Агент оптимизации условного доступа Microsoft Entra

  • 10 мин

Агент оптимизации условного доступа помогает обеспечить защиту всех пользователей политикой. Он рекомендует политики и изменения на основе передовой практики в соответствии с принципами Zero Trust и обучающими решениями Microsoft.

Агент оптимизации условного доступа оценивает такие политики, как требование многофакторной проверки подлинности (MFA). Агент применяет элементы управления на основе устройств (соответствие устройств, политики защиты приложений и устройства, присоединенные к домену). Наконец, агент может помочь заблокировать устаревшую аутентификацию и поток кода устройства.

Агент также оценивает все существующие включенные политики, чтобы выявить потенциальную консолидацию аналогичных политик.

Требование использования агента оптимизации условного доступа

  • У вас должна быть по крайней мере лицензия Microsoft Entra ID P1.
  • Обязательно наличие доступных блоков вычислительной безопасности (SCU).
  • Чтобы активировать агент в первый раз, потребуется роль администратора безопасности или более высокой роли.
  • Вы можете назначить администраторов условного доступа с доступом к Security Copilot.
    • Для получения дополнительной информации см. раздел "Предоставление доступа к Безопасности Copilot"
  • Для элементов управления на основе устройств требуются лицензии Microsoft Intune.

Основные функции агента оптимизации условного доступа

Агент оптимизации условного доступа сканирует клиент для новых пользователей и приложений и определяет, применимы ли политики условного доступа. К ключевым функциям относятся:

Функция Описание
Требовать многофакторную аутентификацию. Агент определяет пользователей, которые не охватываются политикой условного доступа, для которой требуется MFA, и может обновить политику.
Требовать элементы управления на основе устройств Агент может применять элементы управления на основе устройств, такие как соответствие устройств, политики защиты приложений и устройства, присоединенные к домену.
Блокировать устаревшую аутентификацию Учетные записи пользователей с устаревшей проверкой подлинности заблокированы для входа.
Консолидация политик Агент сканирует политику и определяет перекрывающиеся параметры. Например, если у вас несколько политик с одинаковыми элементами управления предоставлением, агент предлагает объединить эти политики в одну.
Блокировать поток кода устройства Агент ищет политику, блокирующую аутентификацию через поток кода устройства.
Исправление с одним щелчком мыши Когда агент идентифицирует предложение, можно выбрать "Применить предложение", чтобы агент обновил связанную политику одним нажатием кнопки.

Попробуйте агент оптимизации условного доступа

В этом упражнении вы изучите ключевые возможности в агенте оптимизации условного доступа безопасности Copilot, внедренном в Microsoft Entra.

При изучении учитывайте, что если не указано иное, отображаемые сведения и параметры конфигурации предназначены для текущего входа в систему администратора безопасности.

Замечание

Среда для этого упражнения — это имитация, созданная из продукта. В качестве ограниченной симуляции, не все ссылки на странице включены, и текстовые данные ввода, которые выходят за рамки указанного скрипта, не поддерживаются. Появится всплывающее окно с сообщением "Эта функция недоступна в симуляционном сообщении". Когда вы получите это сообщение, нажмите кнопку "ОК" и продолжайте действия упражнения.

Снимок экрана всплывающего экрана с указанием того, что эта функция недоступна в моделировании.

Упражнения

Это упражнение должно занять около 10 минут.

Замечание

При вызове инструкции лаборатории для открытия ссылки на имитированную среду рекомендуется открыть ссылку в новом окне браузера, чтобы одновременно просмотреть инструкции и среду упражнений. Для этого выберите нужный ключ мыши и выберите этот параметр.

  1. Откройте https://Entra.Microsoft.com (имитацию) по крайней мере с ролью администратора безопасности.

Существует два способа открыть экран агентов Security Copilot:

  • Вариант-1: Выберите агентов Try Security Copilot бесплатно на 60 дней
  • Вариант-2. Откройте условный доступ в меню слева. Затем выберите агент оптимизации условного доступа.

Вы можете использовать любой вариант для запуска агента, но помните, что оба варианта доступны.

Вариант-1:

  1. Нажмите кнопку "Бесплатная пробная версия на 60 дней".
  2. Выберите "Просмотреть сведения" на странице:

Вариант-2.

  1. Откройте элемент условного доступа в меню слева.
  2. На вкладке "Обзор" выберите агент оптимизации условного доступа.

Изучение агента условного доступа

  1. Просмотрите вкладку "Обзор ".
  • Агент активен. Обратите внимание на время последнего запуска агента и его предстоящее расписание.
  • Основные сведения о производительности. Просмотрите затраты в единицах вычислений безопасности (SCUS) для агента. Узнайте, сколько незащищенных пользователей, обнаруженных агентом для защиты.
  • Об этом агенте — краткое описание агента и его работу.
  • Последние предложения— просмотрите все существующие политики условного доступа и предложения о том, как они могут быть объединены, обновлены, удалены или улучшены.
  • Недавняя активность — сведения о последних нескольких попытках запуска агента оптимизации условного доступа и их результатах.

  1. Выберите ссылку "Просмотр выполнения" в поле Активный агент.

  2. Просмотрите процедуру работы агента и узнайте, какие новые данные были обнаружены с момента последнего завершения.

  • Обратите внимание, что выполняется поиск трех распространенных оптимизаций прав доступа:
    • Дрейф приложений — были развернуты новые приложения и они должны быть защищены.
    • Смещение пользователей — были найдены новые пользователи или изменены права пользователя, которые не защищены политикой.
    • Слияние политик — места, где можно объединить 2 или более политик, чтобы обеспечить тот же результат с более простым управлением.

  1. Выберите навигационную цепочку Агент оптимизации условного доступа, чтобы вернуться на страницу обзора.

  2. Выберите вкладку "Действия" в верхнем меню. Просмотрите историю того, когда выполнялся агент оптимизации условного доступа, и его результаты.

  3. Выберите несколько различных кнопок Просмотреть действия, чтобы увидеть ход выполнения агента оптимизации условного доступа в течение каждого 24-часового периода.

  4. Откройте второй элемент списка. Обратите внимание, что с течением времени обнаружены четыре новых приложения и рекомендуемые изменения политики.

  5. Чтобы вернуться на страницу "Обзор", используйте строки навигации.

  6. Выберите предложения в меню вкладок.

  7. Изучите журнал предложений. У вас есть один элемент для каждого дня запуска агента.

  8. Нажмите кнопку "Проверка предложений" для первого элемента.

  9. Обратите внимание, что политика хочет добавить 2 пользователей в существующую политику условного доступа. Цель заключается в добавлении пользователей в категорию CA99 — пользователи с высоким риском, на которых распространяется политика сброса пароля для снижения рисков.

  10. Выберите вкладку влияния политики в верхней части страницы, чтобы увидеть график изменения этой политики с течением времени.

  11. Вернитесь на вкладку сведений о политике , а затем выберите изменения политики проверки , чтобы просмотреть предложенные изменения и обновление JSON.

  12. Используйте кнопку "Назад браузера", чтобы вернуться на страницу обзора .

  13. Выберите предложения в меню.

  14. Выберите X в правом верхнем углу экрана, чтобы закрыть диалоговое окно.

Изучите агентов оптимизации условного доступа в CA-Policies

  1. Откройте условный доступ в меню слева.

  2. Выберите политики в меню условного доступа.

  3. Просмотрите список политик, вы увидите три типа:

  • Корпорация Майкрософт — такие глобальные политики, отправляемые корпорацией Майкрософт, как требование многофакторной аутентификации.
  • Пользователь — политики условного доступа, созданные авторизованным пользователем в организации.
  • Агент оптимизации условного доступа — политики в режиме только отчетов, созданные агентом для проверки. Их можно применить в зависимости от бизнес-целей и целей безопасности.

  1. Прокрутите список вниз, чтобы найти политику CA99, рассмотренную ранее.

  2. Выберите элемент нового предложения агента.

  3. В четырех случаях агент оптимизации условного доступа нашел нового пользователя и имеет предложение Применить для каждого из них.

  4. Ознакомьтесь с описанием того, что будет делать предложение.

  5. Нажмите кнопку "Применить предложение ".

Результат — агент ежедневно отслеживает ваших пользователей и обнаруживает тех, кто не был защищен политиками "Рискованные пользователи". Она предложила обновить политику, чтобы включить новых пользователей и предоставить вам кнопку, чтобы внести изменения. В одной кнопке вы добавили защиту для пользователей.

  1. Закройте Microsoft Entra, чтобы завершить имитацию.