Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente di ottimizzazione dell'accesso condizionale consente di garantire che tutti gli utenti e le applicazioni siano protetti dai criteri di accesso condizionale. Consiglia criteri e modifiche in base alle procedure consigliate allineate agli apprendimento di Zero Trust e Microsoft.
In anteprima, l'agente di ottimizzazione dell'accesso condizionale valuta criteri come la richiesta di autenticazione a più fattori (MFA), l'applicazione dei controlli basati su dispositivi (conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio) e il blocco dell'autenticazione legacy e del flusso del codice del dispositivo. L'agente valuta anche tutti i criteri abilitati esistenti per proporre un potenziale consolidamento di criteri simili. Quando l'agente identifica un suggerimento, puoi far aggiornare all'agente i criteri associati con una risoluzione in un clic.
Prerequisiti
- È necessario avere almeno la licenza Microsoft Entra ID P1 .
- È necessario disporre di unità di calcolo di sicurezza (SCU) disponibili.
- In media, ogni esecuzione dell'agente utilizza meno di un SCU.
- Per attivare l'agente la prima volta, è necessario il ruolo Amministratore della sicurezza o Amministratore globale durante l'anteprima.
- È possibile assegnare agli Amministratori dell'Accesso Condizionale l'accesso a Security Copilot, il che consente loro di utilizzare anche l'agente.
- Per altre informazioni, vedere Assegnare l'accesso a Security Copilot
- I ruoli con autorizzazioni di lettura globale e con autorizzazioni di lettura per la sicurezza possono visualizzare l'agente e tutti i suggerimenti, ma non possono eseguire alcuna azione.
- I ruoli amministratore globale, amministratore della sicurezza e amministratore dell'accesso condizionale possono visualizzare l'agente e intervenire sui suggerimenti.
- I controlli basati su dispositivo richiedono licenze di Microsoft Intune.
- Esaminare privacy e sicurezza dei dati in Microsoft Security Copilot
Limitazioni
- Durante l'anteprima, evitare di usare un account per configurare l'agente che richiede l'attivazione del ruolo con Privileged Identity Management (PIM). L'uso di un account che non dispone di autorizzazioni permanenti potrebbe causare errori di autenticazione per l'agente.
- Una volta avviati gli agenti, non possono essere arrestati o sospesi. L'esecuzione potrebbe richiedere alcuni minuti.
- Per il consolidamento dei criteri, ogni agente esamina solo quattro coppie di criteri simili.
- L'agente viene attualmente eseguito dall'utente che lo abilita.
- In anteprima, è consigliabile eseguire l'agente solo dall'interfaccia di amministrazione di Microsoft Entra.
- La scansione è limitata a un periodo di 24 ore.
- I suggerimenti dell'agente non possono essere personalizzati o sottoposti a override.
Come funziona
L'agente di ottimizzazione dell'accesso condizionale analizza il tenant per individuare nuovi utenti e applicazioni dalle ultime 24 ore e determina se i criteri di accesso condizionale sono applicabili. Se l'agente trova utenti o applicazioni che non sono protetti dai criteri di accesso condizionale, fornisce i passaggi successivi suggeriti, ad esempio l'attivazione o la modifica di un criterio di accesso condizionale. È possibile esaminare il suggerimento, il modo in cui l'agente ha identificato la soluzione e gli elementi che verrebbero inclusi nei criteri.
Ogni volta che viene eseguito l'agente, vengono eseguiti i passaggi seguenti. I passaggi iniziali di analisi non consumano alcuna SCU.
- L'agente analizza tutti i criteri di accesso condizionale nel tenant.
- L'agente verifica la presenza di lacune nei criteri e se è possibile combinare criteri.
- L'agente esamina i suggerimenti precedenti in modo che non suggerisca di nuovo lo stesso criterio.
Se l'agente identifica qualcosa che non era stato suggerito in precedenza, segue i seguenti passaggi. Queste azioni consumano SCUs.
- L'agente identifica un gap di criteri o una coppia di criteri che possono essere consolidati.
- L'agente valuta le istruzioni personalizzate fornite.
- L'agente crea un nuovo criterio in modalità solo report o fornisce il suggerimento di modificare un criterio, inclusa qualsiasi logica fornita dalle istruzioni personalizzate.
Suggerimento
È possibile consolidare due criteri se sono diversi da non più di due condizioni o controlli.
In anteprima, i suggerimenti sulle politiche identificati dall'agente includono:
- Richiedi autenticazione a più fattori: l'agente identifica gli utenti che non sono coperti da un criterio di accesso condizionale che richiede l'autenticazione a più fattori e può aggiornare i criteri.
- Richiedi controlli basati su dispositivo: l'agente può applicare controlli basati su dispositivo, ad esempio conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio.
- Blocca l'autenticazione legacy: gli account utente con autenticazione legacy non possono accedere.
- Blocca il flusso del codice del dispositivo: l'agente cerca un criterio che blocca l'autenticazione del flusso di codice del dispositivo.
- Utenti a rischio: l'agente suggerisce un criterio per richiedere la modifica della password sicura per gli utenti ad alto rischio. Richiede la licenza microsoft Entra ID P2.
- Accessi a rischio: l'agente suggerisce un criterio per richiedere l'autenticazione a più fattori per gli accessi ad alto rischio. Richiede la licenza microsoft Entra ID P2.
- Consolidamento dei criteri: l'agente analizza i criteri e identifica le impostazioni sovrapposte. Ad esempio, se si dispone di più di un criterio con gli stessi controlli di concessione, l'agente suggerisce di consolidare tali criteri in uno.
Importante
L'agente non apporta modifiche ai criteri esistenti, a meno che un amministratore non approvi esplicitamente il suggerimento.
Tutti i nuovi criteri suggeriti dall'agente vengono creati in modalità solo report.
Come iniziare
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Nella nuova home page selezionare Vai agli agenti dalla scheda di notifica dell'agente.
- È anche possibile selezionare Agenti dal menu di spostamento a sinistra.
Selezionare Visualizza dettagli nel riquadro Agente di ottimizzazione accesso condizionale.
Selezionare Avvia agente per iniziare la prima esecuzione.
- Evitare di usare un account con un ruolo attivato tramite PIM.
- Nell'angolo superiore destro compare un messaggio che indica: "L'agente sta avviando la sua prima esecuzione."
- Il completamento della prima esecuzione potrebbe richiedere alcuni minuti.
Quando viene caricata la pagina di panoramica dell'agente, tutti i suggerimenti vengono visualizzati nella casella Suggerimenti recenti . Se è stato identificato un suggerimento, è possibile esaminare i criteri, determinare l'impatto dei criteri e applicare le modifiche, se necessario. Per altre informazioni, vedere Esaminare e approvare i suggerimenti dell'agente di accesso condizionale.
Impostazioni
Dopo aver abilitato l'agente, è possibile modificare alcune impostazioni. È possibile accedere alle impostazioni da due posizioni nell'interfaccia di amministrazione di Microsoft Entra:
- Da Agenti>Agente di ottimizzazione dell'accesso condizionale>Impostazioni.
- In Accesso Condizionale> selezionare la scheda agente di ottimizzazione dell'accesso condizionale sotto Riepilogo dei criteri>Impostazioni.
Attivatore
L'agente è configurato per l'esecuzione ogni 24 ore in base alla configurazione iniziale. È possibile eseguirla in un momento specifico attivando o disattivando l'impostazione Trigger e quindi riattivandola quando si vuole eseguirla.
Oggetti
Usare le caselle di controllo in Oggetti per specificare cosa deve monitorare l'agente durante la creazione di raccomandazioni sui criteri. Per impostazione predefinita, l'agente cerca sia nuovi utenti che applicazioni nel tenant nel periodo precedente di 24 ore.
Identità e autorizzazioni
L'agente viene eseguito con l'identità e le autorizzazioni dell'utente che ha abilitato l'agente nel tuo tenant. A causa di questo requisito, è consigliabile evitare di utilizzare un account che richiede l'elevazione, come quelli che usano PIM per l'elevazione immediata. I log di controllo per le azioni eseguite dall'agente sono associati all'utente che ha abilitato l'agente.
Per impostazione predefinita, i ruoli Amministratore della sicurezza e Amministratore globale hanno accesso a Security Copilot.
È possibile assegnare agli amministratori dell'accesso condizionale l'accesso a Security Copilot. Questa autorizzazione offre agli amministratori dell'accesso condizionale anche la possibilità di usare l'agente. Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.
Istruzioni personalizzate
È possibile personalizzare i criteri in base alle proprie esigenze usando il campo Facoltativo Istruzioni personalizzate . Questa impostazione consente di fornire un prompt all'agente come parte della sua esecuzione. Ad esempio: "L'utente "Break Glass" deve essere escluso dai criteri creati. Le istruzioni personalizzate possono essere usate per includere o escludere utenti, gruppi e ruoli. Può essere usato per escluderli completamente dalla considerazione o per uno scenario specifico e può essere usato anche per aggiungere eccezioni ai criteri suggeriti.
Rimuovi agente
Se non si vuole più usare l'agente di ottimizzazione dell'accesso condizionale, selezionare Rimuovi agente nella parte superiore della finestra dell'agente. I dati esistenti (attività dell'agente, suggerimenti e metriche) vengono rimossi, ma tutti i criteri creati o aggiornati in base ai suggerimenti dell'agente rimangono intatti. I suggerimenti applicati in precedenza rimangono invariati per poter continuare a usare i criteri creati o modificati dall'agente.
Fornire commenti e suggerimenti
Usare il pulsante Invia commenti e suggerimenti Microsoft nella parte superiore della finestra dell'agente per inviare commenti e suggerimenti a Microsoft sull'agente.