Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente di ottimizzazione dell'accesso condizionale Microsoft Entra fornisce suggerimenti per creare o aggiornare i criteri di accesso condizionale e crea report per le attività correlate a tali criteri. I suggerimenti variano in base a ciò che l'agente trova. L'amministratore deve esaminare i suggerimenti e decidere cosa fare.
Questo articolo offre una panoramica della logica dietro i suggerimenti e i report e come esaminare e agire su tali suggerimenti.
Importante
Le integrazioni di Microsoft Teams nell'agente di ottimizzazione dell'accesso condizionale sono attualmente in anteprima. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.
Prerequisiti
- È necessario avere almeno la licenza Microsoft Entra ID P1 .
- È necessario disporre di unità di calcolo di sicurezza (SCU) disponibili.
- In media, ogni esecuzione dell'agente utilizza meno di un SCU.
- È necessario disporre del ruolo Microsoft Entra appropriato.
- I ruoli con autorizzazioni di lettura per la sicurezza e con autorizzazioni di lettura globali possono visualizzare l'agente e qualsiasi suggerimento, ma non possono eseguire alcuna azione.
- I ruoli Amministratore accesso condizionale e Amministratore della sicurezza possono visualizzare l'agente e intervenire sui suggerimenti.
- Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.
- I controlli basati su dispositivo richiedono licenze di Microsoft Intune.
- Vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.
Limitazioni
- Evitare di usare un account per configurare l'agente che richiede l'attivazione del ruolo con Privileged Identity Management (PIM). L'uso di un account che non dispone di autorizzazioni permanenti potrebbe causare errori di autenticazione per l'agente.
- Una volta avviati gli agenti, non possono essere arrestati o sospesi. L'esecuzione potrebbe richiedere alcuni minuti.
- Per il consolidamento dei criteri, ogni agente esamina solo quattro coppie di criteri simili.
- L'agente viene attualmente eseguito dall'utente che lo abilita.
- È consigliabile eseguire l'agente dall'interfaccia di amministrazione di Microsoft Entra.
- La scansione è limitata a un periodo di 24 ore.
- I suggerimenti dell'agente non possono essere personalizzati o sottoposti a override.
- L'agente può esaminare fino a 150 utenti e 100 applicazioni in una singola esecuzione.
Come funziona
L'agente potrebbe avviarsi e:
- Non identificare alcun utente non protetto o consigliare modifiche
- Creare un nuovo criterio di accesso condizionale in modalità solo report
- Suggerire la modifica di un criterio esistente
- Suggerire il consolidamento di criteri sovrapposti
- Identificare un picco o un dip nell'attività correlata a un criterio esistente
Si vuole fornire il maggior numero possibile di informazioni sulla logica usata per identificare i suggerimenti perché i criteri di accesso condizionale possono essere complessi. Con ogni suggerimento, l'agente fornisce un ragionamento dettagliato, riepiloghi dell'impatto sui criteri e dettagli dei criteri. Come procedura consigliata, esaminare le informazioni fornite prima di applicare un suggerimento o modificare un criterio di solo report a un criterio attivo.
Esaminare i suggerimenti e la logica dell'agente
Selezionare Rivedi suggerimento per esaminare una panoramica completa del suggerimento, inclusa la logica usata per identificare il suggerimento e il potenziale impatto del criterio. Le opzioni disponibili nei dettagli del suggerimento dei criteri variano a seconda del tipo di suggerimento. Ad esempio, i nuovi suggerimenti per i criteri includono un pulsante Attiva criterio mentre i suggerimenti per modificare un criterio esistente includono un pulsante Aggiungi account per aggiungere utenti o gruppi da escludere dal criterio.
Dettagli dei criteri
La visualizzazione predefinita del suggerimento fornisce i dettagli dei criteri, inclusa una descrizione di alto livello nella parte superiore seguita dai dettagli usati nei criteri.
Dai dettagli dei criteri, è possibile intervenire sul suggerimento usando diverse opzioni. Nella parte superiore della pagina è possibile modificare, duplicare, scaricare o eliminare la politica. È anche possibile usare la funzionalità Chat con agente .
Sotto il riepilogo dei suggerimenti per i criteri, è possibile eseguire diverse azioni:
- Esaminare le modifiche ai criteri: visualizzare un riepilogo o i dettagli JSON del suggerimento. Altri dettagli descritti nella sezione Esaminare le modifiche ai criteri .
- Attiva criterio: attiva i nuovi criteri creati in modalità solo report dall'agente.
- Contrassegnare il suggerimento come esaminato: selezionare dalla freccia giù sul pulsante Attiva criterio per indicare che il suggerimento è stato esaminato senza applicarlo.
- Snooze per 14 giorni: selezionare la freccia verso il basso situata sul pulsante Attiva politica per nascondere temporaneamente il suggerimento. Il suggerimento viene visualizzato nuovamente nell'elenco dopo 14 giorni.
- Visualizzare l'attività completa dell'agente: visualizzare l'attività completa e le decisioni. Altri dettagli descritti nella sezione Visualizzare l'attività completa dell'agente .
- Aggiungi note: selezionare l'icona della penna e della carta per aggiungere note sul suggerimento per gli altri amministratori da rivedere
La pagina dei dettagli dei suggerimenti per i criteri è dettagliata e fornisce ogni opzione necessaria per prendere una decisione informata sul suggerimento. Tuttavia, se sono necessarie altre informazioni, è anche possibile visualizzare l'impatto dei criteri e visualizzare i dettagli sull'attività dell'agente. Chiedi a Copilot informazioni su questo file-diff
Impatto sui criteri
Nel pannello dei dettagli visualizzato selezionare Impatto criteri per visualizzare una visualizzazione del potenziale impatto del criterio.
Regolare i filtri e la visualizzazione in base alle esigenze. Selezionare un punto sul grafico per visualizzare un esempio dei dati influenzati dalla politica. Ad esempio, per richiedere l'autenticazione a più fattori (MFA), il grafico mostra un esempio di eventi di accesso in cui i criteri di accesso condizionale non sono stati applicati. Per altre informazioni, vedere Impatto dei criteri.
Visualizzare l'attività completa dell'agente
Per visualizzare un riepilogo dettagliato dell'attività dell'agente e il modo in cui ha calcolato il suggerimento, selezionare Visualizza l'attività completa dell'agente. L'attività dell'agente valuta la deviazione delle politiche o le lacune nella copertura delle politiche per utenti e applicazioni. L'agente cerca anche i criteri che possono essere uniti o consolidati.
Se il suggerimento per i criteri include l'aggiunta di utenti o applicazioni specifici al criterio, è possibile visualizzare l'elenco di applicazioni o utenti direttamente dalla mappa. Nell'esempio seguente, seleziona il collegamento 8 utenti per visualizzare gli otto utenti identificati come non inclusi nella politica.
Riepilogo dell'attività dell'agente è una descrizione in linguaggio naturale dell'attività illustrata nella mappa. Questi dettagli consentono di comprendere la logica alla base del suggerimento, in modo da poter prendere una decisione informata sull'applicazione del suggerimento.
Esaminare le modifiche ai criteri
Se l'agente suggerisce di modificare un criterio esistente, selezionare Rivedi le modifiche ai criteri per visualizzare i dettagli della modifica consigliata. Questa pagina elenca gli utenti, le risorse di destinazione e altri dettagli dei criteri che verranno modificati se si applica il suggerimento.
- I dettagli dei criteri vengono forniti come un elenco di tutti i dettagli che cambiano e una visualizzazione JSON dell'intero criterio, con le modifiche evidenziate.
- Per le modifiche ai criteri che interessano utenti o applicazioni, è possibile scaricare un file JSON degli utenti e delle applicazioni interessate dalla modifica dei criteri.
Analisi approfondita
L'analisi approfondita esegue una revisione approfondita dei criteri di accesso condizionale per scenari quali il blocco dell'autenticazione legacy, il blocco del flusso di controllo dei dispositivi e i criteri che richiedono controlli MFA o dispositivo. Valuta gli utenti, i gruppi e i ruoli di destinazione per identificare le lacune di copertura, i criteri sovrapposti o ridondanti e le opportunità di consolidamento. Analizza anche le esclusioni, contrassegnando i criteri che escludono una grande parte degli utenti e consigliando l'esclusione esplicita degli account break glass per ridurre il rischio di blocco accidentale.
Poiché i suggerimenti per i criteri forniti tramite un'analisi approfondita potrebbero avere un impatto significativo sull'ambiente, è consigliabile usare l'opzione "snooze" per dare tempo per esaminare il suggerimento e l'opzione "note" per fornire contesto e razionalità per il processo decisionale.
Applica suggerimenti
L'esperienza per l'applicazione del suggerimento dipende dal fatto che l'agente abbia creato un nuovo criterio in modalità solo report o suggerisca di modificare un criterio esistente.
Modificare un criterio esistente
L'agente potrebbe suggerire di modificare un criterio esistente o consolidare i criteri sovrapposti. Dopo aver esaminato i dettagli e l'impatto della modifica dei criteri, è possibile applicare il suggerimento al criterio.
- Nella pagina Dettagli criteri selezionare Applica suggerimento per applicare le modifiche al criterio.
- Nella pagina Verifica modifiche dei criteri è anche possibile selezionare Approva modifiche suggerite nella parte inferiore della pagina.
Attivare una nuova politica
Quando l'agente suggerisce un nuovo criterio, crea i criteri in modalità solo report. Dopo aver esaminato l'impatto dei criteri, è possibile attivare i criteri direttamente dall'esperienza dell'agente o dall'elenco Criteri di accesso condizionale.
- Selezionare Attiva criterio per fare in modo che l'agente applichi le modifiche al criterio in modalità solo report.
- Dall'accesso condizionale selezionare i criteri e quindi modificare l'interruttore Abilita criterio da Solo report a Sì.
Suggerimento
Come procedura consigliata, le organizzazioni devono escludere i propri account break-glass dai criteri per evitare di essere bloccati a causa di errori di configurazione.
Avvertimento
I criteri in modalità solo report che richiedono un dispositivo conforme potrebbero richiedere agli utenti nei dispositivi macOS, iOS e Android di selezionare un certificato del dispositivo durante la valutazione dei criteri, anche se la conformità del dispositivo non viene applicata. Queste richieste possono essere ripetute fino a quando il dispositivo diventa conforme. Per impedire agli utenti finali di ricevere richieste durante l'accesso, escludere le piattaforme dei dispositivi Mac, iOS e Android dalle politiche che generano solo report che effettuano controlli di conformità dei dispositivi.
Notifiche di suggerimento dell'agente di Microsoft Teams (anteprima)
Microsoft Teams può essere usato per ricevere notifiche dall'agente di ottimizzazione dell'accesso condizionale quando sono disponibili nuovi suggerimenti. Questa funzionalità di anteprima consente di configurare chi si vuole ricevere notifiche quando vengono identificati nuovi suggerimenti dall'agente. Al momento, l'integrazione di Teams fornisce comunicazioni unidirezionale con l'agente e un collegamento diretto al suggerimento dei criteri nell'interfaccia di amministrazione di Microsoft Entra.
Per altre informazioni, vedere la sezione Notifichedell'agente di ottimizzazione dell'accesso condizionale.
Esaminare i rapporti sulle politiche
L'agente di ottimizzazione dell'accesso condizionale rileva anche picchi e cali nell'attività correlata ai criteri esistenti. Queste anomalie spesso indicano una configurazione errata di un criterio che deve essere analizzato. Se l'agente identifica una modifica significativa dell'attività, viene visualizzato un report nell'elenco di suggerimenti. I rapporti si applicano sia alle politiche attive sia a quelle solo report che l'agente suggerisce di attivare. Nella colonna Azioni eseguite dall'agente verrà visualizzata la revisione dei criteri suggeriti come valore.
Per visualizzare un report di revisione dei criteri:
Selezionare Rivedi suggerimento per visualizzare i dettagli della revisione dei criteri suggerita.
Nella pagina dei dettagli dei criteri selezionare Rivedi report. Viene visualizzato un report dettagliato con una visualizzazione dell'attività correlata ai criteri.
Esaminare il report e analizzare i criteri in base alle esigenze.
Nella pagina dei dettagli dei criteri selezionare Contrassegna il suggerimento come esaminato o Snooze per 14 giorni. Facoltativamente, è possibile aggiungere note sugli elementi appresi e sulle modifiche apportate ai criteri correlati.
