Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’agent d’optimisation de l’accès conditionnel vous permet de vous assurer que tous les utilisateurs sont protégés par la stratégie. Il recommande des stratégies et des modifications basées sur les meilleures pratiques alignées sur la confiance zéro et les apprentissages de Microsoft.
En préversion, l’agent d’optimisation de l’accès conditionnel évalue les stratégies telles que la nécessité d’une authentification multifacteur (MFA), l’application de contrôles basés sur les appareils (conformité des appareils, stratégies de protection des applications et appareils joints à un domaine) et le blocage du flux d’authentification hérité et de code d’appareil.
L’agent évalue également toutes les stratégies activées existantes pour proposer une consolidation potentielle de stratégies similaires.
Conditions préalables
- Vous devez disposer au moins de la licence Microsoft Entra ID P1 .
- Vous devez disposer d’unités de calcul de sécurité (SCU) disponibles.
- En moyenne, le fonctionnement de chaque agent consomme moins d'une SCU.
- Pour activer l’agent la première fois, vous avez besoin du rôle Administrateur de sécurité ou Administrateur général pendant la préversion.
- Vous pouvez affecter des administrateurs d’accès conditionnel avec l’accès Copilot de sécurité, ce qui permet également à vos administrateurs d’accès conditionnel d’utiliser l’agent.
- Pour plus d’informations, consultez Attribuer un accès à Sécurité Copilot
- Les contrôles basés sur les appareils nécessitent des licences Microsoft Intune.
- Passer en revue la confidentialité et la sécurité des données dans Microsoft Security Copilot
Limites
- Pendant la préversion, évitez d’utiliser un compte pour configurer l’agent qui nécessite l’activation de rôle avec Privileged Identity Management (PIM). L’utilisation d’un compte qui n’a pas d’autorisations permanentes peut entraîner des échecs d’authentification pour l’agent.
- Une fois les agents démarrés, ils ne peuvent pas être arrêtés ou suspendus. L’exécution peut prendre quelques minutes.
- Pour la consolidation des stratégies, chaque exécution de l’agent prend en compte uniquement quatre paires de stratégies similaires.
- L’agent s’exécute actuellement en tant qu’utilisateur qui l’active.
- En préversion, vous devez uniquement exécuter l’agent à partir du Centre d’administration Microsoft Entra.
- L’analyse est limitée à une période de 24 heures.
- Les suggestions de l’agent ne peuvent pas être personnalisées ou remplacées.
Fonctionnalités clés de l’agent d’optimisation de l’accès conditionnel
L’agent d’optimisation de l’accès conditionnel analyse votre client à la recherche de nouveaux utilisateurs et applications et détermine si les politiques d’accès conditionnel sont applicables. En préversion, les principales fonctionnalités sont les suivantes :
- Exiger l’authentification multifacteur : l’agent identifie les utilisateurs qui ne sont pas couverts par une stratégie d’accès conditionnel qui requiert l’authentification multifacteur et peuvent mettre à jour la stratégie.
- Exiger des contrôles basés sur les appareils : l’agent peut appliquer des contrôles basés sur les appareils, tels que la conformité des appareils, les stratégies de protection des applications et les appareils joints à un domaine.
- Bloquer l’authentification héritée : les comptes d’utilisateur avec l’authentification héritée ne peuvent pas se connecter.
- Consolidation de stratégie : l’agent analyse votre stratégie et identifie les paramètres qui se chevauchent. Par exemple, si vous avez plusieurs stratégies qui ont les mêmes contrôles d’octroi, l’agent suggère de consolider ces stratégies en une seule.
- Bloquer le flux de code d’appareil : l’agent recherche une stratégie bloquant l’authentification du flux de code d’appareil.
- Correction en un clic : lorsque l’agent identifie une suggestion, vous pouvez sélectionner Appliquer une suggestion pour que l’agent met à jour la stratégie associée en un clic.
Mise en route
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
Dans la nouvelle page d’accueil, sélectionnez Accéder aux agents depuis la carte de notification d'agent, puis sélectionnez Afficher les détails sous Agent d’optimisation de l’accès conditionnel.
Sélectionnez Exécuter l’agent pour commencer votre première exécution.
Lorsque la page vue d’ensemble de l’agent se charge, toutes les suggestions s’affichent en haut. Vous pouvez également voir les activités récentes et les points forts des performances.
Sélectionnez Vérifier la suggestion pour afficher les détails de la suggestion. Les étapes suivantes de cette page incluent les options suivantes :
- Appliquer une suggestion : l’agent peut appliquer les modifications suggérées à la stratégie en un clic.
- Passer en revue les modifications de stratégie : passez en revue les modifications de stratégie avant de les appliquer.
- Impact de la stratégie : affiche une visualisation de l’impact potentiel de la stratégie. Pour plus d’informations, consultez Impact sur la stratégie.
Une fois que les administrateurs évaluent les paramètres de stratégie à l’aide de l’impact de la stratégie ou du mode rapport uniquement, ils peuvent déplacer le bouton bascule Activer la stratégie de rapport uniquement vers Activé.
Conseil / Astuce
- Les stratégies créées par l’agent sont marquées avec l’agent d’optimisation de l’accès conditionnel dans le volet Stratégies d’accès conditionnel.
- Les stratégies nouvellement créées sont créées en mode rapport uniquement. En tant que meilleure pratique, les organisations devraient exclure leurs comptes de secours de la politique pour éviter d'être bloquées en raison d'une mauvaise configuration.
Examen des résultats
L’agent peut s’exécuter et :
- Ne pas identifier les utilisateurs non protégés ou recommander les modifications
- Suggérer la création d’une nouvelle stratégie d’accès conditionnel en mode rapport uniquement
- Suggérer l’ajout d’utilisateurs nouvellement créés à une stratégie existante
Avertissement
Les stratégies en mode rapport uniquement nécessitant un appareil conforme peuvent inviter les utilisateurs sur macOS, iOS et les appareils Android à sélectionner un certificat d’appareil pendant l’évaluation de stratégie, même si la conformité des appareils n’est pas appliquée. Ces messages d'invite peuvent se répéter jusqu'à ce que l'appareil ait atteint la conformité. Pour empêcher les utilisateurs de recevoir des notifications pendant la connexion, excluez les plateformes d’appareils Mac, iOS et Android des stratégies en mode rapport effectuant des vérifications de conformité des appareils.
Envoi de commentaires
Utilisez le bouton Donner des commentaires Microsoft en haut de la fenêtre de l’agent pour fournir des commentaires à Microsoft sur l’agent.
Paramètres
Une fois l’agent activé, vous pouvez ajuster quelques paramètres. Vous pouvez accéder aux paramètres à partir de deux emplacements dans le Centre d’administration Microsoft Entra :
- Depuis Agents>Agent d’optimisation de l’accès conditionnel>Paramètres.
- Dans l’accès conditionnel>, sélectionnez la carte de l’agent d’optimisation de l’accès conditionnel sous Résumé de la stratégie>Paramètres.
Déclencheur
L’agent est configuré pour s’exécuter toutes les 24 heures en fonction du moment où il est initialement configuré. Vous pouvez l’exécuter à un moment spécifique en désactivant le paramètre Déclencheur, puis en le réactivant lorsque vous souhaitez qu’il fonctionne.
Objets
Utilisez les cases à cocher sous Objets pour spécifier ce que l’agent doit surveiller lors de la création de recommandations de stratégie. Par défaut, l’agent recherche à la fois de nouveaux utilisateurs et applications dans votre environnement au cours des dernières 24 heures.
Identité et autorisations
L’agent s’exécute sous l’identité et les autorisations de l’utilisateur qui a activé l’agent dans votre locataire. En raison de cette exigence, vous devez éviter d’utiliser un compte qui requiert une élévation, comme ceux qui utilisent PIM pour une élévation juste-à-temps.
Les rôles Administrateur de sécurité et Administrateur général ont également accès à Security Copilot par défaut.
Vous pouvez attribuer l’accès à Sécurité Copilot aux Administrateurs de l’accès conditionnel. Cette autorisation permet également à vos administrateurs d’accès conditionnel d’utiliser l’agent. Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.
Instructions personnalisées
Vous pouvez adapter la stratégie à vos besoins à l’aide du champ Instructions personnalisées facultatives. Ce paramètre vous permet de fournir un prompt à l’agent dans le cadre de son exécution. Par exemple : « L’utilisateur « Break Glass » doit être exclu des stratégies créées.
Supprimer l’agent
Si vous ne souhaitez plus utiliser l’agent d’optimisation de l’accès conditionnel, vous pouvez le supprimer à l’aide du bouton Supprimer l’agent en haut de la fenêtre de l’agent.
Questions fréquentes (FAQ)
Quand dois-je utiliser l’agent d’optimisation de l’accès conditionnel et Copilot Chat ?
Les deux fonctionnalités fournissent des insights différents sur vos stratégies d’accès conditionnel. Le tableau suivant fournit une comparaison des deux fonctionnalités :
| Scénario | Agent d’optimisation de l’accès conditionnel | Discussion avec Copilot |
|---|---|---|
| Scénarios génériques | ||
| Utiliser une configuration spécifique au locataire | ✅ | |
| Raisonnement avancé | ✅ | |
| Aperçus à la demande | ✅ | |
| Résolution des problèmes interactifs | ✅ | |
| Évaluation continue des stratégies | ✅ | |
| Suggestions d’amélioration automatisées | ✅ | |
| Obtenir des conseils sur les meilleures pratiques et la configuration de l’autorité de certification | ✅ | ✅ |
| Scénarios spécifiques | ||
| Identifier de manière proactive les utilisateurs ou les applications non protégés | ✅ | |
| Appliquer l’authentification multifacteur et d’autres contrôles de référence pour tous les utilisateurs | ✅ | |
| Surveillance et optimisation continues des stratégies d’autorité de certification | ✅ | |
| Modifications de stratégie en un clic | ✅ | |
| Passez en revue les stratégies et affectations d’autorité de certification existantes (Les stratégies s’appliquent-elles à Alice ?) | ✅ | ✅ |
| Résoudre les problèmes d’accès d’un utilisateur (Pourquoi Alice a-t-elle été invité à utiliser l’authentification multifacteur ?) | ✅ |
J’ai activé l’agent, mais je vois « Échec » dans l’état de l’activité. Que se passe-t-il ?
Il est possible que l’agent ait été activé avec un compte qui nécessite l’activation de rôle avec Privileged Identity Management (PIM). Par conséquent, lorsque l’agent a tenté de se lancer, il a échoué, car le compte n’avait pas les autorisations requises à ce moment-là. Vous êtes invité à réauthentifier si l’autorisation PIM a expiré. Vous pouvez résoudre ce problème en supprimant l’agent, puis en réactivant l’agent avec un compte d’utilisateur disposant d’autorisations permanentes pour l’accès à Security Copilot. Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.