条件访问优化代理知识库

使用条件访问策略保护对资源的访问的组织应建立标准和模式,以保持组织。 例如,具有一致的命名约定可以让你组织并防止策略重叠或差距。 条件访问优化代理可以使用您组织提供的文件来规划这些标准,以便代理能够根据您设计的模式和上下文进行推理。

代理并不依赖于通用的最佳实践,而是结合了你们组织自己的约定,例如命名策略的方式、如何将管理员与普通用户分开,以及哪些帐户必须始终被排除在外。 这有助于生成更好地体现如何在租户中管理条件访问的建议。

知识库在以下环境中特别有用:

  • 不同的用户角色需要不同的策略集,例如管理员、员工用户和承包商
  • 策略命名标准被强制执行
  • 必须始终排除 Breakglass 帐户
  • 应在租户中维护一组定义的所需条件访问策略

知识库的工作原理

设置和使用知识库的一般过程如下所示:

  1. 上传指南:管理员上传描述组织条件访问标准的单个 Word(.docx)或 PDF 文档。 可以下载模板或上传自己的文档。

  2. 代理的解析:代理解析文档以提取与条件访问相关的指南,即使这些内容嵌入在更广泛的治理或操作文档中也是如此。

  3. 结构化理解:代理生成自然语言摘要,表示它对上传指南的理解。

  4. 对未来建议的应用:所批准的理解适用于代理生成的未来条件访问建议。 现有建议不会追溯修改。

知识库文件组件

应详细、具体和结构化地提供可用且有效的知识库文件。 该文件应包含条件访问优化代理可用于做出明智的决策的清晰且可操作的信息。

可以从代理设置下载模板,以用作起点。 该模板提供了一个结构化格式,其中包含每个受支持的类别的部分,以便填写组织的特定详细信息。

知识库模板下载选项的屏幕截图。

基于角色的策略设计

介绍如何使用条件访问策略保护组织中的不同用户群体。 当多个策略强制实施相同的控制(如 MFA),代理使用本指南根据用户角色选择正确的策略。 示例包括:

  • 常规员工用户包含在基线策略中
  • 管理员可能被纳入基线策略中,并配有一套满足其特定需求的专用策略
  • 承包商遵循其自身的政策,这些政策独立于基准政策。

如果条件访问策略将某些策略应用于全职员工,请描述如何定义全职员工。 例如,这些员工是否使用特定用户属性或组成员身份定义?

明确说明。 如果基于人员的策略设计是基于角色的,请提供准确的 Microsoft Entra ID 内置角色名称。 例如,假设“条件访问管理员”不是“具有管理权限的用户”。

策略命名约定

指定应如何命名条件访问策略,包括所需的结构、排序和术语。

代理在以下情况下使用本指南:

  • 创建新策略
  • 合并类似的策略
  • 生成策略重命名建议

Breakglass 帐户处理

可以定义哪些帐户或组表示紧急访问(breakglass)标识以及它们必须被排除的方式。

代理在以下情况下应用本指南:

  • 创建新策略
  • 标识缺少的排除项
  • 建议更新现有策略

所需条件访问策略

定义组织期望在整个租户中已实施的条件访问策略集。 对于每个所需策略,描述目标用户、应用程序、条件和授予策略应强制执行的控制。

代理使用以下指南:

  • 根据所需状态审核当前的条件访问策略
  • 找出所需策略中缺失或不完整的部分
  • 建议新策略以缩小覆盖范围差距,并符合组织的预期配置

例如,如果你的组织要求所有来宾用户在访问任何云应用程序时使用 MFA 进行身份验证,请在知识库中描述该期望。 代理会将所需的状态与租户中当前配置的策略进行比较,并针对任何缺少的策略提供建议。

将每个所需的策略写成一条完整的指令。 例如:

  • “创建条件访问策略,该策略要求 MFA 和合规设备,以便所有用户从 Windows 或 macOS 访问Office 365。 排除 breakglass 和服务帐户。 将该策略设置为仅报告模式。
  • “创建条件访问策略,阻止所有用户访问所有应用的旧式身份验证。 排除 EmergencyAccess 组。 将策略设置为启用。”

将文件添加到知识库

若要简化设置过程,可以下载模板以用作起点。 模板可直接在代理设置中使用。

  1. 请以至少 安全管理员 的身份登录到 Microsoft Entra 管理中心

  2. 浏览到 条件访问优化代理>设置>知识源

  3. 选择 “下载文件模板 ”以下载知识库模板文件。

  4. 打开模板(CA_Knowledge_Base_Template.docx),并将占位符内容替换为组织的特定条件访问标准、命名约定、breakglass 帐户和所需策略。

  5. 将文件另存为Word(.docx)或 PDF 文档。

  6. 返回到 “知识源 ”部分,然后选择“ 上传 ”按钮。

    知识库模板选项的屏幕截图。

  7. 将文件拖放到打开的面板中,或选择“ 上传文件 ”以导航到计算机上的文件。

    知识库上传面板的屏幕截图。

代理处理文件并对其进行分析,以确保它包含必要的信息。

注释

无需使用模板。 可以上传包含组织条件访问标准的任何Word(.docx)或 PDF 文档。 该模板提供了一个方便的起点,其中包含每个受支持的类别的部分。

受知识库影响的建议

成功将指南添加到知识库后,条件访问优化代理可以遵循以下方案中的指导:

  • 基线策略创建:新建议的策略遵循租户的命名标准,并包含正确的排除项。

  • 策略合并建议:合并类似策略后,生成的策略反映组织的标准。

  • 用户偏移修正:当新用户超出现有覆盖范围时,代理会根据角色指南选择适当的策略。

  • Breakglass 修正:排除紧急访问帐户的建议应包括正确的用户或组。

  • 策略命名修正:如果策略不遵循定义的命名标准,代理建议使用适当命名的替换项。

  • 所需策略审核:定义预期的条件访问策略时,代理会将它们与当前配置进行比较,并建议使用新策略来缩小任何差距。

何时应使用知识库?

如果你的组织符合以下情况,请考虑使用知识库:

  • 维护严格的条件访问命名标准
  • 按用户画像或风险档案区分策略
  • 定期审核条件访问策略
  • 需要建议才能与内部治理流程保持一致
  • 想要跨租户定义和强制实施一组特定的条件访问策略

编写知识库文档的最佳做法

代理建议的质量取决于知识库文档的明确性和具体性。 按照以下准则获取最佳结果:

  • 明确且具体。 使用确切Microsoft Entra对象名称、组名称和角色名称。 例如,说“条件访问管理员”而不是“具有管理权限的用户”。
  • 编写完整的说明。 每条陈述本身都应具有可操作性。 不要用项目符号列点,而要用完整的句子描述预期行为。
  • 明确术语定义。 如果贵组织使用“管理员”或“来宾”等用户角色,请根据角色、组成员身份或用户属性,明确定义每种角色分别包含哪些用户。
  • 为每项需求注明范围。 指定哪些用户、应用、条件、控件和排除项适用。 不要让代理自行推断缺失的细节。
  • 使用提供的模板。 从代理设置的 “知识源 ”部分下载知识库模板,以确保文档遵循预期结构。

知识库模板包括以下部分:

  • 命名约定:命名条件访问策略的确切模式和允许的值。
  • Breakglass 帐户:指定为紧急访问的标识或组以及排除这些帐户的规则。
  • 角色定义和策略覆盖范围:如何细分用户群体以及应用于每个角色的策略。
  • 基线策略要求:描述组织强制实施的最低访问控制的预期策略状态列表。

Tip

将模板中的所有占位符文本替换为特定于租户的信息。 泛型或模糊说明可减少代理生成相关建议的能力。

范围和限制

知识库具有以下约束:

  • 每个租户一个知识库文档
  • 支持的文件格式:Word(.docx)和 PDF
  • 最大文件大小:5 MB
  • 知识库仅适用于将来的代理运行

如果文档不符合列出的条件,上传过程可能会失败。 如果文档应用了敏感度标签,上传也可能失败。 由于组织可以自定义敏感度标签的条件,因此我们不能建议特定的敏感度标签。

  • Last updated on