Partage via

Paramètres de l’agent d’optimisation de l’accès conditionnel

L’Agent d’optimisation de l’accès conditionnel aide les organisations à améliorer leur posture de sécurité en analysant les stratégies d’accès conditionnel pour les lacunes, les chevauchements et les exceptions. À mesure que l’accès conditionnel devient un composant central de la stratégie confiance zéro d’une organisation, les fonctionnalités de l’agent doivent être configurables pour répondre aux besoins uniques de votre organisation.

Les paramètres de l’agent décrits dans cet article couvrent les options standard telles que les déclencheurs, les notifications et l’étendue. Toutefois, les paramètres incluent également des options avancées telles que des instructions personnalisées, des intégrations Intune et des autorisations.

Important

L’intégration de ServiceNow et la fonctionnalité de chargement de fichiers dans l’agent d’optimisation de l’accès conditionnel sont actuellement en préversion. Cette information concerne un produit en version préliminaire susceptible d’être sensiblement modifié avant sa mise en production. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.

Guide pratique pour configurer les paramètres de l’agent

Vous pouvez accéder aux paramètres à partir de deux emplacements dans le Centre d’administration Microsoft Entra :

  • À partir des paramètres> del’agent> d’optimisation de l’accès conditionnel.
  • Dans l’accès conditionnel>, sélectionnez la carte de l’agent d’optimisation de l’accès conditionnel sous Résumé de la stratégie>Paramètres.

Capture d’écran de l’option déclencheur dans les paramètres de l’agent d’optimisation de l’accès conditionnel.

Sélectionnez la catégorie dans le menu de gauche pour parcourir tous les paramètres. Après avoir apporté des modifications, sélectionnez le bouton Enregistrer en bas de la page.

Déclencheur

L’agent est configuré pour s’exécuter toutes les 24 heures, en fonction du moment où il a été initialement configuré. Vous pouvez exécuter manuellement l’agent à tout moment.

Capacités

La catégorie Fonctionnalités inclut des paramètres importants que vous devez passer en revue.

  • Objets Microsoft Entra à surveiller : utilisez les cases à cocher pour spécifier ce que l’agent doit surveiller lors de la création de recommandations de stratégie. Par défaut, l’agent recherche à la fois de nouveaux utilisateurs et applications dans votre environnement au cours des dernières 24 heures.
  • Fonctionnalités de l’agent : par défaut, l’agent d’optimisation de l’accès conditionnel peut créer de nouvelles stratégies en mode rapport uniquement. Vous pouvez modifier ce paramètre afin qu’un administrateur doit approuver la nouvelle stratégie avant sa création. La stratégie est toujours créée en mode rapport uniquement, mais uniquement après l’approbation de l’administrateur. Après avoir examiné l’impact de la stratégie, vous pouvez activer la stratégie directement à partir de l’expérience de l’agent ou de l’accès conditionnel.
  • Déploiement par phases : lorsque l’agent crée une stratégie en mode rapport uniquement et que cette stratégie répond aux critères d’un déploiement par phases, la stratégie est déployée en phases, de sorte que vous pouvez surveiller l’effet de la nouvelle stratégie. Le déploiement par phases est activé par défaut. Pour plus d’informations, consultez Déploiement progressif de l’agent d’optimisation de l’accès conditionnel.

Capture d’écran des paramètres des fonctionnalités de l’agent d’optimisation de l’accès conditionnel.

Notifications

L’agent d’optimisation de l’accès conditionnel peut envoyer des notifications via Microsoft Teams à un ensemble de destinataires sélectionné. Avec l’application agent d’accès conditionnel dans Microsoft Teams, les destinataires reçoivent des notifications directement dans leur conversation Teams lorsque l’agent affiche une nouvelle suggestion.

Pour ajouter l’application agent à Microsoft Teams :

  1. Dans Microsoft Teams, sélectionnez Applications dans le menu de navigation de gauche, puis recherchez et sélectionnez l’agent d’accès conditionnel.

    Capture d’écran du bouton de l’application d’accès conditionnel dans Teams.

  2. Sélectionnez le bouton Ajouter , puis sélectionnez le bouton Ouvrir pour ouvrir l’application.

  3. Pour faciliter l’accès à l’application, cliquez avec le bouton droit sur l’icône de l’application dans le menu de navigation de gauche, puis sélectionnez Épingler.

Pour configurer les notifications dans les paramètres de l’agent d’optimisation de l’accès conditionnel :

  1. Dans les paramètres de l’agent d’optimisation de l’accès conditionnel, sélectionnez le lien Sélectionner des utilisateurs et des groupes .

  2. Sélectionnez les utilisateurs ou les groupes que vous souhaitez recevoir des notifications, puis sélectionnez le bouton Sélectionner .

    Capture d’écran du paramètre de l’agent d’accès conditionnel pour sélectionner les utilisateurs et les groupes pour les notifications.

  3. En bas de la page Paramètres principaux, sélectionnez le bouton Enregistrer .

Vous pouvez sélectionner jusqu’à 10 destinataires pour recevoir des notifications. Vous pouvez sélectionner un groupe pour recevoir les notifications, mais l’appartenance à ce groupe ne peut pas dépasser 10 utilisateurs. Si vous sélectionnez un groupe dont moins de 10 utilisateurs sont ajoutés plus tard, le groupe ne reçoit plus de notifications. De même, les notifications ne peuvent être envoyées qu’à cinq objets, comme une combinaison d’utilisateurs ou de groupes individuels. Pour arrêter la réception de notifications, supprimez votre objet utilisateur ou le groupe dans lequel vous êtes inclus dans la liste du destinataire.

À ce stade, la communication de l’agent est unidirectionnelle. Pour le moment, vous pouvez recevoir des notifications, mais vous ne pouvez pas y répondre dans Microsoft Teams. Pour prendre des mesures sur une suggestion, sélectionnez Vérifier la suggestion dans la conversation pour ouvrir l’Agent d’optimisation de l’accès conditionnel dans le Centre d’administration Microsoft Entra.

Capture d’écran du message de notification de l’agent d’accès conditionnel dans Teams.

Sources de connaissances

L’Agent d’optimisation de l’accès conditionnel peut extraire de deux sources de connaissances différentes pour apporter des suggestions adaptées à la configuration unique de votre organisation.

Instructions personnalisées

Vous pouvez adapter la stratégie à vos besoins à l’aide du champ Instructions personnalisées facultatives. Ce paramètre vous permet de fournir un prompt à l’agent dans le cadre de son exécution. Ces instructions peuvent être utilisées pour :

  • Inclure ou exclure des utilisateurs, des groupes et des rôles spécifiques
  • Exclure les objets de la considération par l’agent ou de l’ajout à la stratégie d’accès conditionnel
  • Appliquez des exceptions à des stratégies spécifiques, telles que l’exclusion d’un groupe spécifique d’une stratégie, l’authentification multifacteur ou la nécessité de stratégies de gestion des applications mobiles.

Vous pouvez entrer le nom ou l’ID d’objet dans les instructions personnalisées. Les deux valeurs sont validées. Si vous ajoutez le nom du groupe, l’ID d’objet de ce groupe est automatiquement ajouté en votre nom. Exemples d’instructions personnalisées :

  • « Exclure les utilisateurs du groupe « Break Glass » de toute stratégie nécessitant une authentification multifacteur.
  • « Exclure l’utilisateur avec l’ID d’objet dddddddd-3333-4444-5555-eeeeeeeeeeee de toutes les politiques »

Un scénario courant à prendre en compte est que votre organisation dispose de nombreux utilisateurs invités que vous ne souhaitez pas que l’agent suggère d’ajouter à vos stratégies d’accès conditionnel standard. Si l’agent s’exécute et voit de nouveaux utilisateurs invités qui ne sont pas couverts par les stratégies recommandées, des SCUs sont consommées pour suggérer d’autres stratégies qui ne sont pas nécessaires pour couvrir ces utilisateurs. Pour empêcher les utilisateurs invités d’être considérés par l’agent :

  1. Créez un groupe dynamique appelé « Invités » où (user.userType -eq "guest").
  2. Ajoutez une instruction personnalisée en fonction de vos besoins.
    • Exclure le groupe « Invités » de la prise en compte par l'agent.
    • « Exclure le groupe « Invités » de toutes les stratégies de gestion des applications mobiles.

Pour plus d’informations sur l’utilisation d’instructions personnalisées, consultez la vidéo suivante.

Certains contenus de la vidéo, tels que les éléments d’interface utilisateur, sont susceptibles de changer, car l’agent est mis à jour fréquemment.

Fichiers (préversion)

L’Agent d’optimisation de l’accès conditionnel inclut un mécanisme permettant de fournir des instructions spécifiques sur votre organisation. Ces instructions peuvent inclure des informations telles que des conventions de nommage des stratégies d’accès conditionnel, des procédures spécifiques et des structures organisationnelles afin que les suggestions de l’agent soient encore plus pertinentes pour votre environnement. Ces fichiers chargés constituent la base de connaissances de l’agent. Pour plus d’informations, consultez la base de connaissances de l’Agent d’optimisation de l’accès conditionnel.

Important

Vos données restent dans l’agent et ne sont pas utilisées pour l’entraînement du modèle.

Pour ajouter un fichier à la base de connaissances :

  1. Accédez auxfichiers> de l’agent >d’optimisation de l’accès conditionnel.
  2. Sélectionnez le bouton Charger .
  3. Faites glisser et déposez le fichier dans le panneau qui s’ouvre ou sélectionnez l’espace Charger le fichier pour accéder au fichier sur votre ordinateur.

L’agent traite le fichier et l’analyse pour s’assurer qu’il inclut les informations nécessaires.

Plug-ins

Outre les intégrations intégrées Intune et Global Secure Access , l’Agent d’optimisation de l’accès conditionnel fournit également des intégrations externes pour simplifier vos flux de travail existants.

Intégration de ServiceNow (préversion)

Les organisations qui utilisent le plug-in ServiceNow pour Security Copilot peuvent désormais avoir l’agent d’optimisation de l’accès conditionnel créer des demandes de modification ServiceNow pour chaque nouvelle suggestion générée par l’agent. Cette fonctionnalité permet aux équipes informatiques et de sécurité de suivre, d’examiner et d’approuver ou de rejeter des suggestions d’agent dans les flux de travail ServiceNow existants. À ce stade, seules les demandes de modification (CHG) sont prises en charge.

Pour utiliser l’intégration de ServiceNow, votre organisation doit avoir configuré le plug-in ServiceNow .

Capture d’écran des paramètres d’intégration de ServiceNow.

Lorsque le plug-in ServiceNow est activé dans les paramètres de l’agent d’optimisation de l’accès conditionnel, chaque nouvelle suggestion de l’agent crée une demande de modification ServiceNow. La demande de modification inclut des détails sur la suggestion, telles que le type de stratégie, les utilisateurs ou les groupes affectés et la justification de la recommandation. L’intégration fournit également une boucle de commentaires : l’agent surveille l’état de la demande de modification ServiceNow et peut implémenter automatiquement la modification lorsque la demande de modification est approuvée.

Capture d’écran de l’intégration de ServiceNow dans une suggestion d’agent.

Permissions

Cette section des paramètres de l’agent décrit l’identité sous laquelle l’agent s’exécute et les autorisations qu’il utilise pour fonctionner.

Identité de l’agent

L’agent d’optimisation de l’accès conditionnel prend désormais en charge l’ID de Microsoft Entra Agent, ce qui permet à l’agent de s’exécuter sous sa propre identité plutôt qu’à l’identité d’un utilisateur spécifique. Cette fonctionnalité améliore la sécurité, simplifie la gestion et offre une plus grande flexibilité.

Sélectionnez Gérer l’identité de l’agent pour afficher les détails de l’agent dans l’ID de Microsoft Entra Agent.

Capture d’écran de la vue des paramètres de l’agent pour les autorisations et identities.png

  • Les nouvelles installations de l’agent par défaut utilisent une identité d’agent.
  • Les installations existantes peuvent basculer du contexte utilisateur pour s’exécuter sous une identité d’agent à tout moment.
    • Cette modification n’a pas d’impact sur la création de rapports ou l’analytique.
    • Les stratégies et recommandations existantes ne sont pas affectées.
    • Les clients ne peuvent pas revenir au contexte utilisateur précédent.
    • Les administrateurs disposant du rôle Administrateur de sécurité peuvent apporter cette modification. Sélectionnez Créer une identité d’agent dans le message de bannière sur la page de l’agent ou dans la section Identité et autorisations des paramètres de l’agent.

L’activation et l’utilisation de l’agent d’optimisation de l’accès conditionnel nécessitent également des rôles Copilot de sécurité. L’administrateur de sécurité a accès à Security Copilot par défaut. Vous pouvez attribuer l’accès à Sécurité Copilot aux Administrateurs de l’accès conditionnel. Cette autorisation permet également à vos administrateurs d’accès conditionnel d’utiliser l’agent. Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.

Autorisations d’agent

L’identité de l’agent utilise les autorisations suivantes pour effectuer ses tâches. Ces autorisations sont attribuées automatiquement lorsque vous créez l’identité de l’agent.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

L’Agent d’optimisation de l’accès conditionnel utilise le contrôle d’accès en fonction du rôle pour utiliser l’agent. Le rôle le moins privilégié nécessaire pour utiliser l’agent est administrateur de l’accès conditionnel.

  • Last updated on