Optimalisatieagent voor voorwaardelijke toegang van Microsoft Entra

  • 10 minuten

Met de optimalisatieagent voor voorwaardelijke toegang kunt u ervoor zorgen dat alle gebruikers worden beveiligd door beleid. Het raadt beleidsregels en wijzigingen aan op basis van aanbevolen procedures die zijn afgestemd op Zero Trust en Microsoft Learning.

De agent voor optimalisatie van voorwaardelijke toegang evalueert beleidsregels zoals meervoudige verificatie (MFA) vereisen. De agent dwingt apparaatgebaseerde besturingselementen af (apparaatnaleving, app-beveiligingsbeleid en apparaten die lid zijn van een domein). Ten slotte kan de agent helpen verouderde verificatie en apparaatcodestroom te blokkeren.

De agent evalueert ook alle bestaande ingeschakelde beleidsregels om mogelijke samenvoeging van vergelijkbare beleidsregels voor te stellen.

Vereiste voor het gebruik van de agent voor optimalisatie van voorwaardelijke toegang

  • U moet ten minste de Licentie voor Microsoft Entra ID P1 hebben.
  • U moet SCU's (Security Compute Units) beschikbaar hebben.
  • Als u de agent de eerste keer wilt activeren, hebt u de rol Beveiligingsbeheerder of hoger nodig.
  • U kunt voorwaardelijke toegangsbeheerders aanstellen met toegang tot Security Copilot.
    • Zie Security Copilot-toegang toewijzen voor meer informatie
  • Voor besturingselementen op basis van apparaten zijn Microsoft Intune-licenties vereist.

Belangrijkste functies van de optimalisatie-agent voor voorwaardelijke toegang

De agent voor optimalisatie van voorwaardelijke toegang scant uw tenant op nieuwe gebruikers en toepassingen en bepaalt of beleid voor voorwaardelijke toegang van toepassing is. Tot de belangrijkste functies behoren:

Eigenschap Beschrijving
MFA vereisen De agent identificeert gebruikers die niet worden gedekt door beleid voor voorwaardelijke toegang waarvoor MFA is vereist en die het beleid kunnen bijwerken.
Vereist apparaat-gebaseerde besturingselementen De agent kan besturingselementen op basis van apparaten afdwingen, zoals apparaatnaleving, app-beveiligingsbeleid en apparaten die lid zijn van een domein.
Verouderde verificatie blokkeren Gebruikersaccounts met verouderde verificatie kunnen niet worden aangemeld.
Beleidsconsolidatie De agent scant uw beleid en identificeert overlappende instellingen. Als u bijvoorbeeld meer dan één beleid hebt met dezelfde besturingselementen voor toekenning, stelt de agent voor om dit beleid in één te consolideren.
Apparaatcodestroom blokkeren De agent zoekt naar een beleid dat verificatie van apparaatcodestroom blokkeert.
Herstel met één klik Wanneer de agent een suggestie identificeert, kunt u Suggestie Toepassen selecteren om het bijbehorende beleid bij te werken met één druk op een knop.

Probeer de optimalisatieagent voor voorwaardelijke toegang eens

In deze oefening verkent u de belangrijkste mogelijkheden in de Security Copilot Conditional Access Optimization-agent die is ingesloten in Microsoft Entra.

Houd er tijdens het verkennen rekening mee dat, tenzij anders vermeld, de informatie die wordt weergegeven en de configuratie-instellingen voor de momenteel aangemelde beveiligingsbeheerder zijn.

Opmerking

De omgeving voor deze oefening is een simulatie die is gegenereerd op basis van het product. Als beperkte simulatie worden niet alle koppelingen op een pagina ingeschakeld en worden invoer op basis van tekst die buiten het opgegeven script valt, niet ondersteund. Er wordt een pop-upvenster weergegeven met de tekst 'Deze functie is niet beschikbaar in de simulatie'. Wanneer u dit bericht ontvangt, selecteert u OK en gaat u verder met de stappen voor de oefening.

Schermopname van het pop-upscherm dat aangeeft dat deze functie niet beschikbaar is in de simulatie.

Oefening

Het duurt ongeveer 10 minuten voordat deze oefening is voltooid.

Opmerking

Wanneer een labinstructie aanroept om een koppeling naar de gesimuleerde omgeving te openen, is het raadzaam om de koppeling in een nieuw browservenster te openen, zodat u de instructies en de oefeningsomgeving tegelijk kunt bekijken. Hiervoor selecteert u de rechtermuistoets en selecteert u de optie.

  1. Open https://Entra.Microsoft.com (simulatie) met ten minste de rol Beveiligingsbeheerder.

Er zijn twee manieren om het scherm Security Copilot Agents te starten:

  • Optie-1: Selecteer de Gratis Security Copilot-agents voor 60 dagen proberen
  • Optie 2: Open voorwaardelijke toegang vanuit het menu aan de linkerkant. Selecteer vervolgens de agent voor optimalisatie van voorwaardelijke toegang.

Gebruik een van beide opties om de agent te starten, maar houd er rekening mee dat beide opties beschikbaar zijn.

Optie-1:

  1. Selecteer de knop Gratis proefversie van 60 dagen.
  2. Selecteer Details weergeven op de pagina:

Optie-2:

  1. Open het item Voorwaardelijke toegang in het menu aan de linkerkant.
  2. Selecteer op het tabblad Overzichtde agent voor optimalisatie van voorwaardelijke toegang.

De agent voor voorwaardelijke toegang verkennen

  1. Bekijk het tabblad Overzicht .
  • Agent is actief: let op de laatste keer dat de agent is uitgevoerd en het geplande schema.
  • Prestatiehoogtepunten: controleer de kosten in SCU's (Security Compute Units) voor de agent. Bekijk hoeveel niet-beveiligde gebruikers de agent heeft gevonden om te beveiligen.
  • Over deze agent: snelle beschrijving van de agent en hoe deze werkt.
  • Recente suggesties: bekijk alle bestaande beleidsregels voor voorwaardelijke toegang en suggesties over hoe ze kunnen worden samengevoegd, bijgewerkt, verwijderd of uitgebreid.
  • Recente activiteit: status van de laatste paar pogingen van de Conditional Access Optimization Agent, en de resultaten.

  1. Selecteer de link Uitvoering weergeven in het vak Agent is actief.

  2. Controleer de procesflow van de agent en bekijk welke nieuwe informatie is opgemerkt sinds de laatste afronding.

  • Houd er rekening mee dat er wordt gezocht naar drie algemene optimalisaties voor toegangsrechten:
    • App-/toepassingsdrift: er zijn nieuwe toepassingen geïmplementeerd en moeten worden beveiligd.
    • Gebruikersdrift: er zijn nieuwe gebruikers gevonden of gebruikersrechten gewijzigd waardoor ze niet worden beveiligd door beleid.
    • Beleidssamenvoeging: locaties waar 2 of meer beleidsregels kunnen worden samengevoegd om hetzelfde resultaat te bieden, met eenvoudiger beheer.

  1. Selecteer de breadcrumb-agent voor optimalisatie van voorwaardelijke toegang om terug te keren naar de pagina Overzicht.

  2. Selecteer het tabblad Activiteiten in het bovenste menu. Bekijk de geschiedenis van wanneer de optimalisatie-agent voor voorwaardelijke toegang heeft gedraaid en de resultaten.

  3. Selecteer verschillende activiteit weergeven knoppen om de voortgang van de Conditional Access Optimization agent te bekijken terwijl deze elke 24-uursperiode draait.

  4. Open het tweede item in de lijst. Let op, vier nieuwe toepassingen zijn gevonden en aanbevolen wijzigingen voor beleid na verloop van tijd.

  5. Gebruik de breadcrumbs om terug te keren naar de pagina Overzicht.

  6. Selecteer de suggesties in het tabbladmenu.

  7. Verken de suggestiegeschiedenis. U hebt één item voor elke dag dat de agent actief was.

  8. Selecteer de knop Suggestie beoordelen voor het eerste item.

  9. U ziet dat het beleid twee gebruikers wil toevoegen aan een bestaand beleid voor voorwaardelijke toegang. Het doel is om gebruikers toe te voegen aan CA99: risicogebruikers beperken met beleid voor wachtwoordherstel.

  10. Selecteer het tabblad Beleidsimpact boven aan de pagina om een grafiek weer te geven van deze beleidswijziging in de loop van de tijd.

  11. Ga terug naar het tabblad Beleidsdetails en selecteer vervolgens de beleidswijzigingen controleren om de voorgestelde wijzigingen en de JSON-update te zien die moet worden aangebracht.

  12. Gebruik de knop Terug in de browser om terug te keren naar de pagina Overzicht .

  13. Selecteer Suggesties in het menu.

  14. Selecteer de X in de rechterbovenhoek van het scherm om het dialoogvenster te sluiten.

Optimalisatieagents voor voorwaardelijke toegang verkennen in CA-Policies

  1. Open Voorwaardelijke toegang vanuit het menu aan de linkerkant.

  2. Selecteer Beleid in het menu Voorwaardelijke toegang.

  3. Bekijk de lijst met beleidsregels. U ziet drie typen:

  • Microsoft: globaal beleid dat door Microsoft wordt verzonden, zoals het vereisen van MFA.
  • Gebruiker: beleid voor voorwaardelijke toegang dat is gemaakt door een geautoriseerde gebruiker in uw organisatie.
  • Agent voor optimalisatie van voorwaardelijke toegang: alleen beleidsregels rapporteren die door de agent zijn gemaakt voor uw beoordeling. U kunt ervoor kiezen om ze toe te passen, afhankelijk van bedrijfs- en beveiligingsdoelen.

  1. Schuif omlaag in de lijst om het CA99-beleid te vinden dat we eerder hebben bekeken.

  2. Selecteer het item Nieuwe agentsuggesties .

  3. Bij vier gelegenheden heeft de agent voor optimalisatie van voorwaardelijke toegang een nieuwe gebruiker gevonden en er is een suggestie voor toepassen voor elke gebruiker.

  4. Lees de beschrijving van wat de suggestie gaat doen.

  5. Selecteer de knop Suggestie toepassen .

Resultaat : de agent controleert uw gebruikers elke dag en heeft gebruikers gevonden die niet zijn beveiligd door riskant gebruikersbeleid. U wordt aangeraden uw beleid bij te werken om de nieuwe gebruikers op te nemen en u een knop te geven om de wijziging aan te brengen. In één knop hebt u beveiliging toegevoegd voor de gebruikers.

  1. Sluit Microsoft Entra af om de simulatie te voltooien.