:
- "Exclude users in den "Break Glass" Gruppe von any policy that requires multifactor authentication."
- "Benutzer mit Objekt-ID dddddddd-3333-4444-5555-eeeeeeeeeeee aus allen Richtlinien ausschließen"
Ein gängiges Szenario ist, wenn Ihre Organisation viele Gastbenutzer hat, die nicht in die Standardrichtlinien für bedingten Zugriff aufgenommen werden sollen, wie es der Agent vorschlagen könnte. Wenn der Agent ausgeführt wird und neue Gastbenutzer sieht, die nicht von empfohlenen Richtlinien abgedeckt sind, werden SCUs verwendet, um zu empfehlen, diese Gastbenutzer anhand von Richtlinien abzudecken, die nicht erforderlich sind. So verhindern Sie, dass Gastbenutzer vom Agent berücksichtigt werden:
- Erstellen Sie eine dynamische Gruppe namens "Gäste", wobei
(user.userType -eq "guest"). - Fügen Sie basierend auf Ihren Anforderungen eine benutzerdefinierte Anweisung hinzu.
- "Schließen Sie die Gruppe "Gäste" aus der Agentenüberlegung aus."
- "Schließen Sie die Gruppe "Gäste" aus allen Richtlinien für die Verwaltung mobiler Anwendungen aus.
Weitere Informationen zur Verwendung von benutzerdefinierten Anweisungen finden Sie im folgenden Video.
Beachten Sie, dass einige inhalte im Video, z. B. die Elemente der Benutzeroberfläche, häufig geändert werden können, da der Agent häufig aktualisiert wird.
Intune-Integration
Der Optimierungs-Agent für bedingten Zugriff ist in Microsoft Intune integriert, um die Gerätekompatibilität und Anwendungsschutzrichtlinien zu überwachen, die in Intune konfiguriert sind, und potenzielle Lücken bei der Erzwingung des bedingten Zugriffs zu identifizieren. Durch diesen proaktiven und automatisierten Ansatz wird sichergestellt, dass Richtlinien für bedingten Zugriff weiterhin den Sicherheitszielen und den Complianceanforderungen der Organisation entsprechen. Die Agentvorschläge sind mit den anderen Richtlinienvorschlägen identisch, außer dass Intune einen Teil des Signals an den Agent bereitstellt.
Agentvorschläge für Intune-Szenarien decken bestimmte Benutzergruppen und Plattformen (iOS oder Android) ab. Der Agent identifiziert beispielsweise eine aktive Intune-App-Schutzrichtlinie, die auf die Gruppe "Finanzen" ausgerichtet ist, bestimmt jedoch, dass keine ausreichende Richtlinie für bedingten Zugriff vorhanden ist, die den App-Schutz erzwingt. Der Agent erstellt eine Nur-Bericht-Richtlinie, für die Benutzer nur über kompatible Anwendungen auf iOS-Geräten auf Ressourcen zugreifen müssen.
Um Intune-Gerätekompatibilitäts- und App-Schutzrichtlinien zu identifizieren, muss der Agent als globaler Administrator oder als Administrator für bedingten Zugriff und globaler Leser ausgeführt werden. Der Administrator für bedingten Zugriff ist allein nicht ausreichend, damit der Software-Agent Intune-Empfehlungen generieren kann.
Globale Integration für den sicheren Zugriff
Microsoft Entra Internet Access und Microsoft Entra Private Access (gemeinsam als globaler sicherer Zugriff bezeichnet) werden in den Optimierungs-Agent für bedingten Zugriff integriert, um Vorschläge für die Netzwerkzugriffsrichtlinien Ihrer Organisation bereitzustellen. Der Vorschlag, neue Richtlinien zum Durchsetzen von Anforderungen für den Netzwerkzugriff des Global Secure Access zu aktivieren, hilft Ihnen, Ihre Global Secure Access-Richtlinien für Netzwerkstandorte und geschützte Anwendungen besser abzustimmen.
Mit dieser Integration identifiziert der Agent Benutzer oder Gruppen, die nicht von einer Richtlinie für bedingten Zugriff abgedeckt sind, um nur über genehmigte globale Sichere Zugriffskanäle Zugriff auf Unternehmensressourcen zu erfordern. Diese Richtlinie erfordert, dass Benutzer mithilfe des sicheren globalen Zugriffsnetzwerks der Organisation eine Verbindung mit Unternehmensressourcen herstellen, bevor sie auf Unternehmens-Apps und -Daten zugreifen. Benutzer, die eine Verbindung von nicht verwalteten oder nicht vertrauenswürdigen Netzwerken herstellen, werden aufgefordert, den globalen Client für den sicheren Zugriff oder das Webgateway zu verwenden. Sie können Anmeldeprotokolle überprüfen, um kompatible Verbindungen zu überprüfen.
Agent entfernen
Wenn Sie den Optimierungs-Agent für bedingten Zugriff nicht mehr verwenden möchten, wählen Sie "Agent vom oberen Rand des Agentfensters entfernen " aus. Die vorhandenen Daten (Agentaktivität, Vorschläge und Metriken) werden entfernt, aber alle basierend auf den Agentvorschlägen erstellten oder aktualisierten Richtlinien bleiben erhalten. Zuvor angewendete Vorschläge bleiben unverändert, sodass Sie weiterhin die vom Agent erstellten oder geänderten Richtlinien verwenden können.
Bereitstellen von Feedback
Verwenden Sie die Schaltfläche " Feedback an Microsoft senden" am oberen Rand des Agent-Fensters, um Microsoft Feedback zu dem Agent zu geben.
Häufig gestellte Fragen
Wann sollte ich den Optimierungs-Agent für bedingten Zugriff im Vergleich zum Copilot-Chat verwenden?
Beide Features bieten unterschiedliche Einblicke in Ihre Richtlinien für bedingten Zugriff. Die folgende Tabelle enthält einen Vergleich der beiden Features:
| Scenario | Agent zur Optimierung des bedingten Zugriffs | Copilot-Chat |
|---|---|---|
| Allgemeine Szenarien | ||
| Nutzen Sie die mandantenspezifische Konfiguration | ✅ | |
| Erweiterte Begründung | ✅ | |
| Einblicke auf Abruf | ✅ | |
| Interaktive Problembehandlung | ✅ | |
| Kontinuierliche Richtlinienbewertung | ✅ | |
| Vorschläge zur automatisierten Verbesserung | ✅ | |
| Erhalten Sie einen Leitfaden zu bewährten Verfahren und Konfigurationen für Zertifizierungsstellen. | ✅ | ✅ |
| Spezifische Szenarien | ||
| Identifizieren nicht geschützter Benutzer oder Anwendungen proaktiv | ✅ | |
| Erzwingen Sie MFA und andere Baseline-Kontrollen für alle Benutzer | ✅ | |
| Kontinuierliche Überwachung und Optimierung von Zertifizierungsstellenrichtlinien | ✅ | |
| Richtlinienänderungen mit nur einem Klick | ✅ | |
| Überprüfen Sie bestehende CA-Richtlinien und Zuweisungen (Gelten die Richtlinien für Alice?) | ✅ | ✅ |
| Behandeln von Problemen mit dem Zugriff eines Benutzers (Warum wurde Alice zur MFA aufgefordert?) | ✅ |
Ich habe den Agent aktiviert, sehe jedoch "Fehler" im Aktivitätsstatus. Was passiert?
Es ist möglich, dass der Agent mit einem Konto aktiviert wurde, das die Rollenaktivierung mit Privileged Identity Management (PIM) erfordert. Der Versuch, den Agent auszuführen, schlug fehl, da das Konto zu diesem Zeitpunkt nicht über die erforderlichen Berechtigungen verfügte. Sie werden aufgefordert, erneut zu authentifizieren, wenn die PIM-Berechtigung abgelaufen ist.
Sie können dieses Problem beheben, indem Sie den Agent entfernen und dann den Agent erneut mit einem Benutzerkonto aktivieren, das über ständige Berechtigungen für den Security Copilot-Zugriff verfügt. Weitere Informationen finden Sie unter Assign Security Copilot Access.