Microsoft Entra Agent optymalizacji dostępu warunkowego

  • 10 min

Agent optymalizacji dostępu warunkowego pomaga upewnić się, że wszyscy użytkownicy są chronieni przez zasady. Zaleca zasady i zmiany oparte na najlepszych rozwiązaniach dostosowanych do programu Zero Trust i szkoleń firmy Microsoft.

Agent optymalizacji dostępu warunkowego ocenia zasady, takie jak wymaganie uwierzytelniania wieloskładnikowego (MFA). Agent wymusza kontrolę opartą na urządzeniach (zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny). Na koniec agent może pomóc w zablokowaniu starszego uwierzytelniania i przepływu kodu urządzenia.

Agent ocenia również wszystkie aktualne aktywne polityki, aby zaproponować potencjalną konsolidację podobnych polityk.

Wymaganie użycia agenta optymalizacji dostępu warunkowego

  • Musisz mieć co najmniej licencję Microsoft Entra ID P1.
  • Musisz mieć dostępne jednostki obliczeniowe zabezpieczeń (SCU).
  • Aby aktywować agenta po raz pierwszy, potrzebujesz roli Administrator zabezpieczeń lub wyższej.
  • Można przypisać administratorów dostępu warunkowego z dostępem do funkcji Security Copilot.
    • Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu Zabezpieczenia Copilot
  • Kontrolki oparte na urządzeniach wymagają licencji usługi Microsoft Intune.

Kluczowe funkcje agenta optymalizacji dostępu warunkowego

Agent optymalizacji dostępu warunkowego skanuje dzierżawę pod kątem nowych użytkowników i aplikacji i określa, czy zasady dostępu warunkowego mają zastosowanie. Najważniejsze funkcje to:

Funkcja Opis
Wymaganie uwierzytelniania wieloskładnikowego Agent identyfikuje użytkowników, którzy nie są objęci zasadami dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego i mogą aktualizować zasady.
Wymaganie kontrolek opartych na urządzeniach Agent może wymuszać mechanizmy kontroli oparte na urządzeniach, takie jak zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny.
Blokuj starsze uwierzytelnianie Konta użytkowników ze starszym uwierzytelnianiem nie mogą się zalogować.
Konsolidacja zasad Agent skanuje twoją polisę i identyfikuje nakładające się ustawienia. Jeśli na przykład masz więcej niż jedną zasadę z tymi samymi mechanizmami kontroli udzielania, agent sugeruje skonsolidowanie tych zasad w jeden.
Blokuj przepływ kodu urządzenia Agent szuka zasad blokujących uwierzytelnianie przepływu kodu urządzenia.
Korygowanie jednym kliknięciem Gdy agent zidentyfikuje sugestię, możesz wybrać pozycję Zastosuj sugestię, aby agent zaktualizował skojarzone zasady za pomocą jednego naciśnięcia przycisku.

Nadaj agentowi optymalizacji dostępu warunkowego próbę

W tym ćwiczeniu zapoznasz się z kluczowymi możliwościami agenta optymalizacji dostępu warunkowego, Security Copilot, osadzonego w usłudze Microsoft Entra.

Podczas eksplorowania należy pamiętać, że o ile nie określono inaczej, wyświetlane informacje i ustawienia konfiguracji są przeznaczone dla aktualnie zalogowanego administratora zabezpieczeń.

Uwaga / Notatka

Środowisko tego ćwiczenia to symulacja wygenerowana na podstawie produktu. W ramach ograniczonej symulacji nie wszystkie linki na stronie są włączone, a dane wejściowe oparte na tekście, które znajdują się poza określonym skryptem, nie są obsługiwane. Zostanie wyświetlone wyskakujące okienko "Ta funkcja nie jest dostępna w symulacji". Po otrzymaniu tego komunikatu wybierz przycisk OK i kontynuuj kroki ćwiczenia.

Zrzut ekranu przedstawiający wyskakujący ekran wskazujący, że ta funkcja nie jest dostępna w symulacji.

Ćwiczenie

Wykonanie tego ćwiczenia powinno potrwać około 10 minut.

Uwaga / Notatka

Gdy instrukcja laboratorium wywołuje otwarcie linku do symulowanego środowiska, zaleca się otwarcie linku w nowym oknie przeglądarki, aby można było jednocześnie wyświetlić instrukcje i środowisko ćwiczeń. Aby to zrobić, kliknij prawym przyciskiem myszy i wybierz opcję.

  1. Otwórz https://Entra.Microsoft.com (symulację) co najmniej z rolą Administratora ds. bezpieczeństwa.

Istnieją dwa sposoby na wyświetlenie ekranu Agentów Copilot Zabezpieczeń:

  • Opcja 1: wybierz bezpłatnych agentów Try Security Copilot przez 60 dni
  • Opcja-2: Otwórz dostęp warunkowy z menu po lewej stronie. Następnie wybierz agenta optymalizacji dostępu warunkowego.

Możesz użyć dowolnej opcji, aby uruchomić agenta, ale pamiętaj, że obie opcje są dostępne.

Opcja 1:

  1. Wybierz przycisk "Bezpłatna wersja próbna 60-dniowa".
  2. Wybierz pozycję Wyświetl szczegóły na stronie:

Opcja 2:

  1. Otwórz element Dostęp warunkowy w menu po lewej stronie.
  2. Na karcie Przegląd wybierz pozycję Agent optymalizacji dostępu warunkowego.

Eksplorowanie agenta dostępu warunkowego

  1. Przejrzyj kartę Przegląd .
  • Agent jest aktywny — zwróć uwagę na czas ostatniego uruchomienia agenta i plan następnych uruchomień.
  • Najważniejsze informacje o wydajności — przejrzyj koszt w jednostkach obliczeniowych zabezpieczeń (SCU) dla agenta. Zobacz, ilu niechronionych użytkowników agent znalazł do ochrony.
  • Informacje o tym agencie — krótki opis agenta i jego działanie.
  • Najnowsze sugestie — przejrzyj wszystkie istniejące zasady dostępu warunkowego i sugestie dotyczące sposobu ich scalania, aktualizowania, usuwania lub rozszerzania.
  • Ostatnie działanie — stan ostatnich kilku prób uruchomienia agenta optymalizacji dostępu warunkowego i wyników.

  1. Wybierz link Wyświetl uruchomienie w polu Agent jest aktywny.

  2. Przejrzyj przepływ procesu agenta i zobacz, jakie nowe informacje zostały wykryte od czasu ostatniego ukończenia.

  • Zwróć uwagę, że chodzi o poszukiwanie trzech typowych optymalizacji praw dostępu.
    • Dryf aplikacyjny – nowe aplikacje zostały wdrożone i muszą być chronione.
    • Dryf użytkowników — znaleziono nowych użytkowników lub zmieniono prawa użytkowników w sposób, który pozostawia ich bez ochrony zasad.
    • Scalanie polityk — miejsca, w których można scalić co najmniej 2 polityki, aby uzyskać ten sam wynik i ułatwić zarządzanie.

  1. Wybierz ścieżkę nawigacyjną Conditional Access Optimization Agent, aby powrócić do strony Przegląd.

  2. Wybierz kartę Działania w górnym menu. Przejrzyj historię uruchamiania agenta optymalizacji dostępu warunkowego i wyników.

  3. Wybierz kilka różnych przycisków Wyświetl działanie , aby zobaczyć postęp agenta optymalizacji dostępu warunkowego w trakcie każdego 24-godzinnego okresu.

  4. Otwórz drugi element na liście. Zwróć uwagę, że znaleziono cztery nowe aplikacje, a zalecenia dotyczące zmian zasad pojawiają się z czasem.

  5. Użyj okruszków, aby powrócić do strony Przegląd.

  6. Wybierz Sugestie z menu kart.

  7. Zapoznaj się z historią sugestii. Masz jeden element na każdy dzień, w którym agent był uruchomiony.

  8. Wybierz przycisk Przejrzyj sugestię dla pierwszego elementu.

  9. Zwróć uwagę, że polityka chce dodać 2 użytkowników do istniejącej polityki dostępu warunkowego. Celem jest dodanie użytkowników do CA99 – Mitigate Risk Users zgodnie z zasadami resetowania hasła.

  10. Wybierz kartę Wpływ na zasady w górnej części strony, aby zobaczyć wykres tej zmiany zasad w czasie.

  11. Wróć do karty Szczegóły zasad , a następnie wybierz pozycję Przejrzyj zmiany zasad , aby zobaczyć proponowane zmiany i aktualizację JSON, która ma zostać wprowadzona.

  12. Użyj przycisku Wstecz przeglądarki, aby powrócić do strony Przegląd .

  13. Wybierz pozycję Sugestie z menu.

  14. Wybierz znak X w prawym górnym rogu ekranu, aby zamknąć okno dialogowe.

Eksplorowanie agentów optymalizacji dostępu warunkowego w CA-Policies

  1. Otwórz pozycję Dostęp warunkowy z menu po lewej stronie.

  2. Wybierz pozycję Zasady z menu Dostęp warunkowy.

  3. Przejrzyj listę zasad. Powinny być widoczne trzy typy:

  • Microsoft — globalne zasady wysyłane przez firmę Microsoft, takie jak wymaganie uwierzytelniania wieloskładnikowego.
  • Użytkownik — zasady dostępu warunkowego utworzone przez autoryzowanego użytkownika w organizacji.
  • Agent optymalizacji dostępu warunkowego — zgłaszaj tylko zasady utworzone przez agenta do przeglądu. Można je zastosować w zależności od celów biznesowych i zabezpieczeń.

  1. Przewiń listę w dół, aby znaleźć politykę CA99, którą wcześniej przejrzeliśmy.

  2. Wybierz element Sugestia nowego agenta .

  3. Cztery razy agent optymalizacji dostępu warunkowego znalazł nowego użytkownika i ma sugestię Zastosuj dla każdego z nich.

  4. Zapoznaj się z opisem tego, co będzie robić sugestia.

  5. Wybierz przycisk Zastosuj sugestię .

Result — Agent monitoruje twoich użytkowników każdego dnia i odnalazł użytkowników, którzy nie byli chronieni przez polityki dotyczące ryzykownych użytkowników. Zasugerowano zaktualizowanie zasad w celu uwzględnienia nowych użytkowników i podaniu przycisku w celu wprowadzenia zmiany. W jednym przycisku dodano ochronę użytkowników.

  1. Zamknij Microsoft Entra, aby zakończyć symulację.