Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Microsoft Entra Conditional Access Optimierungs-Agent hilft Ihnen sicherzustellen, dass alle Benutzer, Anwendungen und Agentidentitäten durch Richtlinien für bedingten Zugriff geschützt sind. Der Agent kann neue Richtlinien empfehlen und vorhandene Richtlinien aktualisieren, basierend auf bewährten Methoden, die den Erkenntnissen von Zero Trust und Microsoft entsprechen. Der Agent erstellt außerdem Berichte zur Richtlinienüberprüfung (Vorschau), die Einblicke in Spitzen oder Dips bieten, die auf eine falsch konfigurierte Richtlinie hinweisen können.
Der Optimierungs-Agent für bedingten Zugriff wertet Richtlinien aus, z. B.:
- Anfordern der mehrstufigen Authentifizierung (MFA).
- Erzwingen von gerätebasierten Steuerelementen (Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte).
- Blockieren der Legacy-Authentifizierung und des Gerätecodeflusses.
Der Agent bewertet auch alle vorhandenen aktivierten Richtlinien, um eine potenzielle Konsolidierung ähnlicher Richtlinien vorzuschlagen. Wenn der Agent einen Vorschlag erkennt, können Sie den Agenten die zugehörige Richtlinie per Ein-Klick-Behebung aktualisieren lassen.
Von Bedeutung
Die ServiceNow-Integration, die Dateiuploadfunktion und aktivitätsbasierte Ausführungen im Agent für die Optimierung des bedingten Zugriffs befinden sich derzeit in der Vorschau. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Voraussetzungen
- Sie müssen mindestens über die Microsoft Entra ID P1-Lizenz verfügen.
- Sie müssen über verfügbare Sicherheitsberechnungseinheiten (Security Compute Units, SCUs) verfügen. Im Durchschnitt verbraucht jeder Agent weniger als eine SCU.
- Sie müssen über die entsprechende Microsoft Entra-Rolle verfügen.
- Zum ersten Aktivieren des Agents ist eine Sicherheitsadministratorrolle erforderlich.
- Die Rollen „Sicherheitsleser“ und „Globaler Leser“ können den Agenten und alle Vorschläge einsehen, aber keine Aktionen ausführen.
- Die Rollen "Administrator für bedingten Zugriff" und "Sicherheitsadministrator" können den Agent anzeigen und maßnahmen für die Vorschläge ergreifen.
- Sie können Conditional Access Administrators mit Microsoft Security Copilot Zugriff zuweisen, wodurch Ihre Administratoren für bedingten Zugriff die Möglichkeit haben, den Agent zu verwenden.
- Weitere Informationen zu Rollen finden Sie unter Assign Security Copilot Access.
- Gerätebasierte Steuerelemente erfordern Microsoft Intune-Lizenzen.
- Überprüfen Sie den Datenschutz und die Datensicherheit in Microsoft Security Copilot.
Einschränkungen
- Nachdem der Agent gestartet wurde, können Sie die Ausführung nicht beenden oder pausieren. Die Ausführung kann einige Minuten dauern.
- Bei der Richtlinienkonsolidierung wertet jeder Agent 40 ähnliche Richtlinienpaare aus.
- Wir empfehlen, den Agent über das Microsoft Entra Admin Center auszuführen.
- Das Scannen ist auf einen Zeitraum von 24 Stunden beschränkt.
- Sie können Vorschläge nicht vom Agent anpassen oder außer Kraft setzen.
- Der Agent kann bis zu 300 Benutzer und 150 Anwendungen in einer einzigen Ausführung überprüfen.
Funktionsweise
Der Agent für die Optimierung des bedingten Zugriffs überprüft Ihren Mandanten nach neuen Benutzern, Anwendungen und Agentidentitäten aus den letzten 24 Stunden und bestimmt, ob Richtlinien für bedingten Zugriff anwendbar sind. Wenn der Agent Benutzer, Anwendungen oder Agentidentitäten findet, die nicht von Richtlinien für bedingten Zugriff abgedeckt werden, werden die folgenden Schritte vorgeschlagen.
Im nächsten Schritt wird möglicherweise eine Richtlinie für bedingten Zugriff aktiviert oder geändert. Sie können den Vorschlag überprüfen, wie der Agent die Lösung identifiziert hat und was die Richtlinie enthalten würde.
Jedes Mal, wenn der Agent ausgeführt wird, werden folgende Schritte durchgeführt. Diese ersten Scanschritte verbrauchen keine SCUs.
- Der Agent prüft alle Richtlinien für Conditional Access (Bedingten Zugriff) in Ihrem Mandanten.
- Der Agent prüft auf Richtlinienlücken und ob Richtlinien kombiniert werden können.
- Der Agent überprüft vorherige Vorschläge, sodass es nicht mehr dieselbe Richtlinie vorschlagen wird.
Wenn der Agent etwas identifiziert, das er zuvor nicht vorgeschlagen hat, führt er die folgenden Schritte aus. Diese Agent-Aktionsschritte verbrauchen SCUs.
- Der Agent identifiziert eine Richtlinienlücke oder ein Paar von Richtlinien, die konsolidiert werden können.
- Der Agent wertet alle von Ihnen bereitgestellten benutzerdefinierten Anweisungen aus.
- Der Agent erstellt eine neue Richtlinie im Nur-Berichtsmodus oder unterbreitet den Vorschlag, eine Richtlinie zu ändern, einschließlich jeglicher Logik aus den benutzerdefinierten Anweisungen.
Hinweis
Security Copilot setzt voraus, dass in Ihrem Mandanten mindestens eine SCU bereitgestellt wird. Diese SCU wird jeden Monat in Rechnung gestellt, auch wenn Sie keine SCUs verbrauchen. Durch das Deaktivieren des Agents wird die monatliche Abrechnung für die SCU nicht beendet.
Zu den Richtlinienvorschlägen des Agents gehören:
- MFA erfordern: Der Agent identifiziert Benutzer, die nicht von einer Richtlinie für bedingten Zugriff abgedeckt sind, die MFA erfordert und die Richtlinie aktualisieren kann.
- Erfordern von gerätebasierten Steuerelementen: Der Agent kann gerätebasierte Steuerelemente erzwingen, z. B. Gerätekompatibilität, App-Schutzrichtlinien und in die Domäne eingebundene Geräte.
- Legacy-Authentifizierung blockieren: Benutzerkonten mit älteren Authentifizierungen können sich nicht anmelden.
- Blockieren des Gerätecodeflusses: Der Agent sucht nach einer Richtlinie, die den Gerätecodefluss blockiert.
- Riskante Benutzer: Der Agent schlägt eine Richtlinie vor, die eine sichere Kennwortänderung für Benutzer mit hohem Risiko erfordert. Erfordert eine Microsoft Entra ID P2-Lizenz.
- Risky-Anmeldungen: Der Agent schlägt eine Richtlinie vor, die eine mehrstufige Authentifizierung für Anmeldungen mit hohem Risiko erfordert. Erfordert eine Microsoft Entra ID P2-Lizenz.
- Risky-Agents: Der Agent schlägt eine Richtlinie vor, die die Authentifizierung für Anmeldungen mit hohem Risiko blockiert. Erfordert eine Microsoft Entra ID P2-Lizenz.
- Richtlinienkonsolidierung: Der Agent überprüft Ihre Richtlinie und identifiziert überlappende Einstellungen. Wenn Sie beispielsweise mehr als eine Richtlinie haben, die dieselben Zugriffsrechte steuert, schlägt der Agent vor, diese Richtlinien zu einer einzigen zu konsolidieren.
- Umfassende Analyse: Der Agent wertet Richtlinien aus, die wichtigen Szenarien entsprechen, um Ausreißerrichtlinien zu identifizieren, die mehr als eine empfohlene Anzahl von Ausnahmen aufweisen (was zu unerwarteten Lücken bei der Abdeckung führt) oder keine Ausnahmen (was zu möglichen Sperrungen führt).
- Tiefgehende Analyse der MFA-Abdeckungslücken: Der Agent überprüft alle aktivierten Richtlinien für den bedingten Zugriff in Ihrem Mandanten, um Benutzer zu identifizieren, die von keiner MFA-Richtlinie erfasst werden. Dieser Scan umfasst Benutzer, die von Baselinerichtlinien ausgeschlossen sind, bei der Gruppenmitgliedschaft übersehen wurden oder durch Lücken zwischen sich überschneidenden Richtlinien fallen. Im Gegensatz zu Standardscans wertet diese Analyse die gesamte Mandantenkonfiguration aus und ist nicht auf die letzten 24 Stunden beschränkt.
- Zugriff mit den geringsten Berechtigungen für Agent-Identitäten (Vorschau): Der Agent identifiziert Agent-Identitäten mit ungenutzten oder überprivilegierten Microsoft Graph-Berechtigungen. Anschließend empfiehlt sie die Erzwingung der geringsten Rechte, z. B. das Entfernen nicht verwendeter Berechtigungen oder das Ersetzen allgemeiner Berechtigungen durch spezifischere Berechtigungen.
Von Bedeutung
Der Agent ändert keine vorhandenen Richtlinien, es sei denn, ein Administrator genehmigt den Vorschlag explizit.
Alle neuen Richtlinien, die der Agent vorschlägt, werden im Nur-Bericht-Modus erstellt.
Zwei Richtlinien können konsolidiert werden, wenn sie sich in nicht mehr als zwei Bedingungen oder Kontrollen unterscheiden.
Erste Schritte
Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Wählen Sie auf der neuen Startseite in der Benachrichtigungskarte für Agenten Zu Agenten wechseln aus.
Sie können " Agents" auch im linken Menü auswählen.
Wählen Sie auf der Kachel "Optimierungs-Agent für bedingten Zugriff" die Option "Details anzeigen" aus.
Wählen Sie "Agent starten" aus, um mit der ersten Ausführung zu beginnen.
Auf der Registerkarte "Übersicht" für den Agent werden alle Vorschläge im Feld "Zuletzt verwendete Vorschläge " angezeigt. Anschließend können Sie die Richtlinie überprüfen, die Auswirkungen auf die Richtlinie bestimmen und bei Bedarf die Änderungen anwenden. Weitere Informationen finden Sie unter Überprüfen und Anwenden von Vorschlägen aus dem Agent für die Optimierung des bedingten Zugriffs.
Einstellungen
Der Agent enthält mehrere leistungsstarke Einstellungen, um die Funktionen zu erweitern und sie für Ihre Organisation einzigartig zu machen. Sie können die folgenden Funktionen auf der Registerkarte Einstellungen konfigurieren. Weitere Informationen finden Sie unter Einstellungen des Agents für die Optimierung des bedingten Zugriffs.
- Dem Agenten erlauben, alle 24 Stunden automatisch ausgeführt zu werden.
- Aktivieren Sie aktivitätsbasierte Ausführungen , um den Agent auszulösen, wenn relevante Mandantenänderungen auftreten (Vorschau).
- Legen Sie den Agent fest, um nach Änderungen an Benutzern und Anwendungen zu suchen.
- Dem Agenten erlauben, Richtlinien im reinen Berichtsmodus zu erstellen.
- Dem Agenten erlauben, Benachrichtigungen zu senden über Microsoft Teams.
- Zulassen, dass der Agent phasenweise Rolloutpläne erstellen kann.
- Zulassen, dass der Agent Passkey-Einführungskampagnen erstellen kann.
- Aktivieren Sie die Integration in ServiceNow für die automatische Ticketerstellung.
- Stellen Sie dem Agent Wissensquellen für organisationsspezifische Vorschläge bereit.
- Öffnen Sie das Insights-Dashboard, um agentengesteuerte Zero-Trust-Verbesserungen Ihrer Sicherheitslage zu verfolgen (Vorschau).
Integrierte Schnittstellen
Der Optimierungs-Agent für bedingten Zugriff kann Richtlinienvorschläge für Organisationen erstellen, die Intune für die Geräteverwaltung und den globalen sicheren Zugriff für den Netzwerkzugriff verwenden.
Intune-Integration
Der Agent für die Optimierung des bedingten Zugriffs wird in Intune integriert, um Folgendes zu ermöglichen:
- Überwachen Sie die in Intune konfigurierten Gerätecompliance- und Anwendungsschutzrichtlinien.
- Identifizieren sie potenzielle Lücken bei der Erzwingung des bedingten Zugriffs.
Durch diesen proaktiven und automatisierten Ansatz wird sichergestellt, dass Richtlinien für bedingten Zugriff weiterhin den Sicherheitszielen und den Complianceanforderungen der Organisation entsprechen. Die Agentvorschläge sind mit den anderen Richtlinienvorschlägen identisch, außer dass Intune einen Teil des Signals an den Agenten überträgt.
Agentvorschläge für Intune-Szenarien decken bestimmte Benutzergruppen und Plattformen (iOS oder Android) ab. Der Agent identifiziert z. B. eine aktive Intune-Richtlinie für den App-Schutz, die auf die Finanzgruppe ausgerichtet ist, legt jedoch fest, dass keine ausreichende Richtlinie für bedingten Zugriff den App-Schutz erzwingt. Der Agent erstellt eine Berichtserstellungsrichtlinie, die vorschreibt, dass Benutzer nur über konforme Anwendungen auf iOS-Geräten auf Ressourcen zugreifen können.
Um Intune-Gerätekompatibilitäts- und App-Schutzrichtlinien zu identifizieren, muss der Agent als globaler Administrator oder Administrator für bedingten Zugriff und globaler Reader ausgeführt werden. Die Rolle "Administrator für bedingten Zugriff" reicht nicht allein für den Agent aus, um Intune-Vorschläge zu erstellen.
Globale Integration für den sicheren Zugriff
Microsoft Entra Internet Access und Microsoft Entra Private Access (gemeinsam als globaler sicherer Zugriff bezeichnet) werden in den Optimierungs-Agent für bedingten Zugriff integriert, um Vorschläge für die Netzwerkzugriffsrichtlinien Ihrer Organisation bereitzustellen. Der Vorschlag Neue Richtlinie aktivieren, um Anforderungen für den Netzwerkzugriff von Global Secure Access zu erzwingen hilft Ihnen dabei, Ihre Richtlinien für Global Secure Access, die Netzwerkstandorte und geschützte Anwendungen umfassen, aufeinander abzustimmen.
Mit dieser Integration identifiziert der Agent Benutzer oder Gruppen, die nicht von einer Richtlinie für bedingten Zugriff abgedeckt sind, um nur über genehmigte globale Sichere Zugriffskanäle Zugriff auf Unternehmensressourcen zu erfordern. Diese Richtlinie erfordert, dass Benutzer mithilfe des sicheren globalen Zugriffsnetzwerks der Organisation eine Verbindung mit Unternehmensressourcen herstellen, bevor Sie auf Unternehmens-Apps und -Daten zugreifen. Benutzer, die eine Verbindung von nicht verwalteten oder nicht vertrauenswürdigen Netzwerken herstellen, werden aufgefordert, den Global Secure Access-Client oder das Webgateway zu verwenden. Sie können Anmeldeprotokolle überprüfen, um kompatible Verbindungen zu überprüfen.
Entfernen des Agents
Wenn Sie den Optimierungs-Agent für bedingten Zugriff nicht mehr verwenden möchten, wählen Sie " Agent entfernen" oben im Agent-Fenster aus. Die vorhandenen Daten (Agentaktivität, Vorschläge und Metriken) werden entfernt, aber alle basierend auf den Agentvorschlägen erstellten oder aktualisierten Richtlinien bleiben erhalten. Zuvor angewendete Vorschläge bleiben unverändert, sodass Sie weiterhin die Richtlinien verwenden können, die der Agent erstellt oder geändert hat.
Bereitstellen von Feedback
Um Microsoft Feedback zum Agent zu geben, verwenden Sie die Schaltfläche Microsoft Feedback geben oben im Agentfenster.
Häufig gestellte Fragen
Wann sollte ich den Optimierungs-Agent für bedingten Zugriff im Vergleich zu Copilot Chat verwenden?
Der Agent für die Optimierung des Bedingten Zugriffs und Microsoft Copilot Chat bieten unterschiedliche Einblicke in Ihre Richtlinien für den Bedingten Zugriff. In der folgenden Tabelle werden die beiden Features verglichen.
| Scenario | Agent zur Optimierung des bedingten Zugriffs | Copilot-Chat |
|---|---|---|
| Allgemeine Szenarien | ||
| Mandantenspezifische Konfiguration | ✅ | |
| Erweiterte Begründung | ✅ | |
| Einblicke auf Abruf | ✅ | |
| Interaktive Problembehandlung | ✅ | |
| Kontinuierliche Richtlinienbewertung | ✅ | |
| Vorschläge zur automatisierten Verbesserung | ✅ | |
| Leitfaden zu bewährten Methoden und Konfigurationen der Zertifizierungsstelle | ✅ | ✅ |
| Spezifische Szenarien | ||
| Proaktive Identifizierung von nicht geschützten Benutzern oder Anwendungen | ✅ | |
| Erzwingen von MFA und anderen grundlegenden Sicherheitskontrollen für alle Benutzer | ✅ | |
| Kontinuierliche Überwachung und Optimierung von Zertifizierungsstellenrichtlinien | ✅ | |
| Richtlinienänderungen mit nur einem Klick | ✅ | |
| Überprüfung vorhandener CA-Richtlinien und Zuweisungen („Finden die Richtlinien auf Alice Anwendung?“) | ✅ | ✅ |
| Problembehandlung beim Benutzerzugriff („Warum wurde Alice zur MFA aufgefordert?“) | ✅ |
Ich habe den Agenten aktiviert, aber der Status der Aktivität steht auf „Fehlgeschlagen“. Was passiert?
Es ist möglich, dass Sie den Agent vor Microsoft Ignite 2025 aktiviert haben, indem Sie ein Konto verwenden, das die Rollenaktivierung mit Privileged Identity Management (PIM) erfordert. Der Versuch, den Agent auszuführen, schlug fehl, da das Konto zu diesem Zeitpunkt nicht über die erforderlichen Berechtigungen verfügte. Ein bedingter Zugriffsoptimierungs-Agent, der nach dem 17. November 2025 aktiviert wurde, verwendet nicht mehr die Identität des Benutzers, der ihn aktiviert hat.
Sie können dieses Problem beheben, indem Sie zu Microsoft Entra-Agent-ID migrieren. Wählen Sie "Agentidentität erstellen" entweder über die Bannernachricht auf der Agentseite oder über den Abschnitt " Identität und Berechtigungen " der Agenteinstellungen aus.