Bagikan melalui

Pengaturan Agen Pengoptimalan Akses Bersyarat

Agen Pengoptimalan Akses Bersyarat membantu organisasi meningkatkan postur keamanan mereka dengan menganalisis kebijakan Akses Bersyarat untuk kesenjangan, tumpang tindih, dan pengecualian. Karena Akses Bersyarkat menjadi komponen terpusat dari strategi Zero Trust organisasi, kemampuan agen harus dapat dikonfigurasi untuk memenuhi kebutuhan unik organisasi Anda.

Pengaturan agen yang dijelaskan dalam artikel ini mencakup opsi standar seperti pemicu, pemberitahuan, dan cakupan. Tetapi pengaturan juga mencakup opsi lanjutan seperti instruksi kustom, integrasi Intune, dan izin.

Penting

Integrasi ServiceNow dan kemampuan unggahan file di Agen Pengoptimalan Akses Bersyarat saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum rilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.

Cara mengonfigurasi pengaturan agen

Anda dapat mengakses pengaturan dari dua tempat di pusat admin Microsoft Entra:

  • Dari Agen>Agen Pengoptimalan Akses Bersyarat>Pengaturan.
  • Dari Akses Bersyarat>, pilih kartu agen pengoptimalan Akses Bersyarat di bawah ringkasan kebijakan> Pengaturan.

Cuplikan layar opsi pemicu di pengaturan agen Pengoptimalan Akses Bersyarat.

Pilih kategori dari menu sisi kiri untuk menavigasi melalui semua pengaturan. Setelah membuat perubahan apa pun, pilih tombol Simpan di bagian bawah halaman.

Pemicu

Agen dikonfigurasi untuk berjalan setiap 24 jam, berdasarkan waktu konfigurasi awalnya. Anda dapat menjalankan agen secara manual kapan saja.

Capabilities

Kategori Kemampuan mencakup pengaturan penting yang harus Anda tinjau.

  • Objek Microsoft Entra untuk dipantau: Gunakan kotak centang untuk menentukan apa yang harus dipantau agen saat membuat rekomendasi kebijakan. Secara default, agen mencari pengguna dan aplikasi baru di penyewa Anda selama periode 24 jam sebelumnya.
  • Kemampuan agen: Secara default, agen pengoptimalan Akses Bersyarat dapat membuat kebijakan baru dalam mode khusus laporan. Anda dapat mengubah pengaturan ini sehingga administrator harus menyetujui kebijakan baru sebelum dibuat. Kebijakan masih dibuat dalam mode khusus laporan, tetapi hanya setelah persetujuan admin. Setelah meninjau dampak kebijakan, Anda dapat mengaktifkan kebijakan langsung dari antarmuka agen atau melalui Akses Kondisional.
  • Peluncuran bertahap: Saat agen membuat kebijakan baru dalam mode khusus laporan dan kebijakan tersebut memenuhi kriteria untuk peluncuran bertahap, kebijakan diluncurkan secara bertahap, sehingga Anda dapat memantau efek kebijakan baru. Peluncuran bertahap aktif secara bawaan. Untuk informasi selengkapnya, lihat Peluncuran Bertahas Agen Pengoptimalan Akses Bersyarat.

Cuplikan layar pengaturan Kemampuan agen Pengoptimalan Akses Bersyarat.

Notifications

Agen pengoptimalan Akses Bersyarat dapat mengirim pemberitahuan melalui Microsoft Teams ke sekumpulan penerima tertentu. Dengan aplikasi agen Akses Bersyarat di Microsoft Teams, penerima menerima pemberitahuan langsung di obrolan Teams mereka saat agen menampilkan saran baru.

Untuk menambahkan aplikasi agen ke Microsoft Teams:

  1. Di Microsoft Teams, pilih Aplikasi dari menu navigasi di sebelah kiri, lalu cari dan pilih Agen Akses Bersyarat.

    Cuplikan layar tombol aplikasi Akses Bersyarat di Teams.

  2. Pilih tombol Tambahkan , lalu pilih tombol Buka untuk membuka aplikasi.

  3. Untuk mempermudah akses aplikasi, klik kanan ikon aplikasi di menu navigasi kiri dan pilih Sematkan.

Untuk mengonfigurasi pemberitahuan di pengaturan agen pengoptimalan Akses Bersyarat:

  1. Di pengaturan agen pengoptimalan Akses Bersyarat, pilih tautan Pilih pengguna dan grup .

  2. Pilih pengguna atau grup yang ingin Anda terima pemberitahuannya, lalu pilih tombol Pilih .

    Cuplikan layar pengaturan Agen Akses Bersyarat untuk memilih pengguna dan grup untuk pemberitahuan.

  3. Di bagian bawah halaman Pengaturan utama, pilih tombol Simpan .

Anda dapat memilih hingga 10 penerima untuk menerima pemberitahuan. Anda dapat memilih grup untuk menerima pemberitahuan, tetapi keanggotaan grup tersebut tidak boleh melebihi 10 pengguna. Jika Anda memilih grup yang memiliki kurang dari 10 pengguna tetapi lebih banyak lagi ditambahkan nanti, grup tidak lagi menerima pemberitahuan. Demikian pula, pemberitahuan hanya dapat dikirim ke lima objek, seperti kombinasi pengguna atau grup individual. Untuk berhenti menerima pemberitahuan, hapus objek pengguna atau grup tempat Anda disertakan dari daftar penerima.

Saat ini, komunikasi agen adalah satu arah, sehingga Anda dapat menerima pemberitahuan tetapi tidak dapat menanggapinya di Microsoft Teams. Untuk mengambil tindakan atas saran, pilih Tinjau saran dari obrolan untuk membuka Agen Pengoptimalan Akses Bersyarat di pusat admin Microsoft Entra.

Cuplikan layar pesan pemberitahuan agen Akses Kondisional di Teams.

Sumber pengetahuan

Agen Pengoptimalan Akses Bersyarat dapat menarik dari dua sumber pengetahuan yang berbeda untuk membuat saran yang disesuaikan dengan penyiapan unik organisasi Anda.

Instruksi khusus

Anda dapat menyesuaikan kebijakan dengan kebutuhan Anda menggunakan bidang Instruksi Kustom opsional. Pengaturan ini memungkinkan Anda untuk memberikan petunjuk kepada agen sebagai bagian dari proses eksekusinya. Instruksi ini dapat digunakan untuk:

  • Menyertakan atau mengecualikan pengguna, grup, dan peran tertentu
  • Mengecualikan objek agar tidak dipertimbangkan oleh agen atau ditambahkan ke kebijakan Akses Bersyarat.
  • Terapkan pengecualian untuk kebijakan tertentu, seperti mengecualikan grup tertentu dari kebijakan, memerlukan MFA, atau memerlukan kebijakan manajemen aplikasi seluler.

Anda dapat memasukkan nama atau ID objek dalam instruksi kustom. Kedua nilai divalidasi. Jika Anda menambahkan nama grup, ID objek untuk grup tersebut secara otomatis ditambahkan atas nama Anda. Contoh instruksi kustom:

  • "Kecualikan pengguna dalam grup "Break Glass" dari kebijakan apa pun yang memerlukan autentikasi multifaktor."
  • "Kecualikan pengguna dengan OBJECT ID dddddddd-3333-4444-5555-eeeeeeeeee dari semua kebijakan"

Skenario umum yang perlu dipertimbangkan adalah jika organisasi Anda memiliki banyak pengguna tamu yang tidak ingin disarankan agen untuk menambahkan ke kebijakan Akses Bersyarat standar Anda. Jika agen berjalan dan melihat pengguna tamu baru yang tidak tercakup oleh kebijakan yang direkomendasikan, SCU digunakan untuk menyarankan mencakup pengguna tamu tersebut dengan kebijakan yang tidak diperlukan. Untuk mencegah pengguna tamu dipertimbangkan oleh agen:

  1. Buat grup dinamis yang disebut "Tamu" di mana (user.userType -eq "guest").
  2. Tambahkan instruksi kustom, berdasarkan kebutuhan Anda.
    • "Kecualikan grup "Tamu" dari pertimbangan agen."
    • "Kecualikan grup "Tamu" dari kebijakan manajemen aplikasi seluler apa pun."

Untuk informasi selengkapnya tentang cara menggunakan instruksi kustom, lihat video berikut.

Beberapa konten dalam video, seperti elemen antarmuka pengguna, dapat berubah karena agen sering diperbarui.

File (Pratinjau)

Agen Pengoptimalan Akses Bersyarat menyertakan mekanisme untuk memberikan instruksi khusus tentang organisasi Anda. Instruksi ini dapat mencakup informasi seperti konvensi penamaan kebijakan Akses Bersyarat, prosedur unik, dan struktur organisasi sehingga saran agen bahkan lebih relevan dengan lingkungan Anda. File yang diunggah ini membentuk pangkalan pengetahuan untuk agen. Untuk informasi selengkapnya, lihat Pangkalan pengetahuan Agen Pengoptimalan Akses Bersyarat.

Penting

Data Anda tetap berada dalam agen dan tidak digunakan untuk pelatihan model.

Untuk menambahkan file ke pangkalan pengetahuan:

  1. Telusuri Pengoptimalan Agen Akses Bersyarat>Pengaturan>File.
  2. Pilih tombol Unggah.
  3. Seret dan letakkan file ke panel yang terbuka atau pilih ruang Unggah file untuk menavigasi ke file di komputer Anda.

Agen memproses file dan menganalisisnya untuk memastikannya mencakup informasi yang diperlukan.

Plugins

Selain integrasi bawaan Intune dan Akses Aman Global , Agen Pengoptimalan Akses Bersyarat juga menyediakan integrasi eksternal untuk merampingkan alur kerja Anda yang ada.

Integrasi ServiceNow (Pratinjau)

Organisasi yang menggunakan plugin ServiceNow untuk Security Copilot sekarang dapat mengizinkan agen pengoptimalan Akses Bersyarat membuat permintaan perubahan ServiceNow untuk setiap saran baru yang dihasilkan agen. Fitur ini memungkinkan tim TI dan keamanan untuk melacak, meninjau, dan menyetujui atau menolak saran agen dalam alur kerja ServiceNow yang ada. Saat ini, hanya permintaan perubahan (CHG) yang didukung.

Untuk menggunakan integrasi ServiceNow, organisasi Anda harus mengonfigurasi plugin ServiceNow .

Cuplikan layar pengaturan integrasi ServiceNow.

Ketika plugin ServiceNow diaktifkan di pengaturan agen pengoptimalan Akses Bersyarat, setiap saran baru dari agen membuat permintaan perubahan ServiceNow. Permintaan perubahan mencakup detail tentang saran, seperti jenis kebijakan, pengguna atau grup yang terpengaruh, dan alasan di balik rekomendasi. Integrasi juga menyediakan perulangan umpan balik: Agen memantau status permintaan perubahan ServiceNow dan dapat secara otomatis menerapkan perubahan saat permintaan perubahan disetujui.

Gambar cuplikan layar integrasi ServiceNow dalam saran agen.

Permissions

Bagian pengaturan agen ini menjelaskan identitas di mana agen berjalan dan izin yang digunakannya untuk beroperasi.

Identitas Agen

Agen Pengoptimalan Akses Bersyarat sekarang mendukung ID Agen Microsoft Entra, memungkinkan agen untuk berjalan di bawah identitasnya sendiri daripada identitas pengguna tertentu. Kemampuan ini meningkatkan keamanan, menyederhanakan manajemen, dan memberikan fleksibilitas yang lebih besar.

Pilih Kelola identitas agen untuk melihat detail agen di ID Agen Microsoft Entra.

Cuplikan layar pengaturan tampilan agen untuk izin dan identitas.png

  • Penginstalan baru agen default untuk menggunakan identitas agen.
  • Penginstalan yang ada dapat beralih dari konteks pengguna untuk dijalankan di bawah identitas agen kapan saja.
    • Perubahan ini tidak memengaruhi pelaporan atau analitik.
    • Kebijakan dan rekomendasi yang ada tetap tidak terpengaruh.
    • Pelanggan tidak dapat beralih kembali ke konteks pengguna sebelumnya.
    • Admin dengan peran Administrator Keamanan dapat membuat perubahan ini. Pilih Buat identitas agen dari pesan banner di halaman agen atau bagian Identitas dan izin pengaturan agen.

Mengaktifkan dan menggunakan Agen Pengoptimalan Akses Bersyarat juga memerlukan peran Security Copilot. Administrator Keamanan memiliki akses ke Security Copilot secara default. Anda dapat menetapkan administrator Akses Bersyarat dengan akses ke Security Copilot. Otorisasi ini memberi Administrator Akses Bersyarat Anda kemampuan untuk menggunakan agen juga. Untuk informasi selengkapnya, lihat Pengaturan akses Security Copilot.

Izin agen

Identitas agen menggunakan izin berikut untuk melakukan tugasnya. Izin ini ditetapkan secara otomatis saat Anda membuat identitas agen.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

Agen Pengoptimalan Akses Bersyarat menggunakan kontrol akses berbasis peran untuk menggunakan agen. Peran dengan hak istimewa paling sedikit yang diperlukan untuk menggunakan agen adalah Administrator Akses Bersyarat.

  • Last updated on