Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Агент оптимизации условного доступа помогает обеспечить защиту всех пользователей, приложений и удостоверений агента политиками условного доступа. Агент может рекомендовать новые политики и обновлять существующие политики на основе рекомендаций, согласованных с нулевым доверием и обучением Майкрософт. Агент также создает отчеты о проверке политики (предварительная версия), которые предоставляют аналитические сведения о пиках или спадах, которые могут указывать на неправильное настройку политики.
Агент оптимизации условного доступа оценивает политики, такие как требование многофакторной проверки подлинности (MFA), применение элементов управления на основе устройств (соответствие устройств, политики защиты приложений и устройства, присоединенные к домену), а также блокировка устаревшей проверки подлинности и потока кода устройства. Агент также оценивает все существующие включенные политики, чтобы выявить потенциальную консолидацию аналогичных политик. Когда агент идентифицирует предложение, агент может обновить связанную политику одним щелчком мыши.
Это важно
Интеграции ServiceNow и Microsoft Teams с агентом оптимизации условного доступа в настоящее время находятся в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Предпосылки
- У вас должна быть по крайней мере лицензия Microsoft Entra ID P1 .
- Необходимо иметь доступные вычислительные единицы безопасности (SCU).
- В среднем каждый запуск агента потребляет менее одного SCU.
- У вас должна быть соответствующая роль Microsoft Entra.
- Администратор безопасности требуется для активации агента в первый раз.
- Роли средства чтения безопасности и глобального читателя могут просматривать агент и любые предложения, но не могут выполнять никаких действий.
- Роли администратора условного доступа и администратора безопасности могут просматривать агента и принимать меры по предложенным рекомендациям.
- Администраторов условного доступа можно назначить, предоставив им доступ к системе Security Copilot, что дает администраторам возможность также использовать агента.
- Дополнительные сведения см. в разделе "Назначение доступа к Security Copilot".
- Для элементов управления на основе устройств требуются лицензии Microsoft Intune.
- Ознакомьтесь с безопасностью конфиденциальности и данных в Microsoft Security Copilot.
Ограничения
- Избегайте использования учетной записи для настройки агента, требующего активации роли с помощью управления привилегированными пользователями (PIM). Использование учетной записи, которая не имеет постоянных разрешений, может вызвать сбои проверки подлинности для агента.
- После запуска агентов их нельзя остановить или приостановить. Выполнение может занять несколько минут.
- Для консолидации политик каждый агент рассматривает только четыре аналогичные пары политик.
- Мы рекомендуем запустить агент из Центра администрирования Microsoft Entra.
- Сканирование ограничено 24-часовым периодом.
- Предложения агента не могут быть настроены или переопределены.
- Агент может просматривать до 300 пользователей и 150 приложений в одном запуске.
Принцип работы
Агент оптимизации условного доступа сканирует арендатора на наличие новых пользователей, приложений и идентификаторов агентов за последние 24 часа и определяет, можно ли применить политики условного доступа. Если агент находит пользователей, приложения или удостоверения агента, которые не защищены политиками условного доступа, он предлагает следующие действия, например включение или изменение политики условного доступа. Вы можете просмотреть предложение, как агент определил решение и что будет включено в политику.
Каждый раз, когда агент запускается, он выполняет следующие действия. Эти начальные шаги сканирования не используют какие-либо SCU.
- Агент сканирует все политики условного доступа в вашем тенанте.
- Агент проверяет наличие пробелов в политике и может ли быть объединена любая политика.
- Агент проверяет предыдущие предложения, поэтому он не будет предлагать ту же политику снова.
Если агент идентифицирует то, что ранее не было предложено, он выполняет следующие действия. Эти действия агента используют SCU.
- Агент определяет разрыв политики или пару политик, которые можно объединить.
- Агент оценивает все предоставленные пользовательские инструкции.
- Агент создает новую политику в режиме только для отчета или предоставляет предложение изменить политику, включая любую логику, предоставляемую пользовательскими инструкциями.
Замечание
Для работы Security Copilot в клиенте должен быть подготовлен по крайней мере один SCU, но за этот SCU выставляется счет каждый месяц, даже если вы не используете какие-либо SCU. Отключение агента не прекращает ежемесячное выставление счетов для SCU.
Предложения политики, определенные агентом, включают:
- Требовать многофакторную проверку подлинности: агент определяет пользователей, которые не охватываются политикой условного доступа, требующей MFA, и может обновить политику.
- Требовать элементы управления на основе устройств: агент может применять элементы управления на основе устройств, такие как соответствие устройств, политики защиты приложений и присоединенные к домену устройства.
- Блокировать устаревшую проверку подлинности: учетные записи пользователей с устаревшей проверкой подлинности заблокированы для входа.
- Блокировать поток кода устройства: агент ищет политику блокировки проверки подлинности потока кода устройства.
- Рискованные пользователи: агент предлагает политику, требуя безопасного изменения пароля для пользователей с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные входы. Агент предлагает политику для многофакторной проверки подлинности для входа с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные агенты: агент предлагает политику блокировки проверки подлинности для входа с высоким риском. Требуется лицензия Microsoft Entra ID P2.
- Консолидация политик: агент сканирует политику и определяет перекрывающиеся параметры. Например, если у вас несколько политик с одинаковыми элементами управления предоставлением, агент предлагает объединить эти политики в одну.
- Глубокий анализ. Агент рассматривает политики, соответствующие ключевым сценариям, чтобы определить более чем рекомендуемое количество исключений (что приводит к непредвиденным пробелам в охвате) или без исключений (что приводит к возможной блокировке).
Это важно
Агент не вносит никаких изменений в существующие политики, если администратор явно не утвердит предложение.
Все новые политики, предлагаемые агентом, создаются в режиме только для отчетов.
Две политики можно объединить, если они отличаются не более чем двумя условиями или элементами управления.
Начало работы
Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора безопасности.
На новой домашней странице выберите "Перейти к агентам" из карточки уведомлений агента.
- Вы также можете выбрать агенты в меню навигации слева.
Выберите "Просмотреть сведения" на плитке агента оптимизации условного доступа.
Снимок экрана плитки агента условного доступа с выделенной кнопкой "просмотр подробностей".
Выберите «Запустить агент», чтобы начать первый запуск. Избегайте использования учетной записи с ролью, активированной с помощью PIM.
Когда страница обзора агента загружается, все предложения отображаются в поле "Последние предложения ". Если было определено предложение, вы можете просмотреть политику, определить влияние политики и применить изменения при необходимости. Дополнительные сведения см. в статье "Просмотр и утверждение предложений агента условного доступа".
Settings
После включения агента можно настроить несколько параметров. После внесения изменений нажмите кнопку "Сохранить " в нижней части страницы. Вы можете получить доступ к параметрам из двух мест в Центре администрирования Microsoft Entra:
- Агенты>Агент оптимизации условного доступа>Параметры.
- Из раздела Условный доступ> выберите карточку агента оптимизации условного доступа в разделе Обзор политики>Параметры.
Триггер
Агент настраивается для запуска каждые 24 часа на основе первоначальной настройки. Вы можете изменить время запуска агента, выключив параметр Триггер, а затем снова включив его, когда захотите, чтобы он запускался.
Объекты Microsoft Entra для мониторинга
Установите флажки в объектах Microsoft Entra для отслеживания, чтобы указать, что агент должен отслеживать при предоставлении рекомендаций по политике. По умолчанию агент ищет как новых пользователей, так и новые приложения в вашем клиенте за предыдущие 24 часа.
Возможности агента
По умолчанию агент оптимизации условного доступа может создавать новые политики в режиме только для отчетов. Этот параметр можно изменить таким образом, чтобы администратор должен утвердить новую политику перед созданием. Политика по-прежнему создается в режиме только для отчетов, но только после утверждения администратора. После проверки влияния политики вы можете включить политику непосредственно из интерфейса агента или условного доступа.
Notifications
В рамках предварительной версии агент оптимизации условного доступа может отправлять уведомления через Microsoft Teams в набор получателей. С помощью приложения агента условного доступа в Microsoft Teams получатели получают уведомления непосредственно в чате Teams при появлении нового предложения агента.
Чтобы добавить приложение агента в Microsoft Teams, выполните следующие действия.
В Microsoft Teams выберите приложения в меню навигации слева и найдите и выберите агент условного доступа.
Нажмите кнопку "Добавить ", а затем нажмите кнопку "Открыть ", чтобы открыть приложение.
Чтобы упростить доступ к приложению, щелкните правой кнопкой мыши значок приложения в меню навигации слева и выберите "Закрепить".
Чтобы настроить уведомления в параметрах агента оптимизации условного доступа, выполните следующие действия.
В параметрах агента оптимизации условного доступа выберите ссылку "Выбор пользователей и групп ".
Выберите пользователей или группы, которые вы хотите получать уведомления, а затем нажмите кнопку "Выбрать ".
В нижней части главной страницы параметров нажмите кнопку "Сохранить ".
Для получения уведомлений можно выбрать до 10 получателей. Вы можете выбрать группу для получения уведомлений, но членство в этой группе не может превышать 10 пользователей. Если выбрать группу, которая содержит менее 10 пользователей, но больше добавлено позже, группа больше не получает уведомления. Аналогичным образом уведомления можно отправлять только на пять объектов, таких как сочетание отдельных пользователей или групп. Чтобы прекратить получение уведомлений, удалите объект пользователя или группу, в которую вы входите из списка получателей.
В настоящее время общение агента является односторонним, поэтому вы можете получать уведомления, но не можете отвечать на них в Microsoft Teams. Чтобы принять меры по предложению, выберите "Проверить предложение " из чата, чтобы открыть агент оптимизации условного доступа в Центре администрирования Microsoft Entra.
Поэтапное развертывание
Когда агент создает новую политику в режиме отчёта, политика развертывается поэтапно для отслеживания влияния новой политики. Поэтапное развертывание включено по умолчанию.
Можно изменить количество дней между каждым этапом, перетащив ползунок или введя число в текстовом поле. Количество дней между каждым этапом одинаково для всех этапов. Убедитесь, что вы запускаете поэтапное развертывание с достаточным временем для мониторинга влияния до начала следующего этапа, поэтому развертывание не начинается в выходные дни или праздник, если вам нужно приостановить развертывание.
Идентификация и разрешения
Существует несколько ключевых моментов, которые следует учитывать при рассмотрении удостоверений и разрешений агента:
Агент оптимизации условного доступа теперь поддерживает идентификатор Microsoft Entra, позволяя агенту использовать собственное удостоверение вместо удостоверения конкретного пользователя. Это повышает безопасность, упрощает управление и обеспечивает большую гибкость.
- Новые установки по умолчанию выполняются под удостоверением агента.
- Существующие установки могут перейти с работы в определенном пользовательском контексте на работу под удостоверением агента в любое время.
- Это изменение не влияет на отчеты или аналитику.
- Существующие политики и рекомендации остаются не затронутыми.
- Пользователи не могут возвратиться к пользовательскому контексту.
- Админы с ролями администратора безопасности или глобального администратора могут перейти к параметрам агента, а затем выбрать Создать удостоверение агента, чтобы переключиться.
Администратор безопасности имеет доступ к Security Copilot по умолчанию. Вы можете назначить администраторов условного доступа с доступом к Security Copilot. Эта авторизация дает администраторам условного доступа возможность также использовать агент. Дополнительные сведения см. в разделе "Назначение доступа к Security Copilot".
Пользователь, утверждающий предложение о добавлении пользователей в политику, становится владельцем новой группы, которая добавляет пользователей в политику.
Журналы аудита для действий, выполняемых агентом, связаны с идентификацией пользователя или агента, который включил агент. Имя учетной записи можно найти в разделе удостоверений и разрешений параметров.
Интеграция ServiceNow (предварительная версия)
Организации, использующие подключаемый модуль ServiceNow для Безопасности Copilot, теперь могут поручать агенту оптимизации условного доступа создавать запросы на изменение ServiceNow для каждого нового предложения, которое он формирует. Это позволяет ит-специалистам и группам безопасности отслеживать, проверять и отклонять предложения агента в существующих рабочих процессах ServiceNow. В настоящее время поддерживаются только запросы на изменение (CHG).
Чтобы использовать интеграцию ServiceNow, ваша организация должна настроить подключаемый модуль ServiceNow .
Если плагин ServiceNow включен в настройках агента оптимизации условного доступа, каждое новое предложение агента создает запрос на изменение в ServiceNow. Запрос на изменение содержит сведения о предложении, таких как тип политики, затронутые пользователи или группы, и обоснование рекомендации. Интеграция также предоставляет цикл обратной связи: агент отслеживает состояние запроса на изменение ServiceNow и может автоматически реализовать изменение при утверждении запроса на изменение.
Пользовательские инструкции
Вы можете настроить политику в соответствии с вашими потребностями с помощью необязательного поля настраиваемых инструкций . Этот параметр позволяет предоставить агенту запрос во время его выполнения. Эти инструкции можно использовать для следующих способов:
- Включение или исключение определенных пользователей, групп и ролей
- Исключите объекты, которые рассматриваются агентом или добавляются в политику условного доступа.
- Применение исключений к определенным политикам, таким как исключение определенной группы из политики, требование MFA или требование политик управления мобильными приложениями.
Можно ввести имя или идентификатор объекта в пользовательских инструкциях. Оба значения проверяются. При добавлении имени группы идентификатор объекта для этой группы автоматически добавляется от вашего имени. Пример пользовательских инструкций:
- "Исключить пользователей из группы "Break Glass" из любой политики, требующей многофакторной проверки подлинности".
- "Исключить пользователя с идентификатором объекта ddddd-3333-4444-5555-ee из всех политик"
Распространенный сценарий заключается в том, что у вашей организации много гостевых пользователей, которых вы не хотите, чтобы агент предлагал добавлять в стандартные политики условного доступа. Если агент запускается и видит новых гостевых пользователей, которые не охватываются рекомендуемыми политиками, SKU используются, чтобы предложить охватывать этих гостевых пользователей политиками, которые не нужны. Чтобы предотвратить рассмотрение гостевых пользователей агентом:
- Создайте динамическую группу с именем "Гости".
(user.userType -eq "guest") - Добавьте пользовательскую инструкцию на основе ваших потребностей.
- "Исключите группу "Гости" из рассмотрения агента".
- "Исключите группу "Гости" из любых политик управления мобильными приложениями".
Дополнительные сведения об использовании пользовательских инструкций см. в следующем видео.
Обратите внимание, что некоторые из содержимого в видео, например элементы пользовательского интерфейса, могут изменяться, так как агент часто обновляется.
Интеграция Intune
Агент оптимизации условного доступа интегрируется с Microsoft Intune для отслеживания соответствия устройств и политик защиты приложений, настроенных в Intune и выявления потенциальных пробелов в принудительном применении условного доступа. Этот упреждающий и автоматизированный подход гарантирует, что политики условного доступа остаются в соответствии с целями безопасности организации и требованиями к соответствию требованиям. Предложения агента совпадают с другими предложениями политики, за исключением того, что Intune предоставляет часть сигнала агенту.
Предложения агента для сценариев Intune охватывают определенные группы пользователей и платформы (iOS или Android). Например, агент определяет активную политику защиты приложений Intune, предназначенную для группы "Finance", но определяет, что не существует достаточной политики условного доступа, которая обеспечивает защиту приложений. Агент создает политику только для отчетов, которая требует от пользователей доступа к ресурсам только через соответствующие приложения на устройствах iOS.
Чтобы определить соответствие устройств Intune и политики защиты приложений, агент должен быть глобальным администратором или администратором условного доступа и одновременно глобальным обозревателем. Администратор условного доступа сам по себе недостаточен для того, чтобы агент мог предлагать варианты настройки Intune.
Интеграция глобального безопасного доступа
Microsoft Entra Internet Access и Microsoft Entra Private Access (коллективно известный как глобальный безопасный доступ) интегрируются с агентом оптимизации условного доступа, чтобы предоставить предложения, относящиеся к политикам доступа к сети вашей организации. Предложение включите новую политику, чтобы применить требования к сетевому доступу для Global Secure Access помогает согласовать политики Global Secure Access, в которые входят сетевые расположения и защищенные приложения.
С помощью этой интеграции агент определяет пользователей или группы, которые не охватываются политикой условного доступа, чтобы требовать доступ к корпоративным ресурсам только через утвержденные каналы глобального безопасного доступа. Эта политика требует, чтобы пользователи подключались к корпоративным ресурсам с помощью безопасной сети глобального безопасного доступа организации перед доступом к корпоративным приложениям и данным. Пользователям, подключающимся из неуправляемых или ненадежных сетей, предлагается использовать клиент глобального безопасного доступа или веб-шлюз. Журналы входа можно просмотреть, чтобы проверить соответствующие подключения.
Удаление агента
Если вы больше не хотите использовать агент оптимизации условного доступа, выберите "Удалить агент" в верхней части окна агента. Существующие данные (действие агента, предложения и метрики) удаляются, но все политики, созданные или обновленные на основе предложений агента, остаются неизменными. Ранее примененные предложения остаются неизменными, чтобы можно было продолжать использовать политики, созданные или измененные агентом.
Предоставление отзывов
Нажмите кнопку "Отправить отзыв Майкрософт" в верхней части окна агента, чтобы предоставить отзыв корпорации Майкрософт об агенте.
FAQs
Когда следует использовать агент оптимизации условного доступа и чат Copilot?
Обе функции предоставляют различные аналитические сведения о политиках условного доступа. В следующей таблице представлено сравнение двух функций:
| Scenario | Агент оптимизации условного доступа | Копилот Чат |
|---|---|---|
| Универсальные сценарии | ||
| Использование конфигурации для конкретного клиента | ✅ | |
| Продвинутое мышление | ✅ | |
| Аналитика по запросу | ✅ | |
| Интерактивное устранение неполадок | ✅ | |
| Непрерывная оценка политики | ✅ | |
| Автоматизированные предложения по улучшению | ✅ | |
| Ознакомьтесь с лучшими практиками и настройками удостоверяющего центра. | ✅ | ✅ |
| Конкретные сценарии | ||
| Упреждающее определение незащищенных пользователей или приложений | ✅ | |
| Принудительное применение MFA и других базовых элементов управления для всех пользователей | ✅ | |
| Непрерывный мониторинг и оптимизация политик ЦС | ✅ | |
| Изменения политики с одним щелчком | ✅ | |
| Просмотрите существующие политики и назначения ЦС (применяются ли политики к Алисе?) | ✅ | ✅ |
| Устранение неполадок с доступом пользователя (Почему Алиса запрашивала многофакторную проверку подлинности?) | ✅ |
Я активировал агент, но вижу сообщение "Сбой" в статусе активности. Что происходит?
Возможно, агент был включен с учетной записью, требующей активации ролей с помощью управления привилегированными пользователями (PIM). Когда агент попытался запуститься, возникла ошибка, так как учетная запись в тот момент не имела необходимых разрешений. Вам будет предложено повторно выполнить проверку подлинности, если истек срок действия разрешения PIM.
Эту проблему можно устранить, удалив агент, а затем заново включив его с учетной записью пользователя, которая имеет разрешения на доступ к Security Copilot. Дополнительные сведения см. в разделе "Назначение доступа к Security Copilot".