Agente di ottimizzazione dell'accesso condizionale di Microsoft Entra

L'agente di ottimizzazione dell'accesso condizionale consente di garantire che tutti gli utenti, le applicazioni e le identità degli agenti siano protetti dai criteri di accesso condizionale. L'agente può consigliare nuovi criteri e aggiornare i criteri esistenti, in base alle migliori pratiche allineate al Zero Trust e alle conoscenze di Microsoft. L'agente crea anche report di revisione dei criteri (anteprima), che forniscono informazioni dettagliate su picchi o cali che potrebbero indicare una configurazione errata dei criteri.

L'agente di ottimizzazione dell'accesso condizionale valuta criteri come la richiesta di autenticazione a più fattori (MFA), l'applicazione di controlli basati su dispositivi (conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio) e il blocco dell'autenticazione legacy e del flusso del codice del dispositivo. L'agente valuta anche tutti i criteri abilitati esistenti per proporre un potenziale consolidamento di criteri simili. Quando l'agente identifica un suggerimento, puoi far aggiornare all'agente i criteri associati con una risoluzione in un clic.

Importante

Le integrazioni di ServiceNow e Microsoft Teams nell'agente di ottimizzazione dell'accesso condizionale sono attualmente in anteprima. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

Prerequisiti

• È necessario avere almeno la licenza Microsoft Entra ID P1 .
• È necessario disporre di unità di calcolo di sicurezza (SCU) disponibili.
  • In media, ogni esecuzione dell'agente utilizza meno di un SCU.
• È necessario disporre del ruolo Microsoft Entra appropriato.
  • L'amministratore della sicurezza deve attivare l'agente la prima volta.
  • I ruoli con autorizzazioni di lettura per la sicurezza e con autorizzazioni di lettura globali possono visualizzare l'agente e qualsiasi suggerimento, ma non possono eseguire alcuna azione.
  • I ruoli Amministratore accesso condizionale e Amministratore della sicurezza possono visualizzare l'agente e intervenire sui suggerimenti.
  • È possibile assegnare agli Amministratori dell'Accesso Condizionale l'accesso a Security Copilot, il che consente loro di utilizzare anche l'agente.
  • Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.
• I controlli basati su dispositivo richiedono licenze di Microsoft Intune.
• Vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.

Limitazioni

• Evitare di usare un account per configurare l'agente che richiede l'attivazione del ruolo con Privileged Identity Management (PIM). L'uso di un account che non dispone di autorizzazioni permanenti potrebbe causare errori di autenticazione per l'agente.
• Una volta avviati gli agenti, non possono essere arrestati o sospesi. L'esecuzione potrebbe richiedere alcuni minuti.
• Per il consolidamento dei criteri, ogni agente esamina solo quattro coppie di criteri simili.
• È consigliabile eseguire l'agente dall'interfaccia di amministrazione di Microsoft Entra.
• La scansione è limitata a un periodo di 24 ore.
• I suggerimenti dell'agente non possono essere personalizzati o sottoposti a override.
• L'agente può esaminare fino a 300 utenti e 150 applicazioni in un'unica esecuzione.

Come funziona

L'agente di ottimizzazione dell'accesso condizionale analizza il tenant per individuare nuovi utenti, applicazioni e identità agente delle ultime 24 ore e determina se sono applicabili i criteri di accesso condizionale. Se l'agente trova utenti, applicazioni o identità dell'agente che non sono protette dai criteri di accesso condizionale, fornisce i passaggi successivi suggeriti, ad esempio l'attivazione o la modifica di un criterio di accesso condizionale. È possibile esaminare il suggerimento, il modo in cui l'agente ha identificato la soluzione e gli elementi che verrebbero inclusi nei criteri.

Ogni volta che viene eseguito l'agente, vengono eseguiti i passaggi seguenti. Questi passaggi iniziali di analisi non richiedono alcun consumo di SCU.

1. L'agente analizza tutti i criteri di accesso condizionale nel tenant.
2. L'agente verifica la presenza di lacune nei criteri e se è possibile combinare criteri.
3. L'agente esamina i suggerimenti precedenti in modo che non suggerisca di nuovo lo stesso criterio.

Se l'agente identifica qualcosa che non era stato suggerito in precedenza, segue i seguenti passaggi. Questi passaggi di azione dell'agente consumano SCUs.

1. L'agente identifica un gap di criteri o una coppia di criteri che possono essere consolidati.
2. L'agente valuta le istruzioni personalizzate fornite.
3. L'agente crea un nuovo criterio in modalità solo report o fornisce il suggerimento di modificare un criterio, inclusa qualsiasi logica fornita dalle istruzioni personalizzate.

Annotazioni

Il provisioning di Security Copilot richiede almeno una SCU nel tenant, ma tale SCU viene fatturata ogni mese anche se non si consumano SCU. La disattivazione dell'agente non arresta la fatturazione mensile per SCU.

I suggerimenti per i criteri identificati dall'agente includono:

• Richiedi autenticazione a più fattori: l'agente identifica gli utenti che non sono coperti da un criterio di accesso condizionale che richiede l'autenticazione a più fattori e può aggiornare i criteri.
• Richiedi controlli basati su dispositivo: l'agente può applicare controlli basati su dispositivo, ad esempio conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio.
• Blocca l'autenticazione legacy: gli account utente con autenticazione legacy non possono accedere.
• Blocca il flusso del codice del dispositivo: l'agente cerca un criterio che blocca l'autenticazione del flusso di codice del dispositivo.
• Utenti a rischio: l'agente suggerisce un criterio per richiedere la modifica della password sicura per gli utenti ad alto rischio. Richiede la licenza microsoft Entra ID P2.
• Accessi a rischio: l'agente suggerisce un criterio per richiedere l'autenticazione a più fattori per gli accessi ad alto rischio. Richiede la licenza microsoft Entra ID P2.
• Agenti a rischio: l'agente suggerisce un criterio per bloccare l'autenticazione per gli accessi ad alto rischio. Richiede la licenza microsoft Entra ID P2.
• Consolidamento dei criteri: l'agente analizza i criteri e identifica le impostazioni sovrapposte. Ad esempio, se si dispone di più di un criterio con gli stessi controlli di concessione, l'agente suggerisce di consolidare tali criteri in uno.
• Analisi approfondita: l'agente esamina i criteri che corrispondono agli scenari chiave per identificare i criteri outlier con più di un numero consigliato di eccezioni (causando lacune impreviste nella copertura) o nessuna eccezione (con conseguente possibile blocco).

Importante

L'agente non apporta modifiche ai criteri esistenti, a meno che un amministratore non approvi esplicitamente il suggerimento.

Tutti i nuovi criteri suggeriti dall'agente vengono creati in modalità solo report.

È possibile consolidare due criteri se sono diversi da non più di due condizioni o controlli.

Come iniziare

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Nella nuova home page selezionare Vai agli agenti dalla scheda di notifica dell'agente.

   • È anche possibile selezionare Agenti dal menu di spostamento a sinistra.

   

3. Selezionare Visualizza dettagli nel riquadro Agente di ottimizzazione accesso condizionale.

   

4. Selezionare Avvia agente per iniziare la prima esecuzione. Evitare di usare un account con un ruolo attivato tramite PIM.

   

Quando viene caricata la pagina di panoramica dell'agente, tutti i suggerimenti vengono visualizzati nella casella Suggerimenti recenti . Se è stato identificato un suggerimento, è possibile esaminare i criteri, determinare l'impatto dei criteri e applicare le modifiche, se necessario. Per altre informazioni, vedere Esaminare e approvare i suggerimenti dell'agente di accesso condizionale.

Settings

Dopo aver abilitato l'agente, è possibile modificare alcune impostazioni. Dopo aver apportato le modifiche, selezionare il pulsante Salva nella parte inferiore della pagina. È possibile accedere alle impostazioni da due posizioni nell'interfaccia di amministrazione di Microsoft Entra:

• Da Agenti>Agente di ottimizzazione dell'accesso condizionale>Impostazioni.
• In Accesso Condizionale> selezionare la scheda agente di ottimizzazione dell'accesso condizionale sotto Riepilogo dei criteri>Impostazioni.

Attivatore

L'agente è configurato per l'esecuzione ogni 24 ore in base alla configurazione iniziale. È possibile modificare quando l'agente viene eseguito disattivando e poi riattivando l'impostazione Trigger quando si desidera che venga eseguito.

Oggetti Microsoft Entra da monitorare

Usare le caselle di controllo sotto Oggetti Microsoft Entra per monitorare per specificare cosa deve monitorare l'agente nel fornire raccomandazioni sui criteri. Per impostazione predefinita, l'agente cerca sia nuovi utenti che applicazioni nel tenant nel periodo precedente di 24 ore.

Funzionalità dell'agente

Per impostazione predefinita, l'agente di ottimizzazione dell'accesso condizionale può creare nuovi criteri in modalità solo report. È possibile modificare questa impostazione in modo che un amministratore debba approvare il nuovo criterio prima della creazione. La politica viene comunque creata in modalità solo report, però solamente dopo l'approvazione dell'amministratore. Dopo aver esaminato l'impatto della politica, è possibile attivare la politica direttamente dall'interfaccia dell'agente o da Accesso Condizionale.

Notifications

Come parte di una funzionalità di anteprima, l'agente di ottimizzazione dell'accesso condizionale può inviare notifiche tramite Microsoft Teams a un set selezionato di destinatari. Con l'app agente di accesso condizionale in Microsoft Teams, i destinatari ricevono notifiche direttamente nella chat di Teams quando l'agente visualizza un nuovo suggerimento.

Per aggiungere l'app agente a Microsoft Teams:

1. In Microsoft Teams selezionare App dal menu di spostamento a sinistra e cercare e selezionare l'agente di accesso condizionale.

   

2. Selezionare il pulsante Aggiungi , quindi selezionare il pulsante Apri per aprire l'app.

3. Per semplificare l'accesso all'app, fare clic con il pulsante destro del mouse sull'icona dell'app nel menu di spostamento a sinistra e scegliere Aggiungi.

Per configurare le notifiche nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale:

1. Nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale selezionare il collegamento Seleziona utenti e gruppi .

2. Selezionare gli utenti o i gruppi da ricevere notifiche, quindi selezionare il pulsante Seleziona .

   

3. Nella parte inferiore della pagina principale Impostazioni selezionare il pulsante Salva .

È possibile selezionare fino a 10 destinatari per ricevere notifiche. È possibile selezionare un gruppo per ricevere le notifiche, ma l'appartenenza di tale gruppo non può superare i 10 utenti. Se si seleziona un gruppo con meno di 10 utenti ma più vengono aggiunti in un secondo momento, il gruppo non riceve più notifiche. Analogamente, le notifiche possono essere inviate solo a cinque oggetti, ad esempio una combinazione di singoli utenti o gruppi. Per interrompere la ricezione delle notifiche, rimuovere l'oggetto utente o il gruppo in cui si è inclusi dall'elenco del destinatario.

Al momento, la comunicazione dell'agente è un'unica direzione, quindi è possibile ricevere notifiche ma non rispondere a tali notifiche in Microsoft Teams. Per intervenire su un suggerimento, selezionare Rivedi suggerimento dalla chat per aprire l'agente di ottimizzazione dell'accesso condizionale nell'interfaccia di amministrazione di Microsoft Entra.

Implementazione in più fasi

Quando l'agente crea un nuovo criterio in modalità solo report, i criteri vengono implementati in fasi, in modo da poter monitorare l'effetto dei nuovi criteri. L'implementazione in più fasi è attivata per impostazione predefinita.

È possibile modificare il numero di giorni tra ogni fase trascinando il dispositivo di scorrimento o immettendo un numero nella casella di testo. Il numero di giorni tra ogni fase è lo stesso per tutte le fasi. Assicurarsi di avviare l'implementazione in più fasi con un tempo sufficiente per monitorare l'impatto prima dell'avvio della fase successiva e quindi l'implementazione non viene avviata durante un fine settimana o in vacanza, nel caso in cui sia necessario sospendere l'implementazione.

Identità e autorizzazioni

Esistono diversi punti chiave da considerare per quanto riguarda l'identità e le autorizzazioni dell'agente:

• Ora, l'agente di ottimizzazione dell'accesso condizionale supporta l'ID agente di Microsoft Entra, consentendo all'agente di funzionare con la propria identità anziché con l'identità di un utente specifico. Ciò migliora la sicurezza, semplifica la gestione e offre una maggiore flessibilità.

  • Le nuove installazioni, per impostazione predefinita, vengono eseguite con l'identità dell'agente.
  • Le installazioni esistenti possono passare dall'esecuzione in un contesto utente specifico per l'esecuzione in un'identità agente in qualsiasi momento.
    • Questa modifica non influisce sulla creazione di report o sull'analisi.
    • I criteri e le raccomandazioni esistenti rimangono invariati.
    • I clienti non possono tornare al contesto utente.
  • Amministratori con i ruoli Amministratore della sicurezza o Amministratore globale possono passare a Impostazioni agente, quindi selezionare Crea identità agente per effettuare la modifica.

• Per impostazione predefinita, l'amministratore della sicurezza ha accesso a Security Copilot. È possibile assegnare agli amministratori dell'accesso condizionale l'accesso a Security Copilot. Questa autorizzazione offre agli amministratori dell'accesso condizionale anche la possibilità di usare l'agente. Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.

• L'utente che approva un suggerimento per aggiungere utenti a un criterio diventa proprietario di un nuovo gruppo che aggiunge gli utenti a un criterio.

• I log di controllo per le azioni eseguite dall'agente sono associati all'identità utente o agente che ha abilitato l'agente. È possibile trovare il nome dell'account nella sezione Identità e autorizzazioni delle impostazioni.

  

Integrazione di ServiceNow (anteprima)

Le organizzazioni che usano il plug-in ServiceNow per Security Copilot possono ora avere l'agente di ottimizzazione dell'accesso condizionale creare richieste di modifica di ServiceNow per ogni nuovo suggerimento generato dall'agente. In questo modo, i team IT e della sicurezza possono tenere traccia, esaminare e approvare o rifiutare i suggerimenti degli agenti all'interno dei flussi di lavoro di ServiceNow esistenti. Al momento sono supportate solo le richieste di modifica .CHG.

Per usare l'integrazione di ServiceNow, l'organizzazione deve avere configurato il plug-in ServiceNow .

Quando il plug-in ServiceNow è attivato nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale, ogni nuovo suggerimento dell'agente crea una richiesta di modifica di ServiceNow. La richiesta di modifica include informazioni dettagliate sul suggerimento, ad esempio il tipo di criteri, gli utenti o i gruppi interessati e la logica alla base della raccomandazione. L'integrazione fornisce anche un ciclo di feedback: l'agente monitora lo stato della richiesta di modifica di ServiceNow e può implementare automaticamente la modifica quando la richiesta di modifica viene approvata.

Istruzioni personalizzate

È possibile personalizzare i criteri in base alle proprie esigenze usando il campo Facoltativo Istruzioni personalizzate . Questa impostazione consente di fornire un prompt all'agente come parte della sua esecuzione. Queste istruzioni possono essere usate per:

• Includere o escludere utenti, gruppi e ruoli specifici
• Escludere gli oggetti dall'essere considerati dall'agente o dall'essere aggiunti ai criteri di accesso condizionale
• Applicare eccezioni a criteri specifici, ad esempio l'esclusione di un gruppo specifico da un criterio, la richiesta di autenticazione a più fattori o la richiesta di criteri di gestione delle applicazioni mobili.

È possibile immettere il nome o l'ID oggetto nelle istruzioni personalizzate. Entrambi i valori vengono convalidati. Se si aggiunge il nome del gruppo, l'ID oggetto per tale gruppo viene aggiunto automaticamente per conto dell'utente. Istruzioni personalizzate di esempio:

• "Escludi gli utenti nel gruppo "Break Glass" da qualsiasi criterio che richiede l'autenticazione a più fattori.
• Escludere l'utente con ID oggetto dddddddd-3333-4444-5555-eeeeeeeeeeee da tutti i criteri.

Uno scenario comune da considerare è se l'organizzazione ha molti utenti guest che non si vuole che l'agente suggerisca l'aggiunta ai criteri di accesso condizionale standard. Se l'agente viene eseguito e vede i nuovi utenti guest non coperti dai criteri consigliati, le UNITÀ di distribuzione vengono utilizzate per suggerire di coprire gli utenti guest in base ai criteri non necessari. Per impedire che gli utenti guest vengano considerati dall'agente:

1. Creare un gruppo dinamico denominato "Guest" in cui (user.userType -eq "guest").
2. Aggiungere un'istruzione personalizzata, in base alle esigenze.
   • "Escludere il gruppo "Guest" dalla considerazione dell'agente.
   • "Escludi il gruppo "Guest" da qualsiasi criterio di gestione delle applicazioni mobili.

Per altre informazioni su come usare istruzioni personalizzate, vedere il video seguente.

Si noti che alcuni dei contenuti nel video, ad esempio gli elementi dell'interfaccia utente, sono soggetti a modifiche quando l'agente viene aggiornato di frequente.

Integrazione di Intune

L'agente di ottimizzazione dell'accesso condizionale si integra con Microsoft Intune per monitorare la conformità dei dispositivi e i criteri di protezione delle applicazioni configurati in Intune e identificare potenziali lacune nell'applicazione dell'accesso condizionale. Questo approccio proattivo e automatizzato garantisce che i criteri di accesso condizionale rimangano allineati agli obiettivi di sicurezza dell'organizzazione e ai requisiti di conformità. I suggerimenti dell'agente sono gli stessi degli altri suggerimenti per i criteri, ad eccezione del fatto che Intune fornisce parte del segnale all'agente.

I suggerimenti dell'agente per gli scenari di Intune riguardano specifici gruppi di utenti e piattaforme (iOS o Android). Ad esempio, l'agente identifica un criterio di protezione delle app di Intune attivo destinato al gruppo "Finance", ma determina che non esistono criteri di accesso condizionale sufficienti che applicano la protezione delle app. L'agente crea un criterio solo report che richiede agli utenti di accedere alle risorse solo tramite applicazioni conformi nei dispositivi iOS.

Per identificare i criteri di conformità dei dispositivi e di protezione delle app di Intune, l'agente deve essere in esecuzione come amministratore globale o amministratore dell'accesso condizionale e lettore globale. L'Amministratore di Accesso Condizionale da solo non è sufficiente affinché l'agente produca suggerimenti di Intune.

Integrazione globale dell'accesso sicuro

Microsoft Entra Internet Access e Microsoft Entra Private Access (collettivamente noto come Accesso sicuro globale) si integrano con l'agente di ottimizzazione dell'accesso condizionale per fornire suggerimenti specifici per i criteri di accesso alla rete dell'organizzazione. Il suggerimento Attiva la nuova policy per applicare i requisiti di accesso alla rete del Global Secure Access aiuta ad allineare le politiche del Global Secure Access che includono ubicazioni di rete e applicazioni protette.

Con questa integrazione, l'agente identifica gli utenti o i gruppi che non sono coperti da criteri di accesso condizionale per richiedere l'accesso alle risorse aziendali solo tramite canali di accesso sicuro globale approvati. Questo criterio richiede agli utenti di connettersi alle risorse aziendali usando la rete sicura di Accesso sicuro globale dell'organizzazione prima di accedere alle app e ai dati aziendali. Agli utenti che si connettono da reti non gestite o non attendibili viene richiesto di usare il client o il gateway Web di Accesso sicuro globale. È possibile esaminare i log di accesso per verificare le connessioni conformi.

Rimuovi agente

Se non si vuole più usare l'agente di ottimizzazione dell'accesso condizionale, selezionare Rimuovi agente nella parte superiore della finestra dell'agente. I dati esistenti (attività dell'agente, suggerimenti e metriche) vengono rimossi, ma tutti i criteri creati o aggiornati in base ai suggerimenti dell'agente rimangono intatti. I suggerimenti applicati in precedenza rimangono invariati per poter continuare a usare i criteri creati o modificati dall'agente.

Fornire commenti e suggerimenti

Usare il pulsante Invia commenti e suggerimenti Microsoft nella parte superiore della finestra dell'agente per inviare commenti e suggerimenti a Microsoft sull'agente.

FAQs

Quando è consigliabile usare l'agente di ottimizzazione dell'accesso condizionale rispetto a Copilot Chat?

Entrambe le funzionalità offrono informazioni dettagliate diverse sui criteri di accesso condizionale. La tabella seguente fornisce un confronto tra le due funzionalità:

Scenario	Agente di ottimizzazione dell'accesso condizionale	Copilot Chat
Scenari generici
Utilizzare la configurazione specifica del cliente	✅
Ragionamento avanzato	✅
Informazioni dettagliate su richiesta		✅
Risoluzione dei problemi interattivi		✅
Valutazione continua dei criteri	✅
Suggerimenti automatizzati per il miglioramento	✅
Ottenere indicazioni sulle procedure consigliate e sulla configurazione della CA	✅	✅
Scenari specifici
Identificare in modo proattivo utenti o applicazioni non protetti	✅
Applicare mfa e altri controlli di base per tutti gli utenti	✅
Monitoraggio continuo e ottimizzazione delle politiche di Accesso Condizionale	✅
Modifiche ai criteri con un clic	✅
Esaminare i criteri e le assegnazioni ca esistenti (i criteri si applicano ad Alice?)	✅	✅
Risolvere i problemi di accesso di un utente (perché Alice ha richiesto l'autenticazione a più fattori?)		✅

Ho attivato l'agente, ma vedo "Errore" nello stato dell'attività. Cosa sta succedendo?

È possibile che l'agente sia stato abilitato con un account che richiede l'attivazione del ruolo con Privileged Identity Management (PIM). Quindi, quando l'agente ha tentato di eseguire, non è riuscito perché l'account non dispone delle autorizzazioni necessarie in quel momento. Viene richiesto di ripetere l'autenticazione se l'autorizzazione PIM è scaduta.

È possibile risolvere questo problema rimuovendo l'agente, quindi abilitando nuovamente l'agente con un account utente con autorizzazioni permanenti per l'accesso copilot di sicurezza. Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.

Contenuti correlati

• Esaminare e approvare i suggerimenti dell'agente
• Modelli di criteri di accesso condizionale
• Altre informazioni su Microsoft Security Copilot