Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A feltételes hozzáférés optimalizálási ügynöke segít biztosítani, hogy minden felhasználót szabályzat védjön. Szabályzatokat és módosításokat javasol a zéró megbízhatósággal és a Microsoft tanulságaival összhangban álló ajánlott eljárások alapján.
Előzetes verzióban a feltételes hozzáférés optimalizálási ügynöke olyan szabályzatokat értékel ki, mint a többtényezős hitelesítés (MFA) megkövetelése, az eszközalapú vezérlők kényszerítése (eszközmegfelelőség, alkalmazásvédelmi szabályzatok és tartományhoz csatlakoztatott eszközök), valamint az örökölt hitelesítés és az eszközkód-folyamat blokkolása.
Az ügynök az összes meglévő engedélyezett szabályzatot is kiértékeli, hogy a hasonló szabályzatok lehetséges konszolidálására tegyen javaslatot.
Előfeltételek
- Legalább a Microsoft Entra ID P1 licenccel kell rendelkeznie.
- Rendelkezésre álló biztonsági számítási egységekkel (SCU) kell rendelkeznie.
- Az egyes ügynökfuttatások átlagosan egynél kevesebb SCU-t használnak fel.
- Az ügynök első aktiválásához az előzetes verzióban biztonsági rendszergazdai vagy globális rendszergazdai szerepkörre van szükség.
-
Feltételes hozzáférési rendszergazdákat rendelhet hozzá a Security Copilot-hozzáféréssel, így a feltételes hozzáférési rendszergazdák is használhatják az ügynököt.
- További információ: Security Copilot-hozzáférés hozzárendelése
- Az eszközalapú vezérlőkhez Microsoft Intune-licencek szükségesek.
- Adatvédelem és adatbiztonság áttekintése a Microsoft Security Copilotban
Korlátozások
- Az előzetes verzióban ne használjon fiókot az ügynök beállításához, amely szerepkör-aktiválást igényel a Privileged Identity Management (PIM) szolgáltatással. Az állandó engedélyekkel nem rendelkező fiók használata hitelesítési hibákat okozhat az ügynök számára.
- Az ügynökök elindítása után nem állíthatók le vagy nem függeszthetők fel. Lehet, hogy a futás eltarthat néhány percig.
- A szabályzatkonszolidációhoz minden ügynök futásakor csak négy hasonló szabályzatpárt vizsgál meg.
- Az ügynök jelenleg az azt engedélyező felhasználóként fut.
- Előzetes verzióban csak a Microsoft Entra felügyeleti központból futtassa az ügynököt.
- A vizsgálat 24 órás időtartamra korlátozódik.
- Az ügynök javaslatai nem szabhatók testre és nem bírálhatók felül.
A feltételes hozzáférés optimalizálási ügynök legfontosabb funkciói
A feltételes hozzáférés optimalizálási ügynöke új felhasználókat és alkalmazásokat keres a bérlőn, és megállapítja, hogy alkalmazhatók-e a feltételes hozzáférési szabályzatok. Előzetes verzióban a főbb funkciók a következők:
- MFA megkövetelése: Az ügynök azonosítja a feltételes hozzáférési szabályzat hatálya alá nem tartozó felhasználókat, akik MFA-t igényelnek, és frissíthetik a szabályzatot.
- Eszközalapú vezérlők megkövetelése: Az ügynök kényszerítheti az eszközalapú vezérlőket, például az eszközmegfelelőséget, az alkalmazásvédelmi szabályzatokat és a tartományhoz csatlakoztatott eszközöket.
- Az örökölt hitelesítés letiltása: Az örökölt hitelesítéssel rendelkező felhasználói fiókok nem lesznek bejelentkezve.
- Szabályzatkonszolidáció: Az ügynök megvizsgálja a szabályzatot, és azonosítja az átfedésben lévő beállításokat. Ha például több olyan szabályzattal rendelkezik, amely ugyanazokkal a támogatási vezérlőkkel rendelkezik, az ügynök azt javasolja, hogy egyesítse a szabályzatokat egybe.
- Eszközkód-folyamat letiltása: Az ügynök olyan szabályzatot keres, amely blokkolja az eszközkód-folyamat hitelesítését.
- Egykattintásos szervizelés: Ha az ügynök azonosít egy javaslatot, a Javaslat alkalmazása lehetőséget választva az ügynök egyetlen kattintással frissítheti a társított szabályzatot.
Kezdő lépések
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább biztonsági rendszergazdaként.
Az új kezdőlapon válassza az Ügynök értesítési kártyáján az Ügynökök megnyitása lehetőséget, majd válassza a Részletek megtekintése lehetőséget a feltételes hozzáférés-optimalizálási ügynök alatt.
Válassza az Ügynök futtatása opciót az első futtatás megkezdéséhez.
Az ügynök áttekintési oldalának betöltésekor a javaslatok felül jelennek meg. A legutóbbi tevékenységek és teljesítménykiemelések is láthatók.
Válassza a Javaslat áttekintése lehetőséget a javaslat részleteinek megtekintéséhez. A lap következő lépései a következő lehetőségeket tartalmazzák:
- Javaslat alkalmazása: Az ügynök egyetlen kattintással alkalmazhatja a javasolt módosításokat a szabályzatra.
- Szabályzatmódosítások áttekintése: Az alkalmazásuk előtt tekintse át a szabályzat módosításait.
- Szabályzat hatása: Megjeleníti a szabályzat lehetséges hatásának vizualizációját. További információ: Szabályzatok hatása.
Miután a rendszergazdák a házirend-beállításokat szabályzat-hatás vagy csak jelentésalapú mód használatával értékelték ki, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés funkcióról a Be értékre.
Jótanács
- Az ügynök által létrehozott szabályzatok feltételes hozzáférés-optimalizálási ügynökkel vannak megjelölve a Feltételes hozzáférési szabályzatok panelen.
- Az újonnan létrehozott szabályzatok csak jelentés módban jönnek létre. Ajánlott eljárásként a szervezeteknek ki kell zárniuk az üvegtörési fiókjukat a szabályzatból, hogy ne legyenek kizárva a helytelen konfiguráció miatt.
Eredmények áttekintése
Előfordulhat, hogy az ügynök fut, és:
- Nem azonosítja a nem védett felhasználókat, és nem javasol módosításokat
- Javaslat új feltételes hozzáférési szabályzat létrehozására csak jelentés módban
- Javaslat újonnan létrehozott felhasználók meglévő szabályzathoz való hozzáadására
Figyelmeztetés
A csak jelentéskészítési módban lévő, megfelelő eszközt igénylő szabályzatok arra kérhetik a macOS, iOS és Android rendszerű eszközökön lévő felhasználókat, hogy válasszanak ki egy eszköztanúsítványt a szabályzat kiértékelése során, annak ellenére, hogy az eszközmegfelelőség nincs kényszerítve. Ezek a kérések ismétlődhetnek, amíg az eszköz nem megfelelő. Ha meg szeretné akadályozni, hogy a végfelhasználók kéréseket kapjanak a bejelentkezés során, zárja ki a Mac, iOS és Android eszközplatformokat az eszközmegfelelési ellenőrzéseket végző csak jelentésalapú szabályzatokból.
Visszajelzés
Az ügynökablak tetején található Visszajelzés küldése gombra kattintva visszajelzést küldhet a Microsoftnak az ügynökről.
Beállítások
Ha az ügynök engedélyezve van, módosíthatja néhány beállítást. A beállításokat a Microsoft Entra felügyeleti központban két helyről érheti el:
- Az Ügynökök>feltételes hozzáférés optimalizálási ügynök>beállításai.
- A feltételes hozzáférésből> válassza ki a Feltételes hozzáférés optimalizálási ügynök kártyáját a Szabályzatösszegzési>beállítások területen.
Kiváltó
Az ügynök úgy van konfigurálva, hogy 24 óránként fusson, az első konfigurálás időpontjától kezdve. Futtathatja egy adott időpontban az eseményindító beállítás kikapcsolásával, majd visszakapcsolásával, amikor futtatni szeretné.
Tárgyak
Az Objektumok területen található jelölőnégyzetekkel megadhatja, hogy az ügynök mit monitorozhat szabályzatjavaslatok készítésekor. Alapértelmezés szerint az ügynök az előző 24 órás időszakban új felhasználókat és alkalmazásokat is keres a bérlőben.
Identitás és engedélyek
Az ügynök azon felhasználó identitása és engedélyei alatt fut , aki engedélyezte az ügynököt a bérlőben. Emiatt a követelmény miatt kerülnie kell olyan fiók használatát, amely jogosultsági szint emelést igényel, mint azok, amelyek a PIM-et használják az igény szerinti jogosultsági szint emeléshez.
A biztonsági rendszergazdai és a globális rendszergazdai szerepkörök alapértelmezés szerint a Security Copilothoz is hozzáférnek.
Feltételes hozzáférési rendszergazdákat rendelhet hozzá, akik rendelkeznek Security Copilot hozzáféréssel. Ez az engedélyezés lehetővé teszi a feltételes hozzáférési rendszergazdák számára az ügynök használatát is. További információ: Security Copilot-hozzáférés hozzárendelése.
Egyéni utasítások
A szabályzatot igényeihez igazíthatja az opcionális Egyéni utasítások mező használatával. Ez a beállítás lehetővé teszi, hogy a végrehajtás részeként kérést adjon meg az ügynöknek. Például: "A "Break Glass" felhasználót ki kell zárni a létrehozott szabályzatokból." Egyéni utasítások használhatók felhasználók, csoportok és szerepkörök belefoglalására vagy kizárására. Ezzel kizárhatja őket teljesen vagy egy adott forgatókönyvből, és a javasolt szabályzat kivételeinek hozzáadására is használható.
Ügynök eltávolítása
Ha már nem szeretné használni a feltételes hozzáférés optimalizálási ügynökét, az ügynök ablakának tetején található Ügynök eltávolítása gombbal távolíthatja el.
Gyakori kérdések
Mikor érdemes használni a feltételes hozzáférés optimalizálási ügynökét és a Copilot-csevegést?
Mindkét funkció különböző betekintést nyújt a feltételes hozzáférési szabályzatokba. Az alábbi táblázat a két funkció összehasonlítását tartalmazza:
| Forgatókönyv | Feltételes hozzáférés-optimalizálási ügynök | Copilot csevegés |
|---|---|---|
| Általános forgatókönyvek | ||
| Bérlőspecifikus konfiguráció használata | ✅ | |
| Speciális érvelés | ✅ | |
| Igény szerinti elemzések | ✅ | |
| Interaktív hibaelhárítás | ✅ | |
| Folyamatos szabályzatértékelés | ✅ | |
| Automatikus fejlesztési javaslatok | ✅ | |
| Útmutatás a CA legjobb gyakorlatokhoz és konfigurációhoz | ✅ | ✅ |
| Konkrét forgatókönyvek | ||
| Nem védett felhasználók vagy alkalmazások proaktív azonosítása | ✅ | |
| MFA és egyéb alapkonfiguráció-vezérlők kényszerítése minden felhasználó számára | ✅ | |
| Ca-szabályzatok folyamatos monitorozása és optimalizálása | ✅ | |
| Egykattintásos szabályzatmódosítások | ✅ | |
| Tekintse át a meglévő CA-házirendeket és -hozzárendeléseket (Vonatkoznak-e ezek a házirendek Alice-re?) | ✅ | ✅ |
| Felhasználó hozzáférésének hibaelhárítása (Miért kéri Alice az MFA-t?) | ✅ |
Aktiváltam az ügynököt, de a tevékenység állapotában az 'Sikertelen' elemet látom. Mi történik?
Lehetséges, hogy az ügynök olyan fiókkal lett engedélyezve, amely szerepkör-aktiválást igényel a Privileged Identity Management (PIM) szolgáltatással. Ezért amikor az ügynök megpróbált elindulni, sikertelen volt, mert a fiók nem rendelkezett a szükséges engedélyekkel abban az időben. Ha a PIM-engedély lejárt, a rendszer újrahitelesítést kér. A probléma megoldásához távolítsa el az ügynököt, majd engedélyezze újra az ügynököt egy olyan felhasználói fiókkal, amely állandó engedélyekkel rendelkezik a Security Copilot-hozzáféréshez. További információ: Security Copilot-hozzáférés hozzárendelése.