Dela via

Inställningar för optimeringsagent för villkorsstyrd åtkomst

Optimeringsagenten för villkorsstyrd åtkomst hjälper organisationer att förbättra sin säkerhetsstatus genom att analysera principer för villkorsstyrd åtkomst för luckor, överlappningar och undantag. Eftersom villkorsstyrd åtkomst blir en central komponent i organisationens Zero Trust strategi måste agentens funktioner vara konfigurerbara för att uppfylla organisationens unika behov.

Agentinställningarna som beskrivs i den här artikeln beskriver standardalternativ som utlösare, meddelanden och omfång. Men inställningarna innehåller även avancerade alternativ som anpassade instruktioner, Intune-integreringar och behörigheter.

Viktigt!

ServiceNow-integreringen, filuppladdningsfunktionen och aktivitetsbaserade körningar i agenten för optimering av villkorsstyrd åtkomst finns för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Så här konfigurerar du agentinställningar

Du kan komma åt inställningarna från två platser i Microsoft Entra admin center:

  • Från Agent>Agent för optimering av villkorsstyrd åtkomst>Inställningar.
  • Från Villkorlig åtkomst> väljer du kortet Optimeringsagent för villkorsstyrd åtkomst underPrincipsammanfattningsinställningar>.

Skärmbild av utlösaralternativet i agentinställningarna för optimering av villkorsstyrd åtkomst.

Välj kategorin på menyn till vänster för att navigera genom alla inställningar. När du har gjort några ändringar väljer du knappen Spara längst ned på sidan.

Trigger

Agenten är konfigurerad att köras var 24:e timme, baserat på när den ursprungligen konfigurerades. Du kan när som helst köra agenten manuellt.

Utöver den schemalagda dagliga körningen kan agenten utlösa körningar när ändringar görs i policys som är aktiverade. Aktivitetsbaserade körningar ersätter inte den dagliga schemalagda körningen. För att förhindra överdrivna körningar sker aktivitetsbaserade triggermekanismer inte mer än en gång var sjätte timme.

  • Om du inte har aktiverat optimeringsagenten för villkorsstyrd åtkomst aktiveras aktivitetsbaserade körningar som standard och kan inaktiveras i agentinställningarna.
  • Om optimeringsagenten för villkorsstyrd åtkomst redan körs i din klientorganisation kan du välja att aktivera aktivitetsbaserade körningar i agentens inställningar.

Schemalagda körningar

Agenten är konfigurerad att köras automatiskt var 24:e timme, baserat på när den först konfigurerades. Du kan också köra agenten manuellt när som helst.

Aktivitetsbaserade körningar (förhandsversion)

Förutom den dagliga schemalagda körningen kan agenten utlösa körningar baserat på ändringar i din Conditional Access-policy. Aktivitetsbaserade körningar är utformade för att hjälpa agenten att agera på förändringar i din miljö snabbare, istället för att vänta på nästa dagliga körning.

Följande ändringar av principer för villkorsstyrd åtkomst utlöser en aktivitetsbaserad körning:

  • En befintlig aktiverad princip ändras.
  • Ett principtillstånd ändras från något annat tillstånd, till exempel Av eller Endast rapport till .
  • En ny policy skapas med tillståndet inställt på .

Agenten söker efter dessa ändringar var femte minut. När en kvalificerande ändring identifieras initierar agenten en körning. För att förhindra överdrivna körningar under perioder med frekventa ändringar framtvingar agenten en fyra timmars nedkylning mellan aktivitetsbaserade körningar. Som exempel:

Time Evenemang Agentåtgärd
Minut 0 En aktiverad princip ändras. Ingen åtgärd ännu.
Minut 5 Agenten identifierar ändringen. Agenten körs.
Minut 6 En annan aktiverad princip ändras. Ingen åtgärd ännu.
Minut 10 Agenten identifierar ändringen. Nedkylningsläge aktivt. Ingen körning.
Minut 12 En annan aktiverad princip ändras. Ingen åtgärd ännu.
Minut 15 Agenten identifierar ändringen. Cooldown är aktiv. Ingen körning.
Timme 4 Nedkylningsperioden löper ut. Agenten körs.

Aktivitetsbaserade körningar ersätter inte den dagliga schemalagda körningen. Om den är aktiverad sker den dagliga körningen alltid oavsett hur många aktivitetsbaserade körningar som sker.

  • Nya hyresgäster: Aktivitetsbaserade körningar är som standard aktiverade. Du kan inaktivera dem i agentinställningarna.
  • Befintliga hyresgäster: Aktivitetsbaserade körningar är frivilliga. Du kan aktivera dem i agentinställningarna.

Capabilities

Kategorin Funktioner innehåller viktiga inställningar som du bör granska.

  • Microsoft Entra objekt att övervaka: Använd kryssrutorna för att ange vad agenten ska övervaka när du ger principförslag. Som standard söker agenten efter både nya användare och program i klientorganisationen under den senaste 24-timmarsperioden.
  • Agentfunktioner: Som standard kan agenten för optimering av villkorsstyrd åtkomst inte skapa nya principer, inte ens i rapportläge. Du kan ändra den här inställningen så att agenten kan skapa enbart rapporteringsprinciper på dina vägnar.
    • När den här inställningen är aktiverad måste en administratör godkänna den nya principen endast för rapporter innan den aktiveras. När du har granskat princippåverkan kan du aktivera principen direkt från agentupplevelsen eller från villkorsstyrd åtkomst.
    • Med den här inställningen inaktiverad får du fortfarande information om förslag, insikter och principer, men du måste godkänna principen manuellt innan den skapas i rapportläge.
  • Stegvis distribution: När agenten skapar en ny princip i rapportläge och principen uppfyller kriterierna för en stegvis distribution distribueras principen i faser, så att du kan övervaka effekten av den nya principen. Stegvis distribution är aktiverat som standard. Mer information finns i Stegvis distribution av agenten för optimering av villkorsstyrd åtkomst.

Skärmbild av inställningarna för optimering av agenten för villkorsstyrd åtkomst.

Notifications

Optimeringsagenten för villkorsstyrd åtkomst kan skicka meddelanden via Microsoft Teams till en utvald uppsättning mottagare. Med appen Conditional Access i Microsoft Teams får mottagarna meddelanden direkt i teams-chatten när agenten lägger fram ett nytt förslag.

Så här lägger du till agentappen i Microsoft Teams:

  1. I Microsoft Teams väljer du Apps i den vänstra navigeringsmenyn och söker efter och väljer agenten Conditional Access.

    Skärmbild av knappen För villkorlig åtkomst-app i Teams.

  2. Välj knappen Lägg till och välj sedan knappen Öppna för att öppna appen.

  3. Om du vill göra det enklare att komma åt appen högerklickar du på appikonen i den vänstra navigeringsmenyn och väljer Fäst.

Så här konfigurerar du meddelanden i optimeringsagentinställningarna för villkorsstyrd åtkomst:

  1. I inställningarna för optimeringsagenten för villkorsstyrd åtkomst väljer du länken Välj användare och grupper .

  2. Välj de användare eller grupper som du vill ta emot meddelanden och välj sedan knappen Välj .

    Skärmbild av agentinställningen för villkorsstyrd åtkomst för att välja användare och grupper för meddelanden.

  3. Längst ned på sidan Inställningar väljer du knappen Spara .

Du kan välja upp till 10 mottagare för att ta emot meddelanden. Du kan välja en grupp för att ta emot meddelandena, men medlemskapet i den gruppen får inte överstiga 10 användare. Om du väljer en grupp som har färre än 10 användare men fler läggs till senare får gruppen inte längre meddelanden. På samma sätt kan meddelandena bara skickas till fem objekt, till exempel en kombination av enskilda användare eller grupper. Om du vill sluta ta emot meddelanden tar du bort ditt användarobjekt eller den grupp som du ingår i från mottagarens lista.

För närvarande är agentens kommunikation en riktning, så du kan ta emot meddelanden men inte svara på dem i Microsoft Teams. Om du vill vidta åtgärder på ett förslag väljer du Review-förslag från chatten för att öppna agenten för optimering av villkorsstyrd åtkomst i Microsoft Entra admin center.

Skärmbild av meddelandemeddelandet för agenten för villkorsstyrd åtkomst i Teams.

Kunskapskällor

Optimeringsagenten för villkorsstyrd åtkomst kan hämta från två olika kunskapskällor för att komma med förslag som är skräddarsydda för din organisations unika konfiguration.

Anpassade instruktioner

Du kan anpassa principen efter dina behov med hjälp av det valfria fältet Anpassade instruktioner . Med den här inställningen kan du ge en prompt till agenten som en del av exekveringsprocessen. Dessa instruktioner kan användas för att:

  • Inkludera eller exkludera specifika användare, grupper och roller
  • Undanta objekt från att övervägas av agenten eller läggas till i principen för villkorsstyrd åtkomst
  • Tillämpa undantag på specifika principer, till exempel att undanta en specifik grupp från en princip, kräva MFA eller kräva hanteringsprinciper för mobilprogram.

Du kan ange antingen namnet eller objekt-ID:t i de anpassade anvisningarna. Båda värdena verifieras. Om du lägger till namnet på gruppen läggs objekt-ID:t för den gruppen automatiskt till för din räkning. Exempel på anpassade instruktioner:

  • "Exkludera användare i gruppen "Break Glass" från alla principer som kräver multifaktorautentisering."
  • "Undanta användare med objekt-ID dddddddd-3333-4444-5555-eeeeeeeeeeee från alla principer"

Ett vanligt scenario att tänka på är om din organisation har många gästanvändare som du inte vill att agenten ska föreslå att lägga till i dina standardprinciper för villkorsstyrd åtkomst. Om agenten kör och ser nya gästanvändare som inte omfattas av rekommenderade principer, används SKU:er för att föreslå att dessa gästanvändare omfattas av principer som inte är nödvändiga. Så här förhindrar du att gästanvändare övervägs av agenten:

  1. Skapa en dynamisk grupp med namnet "Gäster" där (user.userType -eq "guest").
  2. Lägg till en anpassad instruktion baserat på dina behov.
    • "Undanta gruppen Gäster från agentövervägande."
    • "Exkludera gruppen Gäster från alla hanteringsprinciper för mobilprogram."

Mer information om hur du använder anpassade instruktioner finns i följande video.

En del av innehållet i videon, till exempel användargränssnittselementen, kan komma att ändras eftersom agenten uppdateras ofta.

Filer (förhandsversion)

Optimeringsagenten för villkorsstyrd åtkomst innehåller en mekanism för att ge specifika instruktioner om din organisation. De här instruktionerna kan innehålla information som namngivningskonventioner för principer för villkorsstyrd åtkomst, unika procedurer och organisationsstruktur så att agentförslagen är ännu mer relevanta för din miljö. Dessa uppladdade filer utgör kunskapsbasen för agenten. Mer information finns i kunskapsbasen för optimering av agenten för villkorsstyrd åtkomst.

Viktigt!

Dina data finns kvar i agenten och används inte för modellträning.

Så här lägger du till en fil i kunskapsbasen:

  1. Bläddra till Optimeringsagent för villkorsstyrd åtkomst>Inställningar>Filer.
  2. Välj knappen Ladda upp.
  3. Dra och släpp antingen filen i panelen som öppnas eller välj filutrymmet Ladda upp för att navigera till filen på datorn.

Agenten bearbetar filen och analyserar den för att säkerställa att den innehåller nödvändig information.

Tillägg

Förutom inbyggda integreringar i Intune och Global Secure Access tillhandahåller agenten för optimering av villkorsstyrd åtkomst även externa integreringar för att effektivisera med dina befintliga arbetsflöden.

ServiceNow-integrering (förhandsversion)

Organisationer som använder plugin-programmet ServiceNow för Security Copilot kan nu låta optimeringsagenten för villkorsstyrd åtkomst skapa ServiceNow-ändringsbegäranden för varje nytt förslag som agenten genererar. Med den här funktionen kan IT- och säkerhetsteam spåra, granska och godkänna eller avvisa agentförslag i befintliga ServiceNow-arbetsflöden. För närvarande stöds endast ändringsbegäranden (CHG).

Om du vill använda ServiceNow-integreringen måste din organisation ha serviceNow-plugin-programmet konfigurerat.

Skärmbild av ServiceNow-integreringsinställningarna.

När ServiceNow-plugin-programmet är aktiverat i inställningarna för optimeringsagenten för villkorsstyrd åtkomst skapar varje nytt förslag från agenten en ServiceNow-ändringsbegäran. Ändringsbegäran innehåller information om förslaget, till exempel typen av princip, vilka användare eller grupper som påverkas och logiken bakom rekommendationen. Integreringen ger också en feedbackloop: Agenten övervakar tillståndet för ServiceNow-ändringsbegäran och kan automatiskt implementera ändringen när ändringsbegäran godkänns.

Skärmbild av ServiceNow-integreringen i ett agentförslag.

Permissions

I det här avsnittet av agentinställningarna beskrivs identiteten under vilken agenten körs och de behörigheter som används för att fungera.

Agentidentitet

Optimeringsagenten för villkorsstyrd åtkomst stöder nu Microsoft Entra Agent ID så att agenten kan köras under sin egen identitet i stället för en specifik användares identitet. Den här funktionen förbättrar säkerheten, förenklar hanteringen och ger större flexibilitet.

Välj Hantera agentidentitet för att visa agentinformationen i Microsoft Entra Agent ID.

Skärmbild av agentinställningarna för behörigheter och identiteter.png

  • Nya installationer av agenten använder som standard en agentidentitet.
  • Befintliga installationer kan växla från användarkontexten för att köras under en agentidentitet när som helst.
    • Den här ändringen påverkar inte rapportering eller analys.
    • Befintliga principer och rekommendationer påverkas inte.
    • Kunder kan inte växla tillbaka till den tidigare användarkontexten.
    • Administratörer med rollen Säkerhetsadministratör kan göra den här ändringen. Välj Skapa agentidentitet från antingen banderollsmeddelandet på agentsidan eller avsnittet Identitet och behörigheter i agentinställningarna.

Att aktivera och använda agenten för optimering av villkorsstyrd åtkomst kräver också Security Copilot roller. Säkerhetsadministratören har som standard åtkomst till Security Copilot. Du kan tilldela administratörer för villkorlig åtkomst åtkomst till Security Copilot. Den här auktoriseringen ger dina administratörer för villkorsstyrd åtkomst möjlighet att även använda agenten. För mer information, se Tilldela Security Copilot åtkomst.

Agentbehörigheter

Agentidentiteten använder följande behörigheter för att utföra sina uppgifter. Dessa behörigheter tilldelas automatiskt när du skapar agentidentiteten.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

Optimeringsagenten för villkorsstyrd åtkomst använder rollbaserad åtkomstkontroll för att använda agenten. Den minst privilegierade roll som krävs för att använda agenten är administratör för villkorsstyrd åtkomst.

  • Last updated on