Så här granskar och tillämpar du förslag från optimeringsagenten för villkorsstyrd åtkomst

Microsoft Entras optimeringsagent för villkorsstyrd åtkomst innehåller förslag på att skapa eller uppdatera principer för villkorsstyrd åtkomst och skapar rapporter för aktiviteter som är relaterade till dessa principer. Förslagen varierar beroende på vad agenten hittar. Som administratör måste du granska förslagen och bestämma vad du ska göra.

Den här artikeln innehåller en översikt över logiken bakom förslagen och rapporterna och hur du granskar och agerar på dessa förslag.

Viktigt!

Microsoft Teams-integreringarna i optimeringsagenten för villkorsstyrd åtkomst finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Förutsättningar

• Du måste ha minst Microsoft Entra ID P1-licensen .
• Du måste ha tillgängliga Security Compute Units (SCU: säkerhetsenheter för beräkning).
  • I genomsnitt förbrukar varje agentkörning mindre än en SCU.
• Du måste ha rätt Microsoft Entra-roll.
  • Rollerna Säkerhetsläsare och Global läsare kan visa agenten och eventuella förslag, men kan inte vidta några åtgärder.
  • Roller som administratör för villkorlig åtkomst och säkerhetsadministratör kan visa agenten och vidta åtgärder för förslagen.
  • Mer information finns i Tilldela åtkomst till Security Copilot.
• Enhetsbaserade kontroller kräver Microsoft Intune-licenser.
• Granska Sekretess och datasäkerhet i Microsoft Security Copilot.

Begränsningar

• Undvik att använda ett konto för att konfigurera agenten som kräver rollaktivering med Privileged Identity Management (PIM). Om du använder ett konto som inte har stående behörigheter kan det orsaka autentiseringsfel för agenten.
• När agenterna har startats kan de inte stoppas eller pausas. Det kan ta några minuter att genomföra.
• För policysammanslagning tittar varje agent bara på fyra liknande policyspar.
• Agenten körs för närvarande som den användare som aktiverar den.
• Vi rekommenderar att du kör agenten från administrationscentret för Microsoft Entra.
• Genomsökningen är begränsad till en period av 24 timmar.
• Förslag från agenten kan inte anpassas eller åsidosättas.
• Agenten kan granska upp till 150 användare och 100 program i en enda körning.

Så här fungerar det

Agenten kan köras och:

• Identifiera inga oskyddade användare eller rekommendera ändringar
• Skapa en ny princip för villkorsstyrd åtkomst i rapportläge
• Föreslå att du ändrar en befintlig princip
• Föreslå att överlappande principer konsolideras
• Identifiera en topp eller en nedgång i aktivitet som är relaterad till en befintlig princip

Vi vill ge så mycket information som möjligt om den logik som används för att identifiera förslagen eftersom principer för villkorsstyrd åtkomst kan vara komplexa. Med varje förslag tillhandahåller agenten detaljerade resonemang, sammanfattningar av princippåverkan och information om principen. Som bästa praxis bör du granska informationen innan du tillämpar ett förslag eller ändrar en princip endast för rapporter till en aktiv princip.

Granska förslag och agentlogik

Välj Granska förslag för att granska en grundlig översikt över förslaget, inklusive den logik som används för att identifiera förslaget och principens potentiella inverkan. Vilka alternativ som är tillgängliga i information om principförslag varierar beroende på typ av förslag. Nya principförslag innehåller till exempel knappen Aktivera princip medan förslag om att ändra en befintlig princip innehåller knappen Lägg till konton för att lägga till användare eller grupper som ska undantas från principen.

Policyinformation

Standardvyn för förslaget innehåller principinformationen, inklusive en beskrivning på hög nivå överst följt av den information som används i principen.

Från principinformationen kan du vidta åtgärder på förslaget med hjälp av flera alternativ. Överst på sidan kan du redigera, duplicera, ladda ned eller ta bort policyn. Du kan också använda funktionen Chatta med agent .

Under sammanfattningen av principförslaget kan du vidta flera åtgärder:

• Granska principändringar: Visa en sammanfattning eller JSON-information om förslaget. Mer information beskrivs i avsnittet Granska principändringar .
• Aktivera policy: Aktivera nya policyer som har skapats i endast informationsläge av agenten.
• Markera förslaget som granskat: Välj från nedåtpilen på knappen Aktivera princip för att ange att du har granskat förslaget utan att tillämpa det.
• Viloläge i 14 dagar: Välj från nedåtpilen på knappen Aktivera princip för att tillfälligt dölja förslaget. Förslaget visas igen i listan efter 14 dagar.
• Visa agentens fullständiga aktivitet: Visa den fullständiga aktiviteten och besluten. Mer information beskrivs i avsnittet Visa agentens fullständiga aktivitet .
• Lägg till anteckningar: Välj penn- och pappersikonen för att lägga till anteckningar om förslaget som andra administratörer kan granska

Informationssidan för principförslag är detaljerad och innehåller alla alternativ som behövs för att fatta ett välgrundat beslut om förslaget. Men om du behöver mer information kan du också visa policykonsekvenser och se information om agentens aktivitet. Fråga Copilot om filskillnaderna

Princippåverkan

I informationspanelen som öppnas väljer du Princippåverkan för att se en visualisering av principens potentiella inverkan.

Justera filtren och visningen efter behov. Välj en punkt i diagrammet för att se ett exempel på de data som principen påverkar. Om du till exempel vill att en princip ska kräva multifaktorautentisering (MFA) visar diagrammet ett exempel på inloggningshändelser där principen för villkorsstyrd åtkomst inte tillämpades. Mer information finns i Princippåverkan.

Visa agentens fullständiga aktivitet

Om du vill se en detaljerad sammanfattning av agentens aktivitet och hur den beräknade förslaget väljer du Visa agentens fullständiga aktivitet. Agentens aktivitet utvärderar policyavvikelser, eller luckor i policytäckningen, för användare och appar. Agenten söker också efter principer som kan sammanfogas eller konsolideras.

Om principförslaget inkluderar att lägga till specifika användare eller program i principen kan du visa listan över program eller användare direkt från kartan. I följande exempel väljer du till exempel länken 8 användare för att se de åtta användare som agenten identifierade som inte ingår i principen.

Sammanfattningen av agentaktiviteten är en beskrivning av aktiviteten på kartan på naturligt språk. Den här informationen kan hjälpa dig att förstå logiken bakom förslaget så att du kan fatta ett välgrundat beslut om du vill tillämpa förslaget.

Granska principändringar

Om agenten föreslår att du ändrar en befintlig princip väljer du Granska principändringar för att se information om den rekommenderade ändringen. På den här sidan visas användare, målresurser och annan information om principen som ändras om du tillämpar förslaget.

• Principinformation tillhandahålls både som en lista över all information som ändras och en JSON-vy över hela principen, med ändringarna markerade.
• För principändringar som påverkar användare eller program kan du ladda ned en JSON-fil med de användare och program som påverkas av principändringen.

Djupanalys

Djupanalys utför en djupgående granskning av principer för villkorsstyrd åtkomst för scenarier som blockering av äldre autentisering, blockering av enhetskontrollflöde och principer som kräver enhets- eller MFA-kontroller. Den utvärderar målanvändare, grupper och roller för att identifiera täckningsluckor, överlappande eller redundanta principer och konsolideringsmöjligheter. Den analyserar också undantag – den flaggar principer som exkluderar en stor del av användarna och rekommenderar uttrycklig uteslutning av break-glass-konton för att minska risken för oavsiktlig utelåsning.

Eftersom de principförslag som kommer genom djupanalys kan ha en betydande inverkan på din miljö kan du överväga att använda alternativet "snooze" för att ge dig tid att undersöka förslaget och alternativet "anteckningar" för att ge kontext och motivering för beslutsprocessen.

Tillämpa förslag

Hur du använder förslaget beror på om agenten har skapat en ny princip i rapportläge eller om det finns förslag på att ändra en befintlig princip.

Ändra en befintlig princip

Agenten kan föreslå att du ändrar en befintlig princip eller konsoliderar överlappande principer. När du har granskat informationen och effekten av principändringen kan du tillämpa förslaget på principen.

• På sidan Principinformation väljer du Använd förslag för att tillämpa ändringarna på principen.

• På sidan Granska principändringar kan du också välja Godkänn föreslagna ändringar längst ned på sidan.

Aktivera en ny princip

När agenten föreslår en ny princip skapas principen i endast rapportläge. När du har granskat princippåverkan kan du aktivera principen direkt från agentupplevelsen eller från listan principer för villkorsstyrd åtkomst.

• Välj Aktivera princip för att låta agenten tillämpa ändringarna på principen i rapportläge.

• Från Villkorsstyrd åtkomst väljer du principen och ändrar sedan växlingsknappen Aktivera princip från Endast rapport till På.

Tips/Råd

Som bästa praxis bör organisationer undanta sina break-glass-konton från policyn för att undvika att bli låsta ute på grund av felkonfiguration.

Varning

Principer i rapportläge som kräver en kompatibel enhet kan uppmana användare på macOS-, iOS- och Android-enheter att välja ett enhetscertifikat under principutvärderingen, även om enhetsefterlevnad inte tillämpas. Dessa uppmaningar kan upprepas tills enheten är kompatibel. För att förhindra att slutanvändarna får frågor vid inloggning, undantag enheterna Mac, iOS och Android från policies som enbart utför efterlevnadskontroller.

Meddelanden om förslag från Microsoft Teams-agent (förhandsversion)

Microsoft Teams kan användas för att ta emot meddelanden från agenten för optimering av villkorsstyrd åtkomst när nya förslag är tillgängliga. Med den här förhandsgranskningsfunktionen kan du konfigurera vem du vill ta emot meddelanden när nya förslag identifieras av agenten. För närvarande tillhandahåller Teams-integreringen enkelriktad kommunikation med agenten och en direktlänk till principförslaget i administrationscentret för Microsoft Entra.

Mer information finns i avsnittet Meddelanden i optimeringsagenten för villkorsstyrd åtkomst.

Granska principrapporter

Optimeringsagenten för villkorsstyrd åtkomst identifierar också toppar och dalar i aktivitet relaterad till befintliga principer. Dessa avvikelser indikerar ofta en felkonfiguration av en princip som måste undersökas. Om agenten identifierar en betydande aktivitetsändring visas en rapport i listan med förslag. Rapporterna gäller både aktiva och rapportbaserade principer som agenten föreslår att aktivera. I kolumnen Åtgärder som vidtas av agenten ser du Föreslagen principgranskning som värde.

Så här visar du en policygranskningsrapport:

1. Välj Förslag för granskning för att visa information om den föreslagna policyns granskning.

2. På policydetaljsidan väljer du Granska rapport. En detaljerad rapport med en visualisering av aktiviteten som är relaterad till principen visas.

   

3. Granska rapporten och undersöka principen efter behov.

4. På sidan principinformation väljer du Markera förslag som granskat eller Snooze i 14 dagar. Du kan också lägga till anteckningar om vad du har lärt dig och eventuella ändringar som du har gjort i den relaterade principen.