共用方式為

條件存取優化代理設定

條件存取優化代理程式協助組織透過分析條件存取政策的漏洞、重疊與例外,提升安全態勢。 隨著條件存取成為組織零信任策略的核心組成部分,代理的功能必須可配置以符合組織的獨特需求。

本文描述的代理設定涵蓋標準選項,如觸發器、通知與範圍。 但設定中也包含進階選項,如自訂說明、Intune 整合和權限。

這很重要

條件存取優化代理中的 ServiceNow 整合目前處於預覽階段。 這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。

如何設定代理設定

您可以從 Microsoft Entra 系統管理中心的兩個位置存取設定:

  • 代理>條件式存取優化代理>設定
  • [條件式存取>] 中,選取 [原則摘要>] 底下的 [條件式存取優化代理程式] 卡片。

條件式存取優化代理程式設定中觸發程式選項的螢幕快照。

進行任何變更之後,請選取頁面底部的 [ 儲存 ] 按鈕。

觸發程序

代理程式設定為每 24 小時運行一次,依據最初設定的時間。 你可以隨時手動執行代理程式。

Microsoft 監控的 Entra 物件

使用 Microsoft Entra 物件 底下的複選框來監視,以指定代理程式在提出原則建議時應監視的內容。 根據預設,代理程式會在過去 24 小時內在您的租用戶中尋找新的用戶和應用程式。

代理程式功能

根據預設,條件式存取優化代理程式可以在 僅限報表模式中建立新的原則。 您可以變更此設定,讓系統管理員必須先核准新原則,才能建立新原則。 原則仍會以僅限報表模式建立,但只有在管理員核准之後才會建立。 檢閱政策影響之後,您可以直接從代理程式介面或條件式存取中開啟政策。

通知

條件式存取優化代理程式可以透過 Microsoft Teams 將通知傳送給一組選取的收件者。 使用 Microsoft Teams 中的 條件式存取代理程式 應用程式,當代理程式顯示新建議時,收件者會直接在其 Teams 聊天中收到通知。

若要將客服專員應用程式新增至 Microsoft Teams:

  1. 在 Microsoft Teams 中,從左側導覽功能表中選取 [ 應用程式 ],然後搜尋並選取條件 式存取代理程式

    Teams 中 [條件式存取] 應用程式按鈕的螢幕擷取畫面。

  2. 選取 [ 新增 ] 按鈕,然後選取 [ 開啟 ] 按鈕以開啟應用程式。

  3. 若要更輕鬆地存取應用程式,請以滑鼠右鍵按一下左側導覽功能表中的應用程式圖示,然後選取 [ 釘選]。

若要在條件式存取優化代理程式設定中設定通知:

  1. 在 [條件式存取最佳化代理程式] 設定中,選取 [ 選取使用者和群組 ] 連結。

  2. 選取您要接收通知的使用者或群組,然後選取 [ 選取 ] 按鈕。

    條件式存取代理程式設定的螢幕擷取畫面,以挑選通知的使用者和群組。

  3. 在 [ 設定 ] 主頁面底部,選取 [儲存] 按鈕。

您最多可以選取 10 個收件者來接收通知。 您可以選取要接收通知的群組,但該群組的成員資格不能超過 10 個使用者。 如果您選取的群組使用者少於 10 個,但稍後新增更多使用者,則該群組將不再收到通知。 同樣地,通知只能傳送至五個物件,例如個別使用者或群組的組合。 若要停止接收通知,請從收件者清單中移除您的使用者物件或您所包含的群組。

此時,客服人員的通訊是單向的,因此您可以接收通知,但無法在 Microsoft Teams 中回應通知。 要對建議採取行動,請從聊天視窗選擇 「檢視建議 」,在 Microsoft Entra 管理中心開啟條件存取優化代理程式。

Teams 中條件式存取代理程式通知訊息的螢幕擷取畫面。

分階段推出

當代理程式在僅限報告模式下建立新原則時,原則會分階段推出,因此您可以監控新原則的效果。 預設默認啟用階段式推出。 欲了解更多資訊,請參閱 條件存取優化代理分階段部署

條件式存取優化代理程式設定中階段式推出設定的螢幕快照。

身分識別和許可權

此部分描述代理執行時所使用的身份及操作權限。

身份

條件存取優化代理現在支援 Microsoft Entra 代理 ID,允許代理以自身身份執行,而非特定使用者身份。 此能力提升安全性、簡化管理,並提供更大彈性。

  • 新安裝的代理程式預設使用 代理身份
  • 現有安裝可隨時從使用者上下文切換至代理身份執行。
    • 此變更不影響報表或分析。
    • 現有政策與建議未受影響。
    • 客戶無法切換回使用者工作環境。
    • 擁有安全管理員角色的管理員可以進行這項變更。 從代理頁面的橫幅訊息或代理設定中的身份與權限區塊中選擇「建立代理身份」。

條件性存取代理最佳化設定的截圖/identity-permissions.png

啟用並使用條件存取優化代理程式也需要安全副駕駛角色。 根據預設,安全性系統管理員可以存取安全性 Copilot。 您可以指派具有安全性 Copilot 存取權的條件式存取系統管理員。 此授權可讓條件式存取系統管理員也能夠使用代理程式。 如需詳細資訊,請參閱 指派安全性 Copilot 存取權。

權限

代理身份使用以下權限執行其任務。 這些權限會在你建立代理身份時自動分配。

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

ServiceNow 整合 (預覽版)

使用 ServiceNow 外掛程式進行 Security Copilot 的組織現在可以讓條件式存取最佳化代理程式針對代理程式產生的每個新建議建立 ServiceNow 變更要求。 此功能讓 IT 與資安團隊能追蹤、審查並批准或拒絕現有 ServiceNow 工作流程中的代理建議。 目前僅支援變更要求(CHG)。

若要使用 ServiceNow 整合,您的組織必須設定 ServiceNow 外掛程式

ServiceNow 整合設定的螢幕擷取畫面。

在條件式存取優化代理程式設定中開啟 ServiceNow 外掛程式時,代理程式的每個新建議都會建立 ServiceNow 變更要求。 變更要求包含建議的詳細資料,例如原則類型、受影響的使用者或群組,以及建議背後的理由。 整合也提供意見反應迴圈:客服專員會監控 ServiceNow 變更請求的狀態,並可在變更請求獲得核准時自動實作變更。

客服專員建議中 ServiceNow 整合的螢幕擷取畫面。

自訂說明

您可以使用選用的 [自定義指示 ] 字段,根據您的需求量身打造原則。 此設定可讓您在代理程式執行時,提供提示給代理程式。 這些指示可用於:

  • 包含或排除特定使用者、群組和角色
  • 排除被代理程式考慮或新增至條件式存取原則的物件。
  • 將例外套用至特定原則,例如從原則中排除特定群組、要求 MFA 或要求行動應用程式管理原則。

您可以在自訂指示中輸入名稱或物件 ID。 這兩個值都已驗證。 如果您新增群組的名稱,則會自動代表您新增該群組的物件 ID。 自訂指示範例:

  • 「將「Break Glass」群組中的使用者從任何需要多重要素驗證的原則中排除。」
  • 「從所有原則中排除物件識別碼為 dddddddd-3333-4444-5555-eeeeee 的使用者」

要考慮的常見案例是,如果您的組織有許多來賓使用者,您不希望代理建議納入您的標準條件式存取原則。 如果代理程式執行並看到建議原則未涵蓋的新來賓使用者,則會取用 SCU 來建議以不需要的原則涵蓋這些來賓使用者。 若要避免代理程式考慮訪客使用者:

  1. 建立名為「訪客」的動態群組,其中 (user.userType -eq "guest")
  2. 根據您的需求新增自訂指示。
    • 「將「來賓」群組排除在客服人員考慮之外。」
    • “將”訪客“組排除在任何移動應用程序管理策略之外。”

如需如何使用自定義指示的詳細資訊,請參閱下列影片。

影片中的一些內容,例如使用者介面元素,會隨著代理頻繁更新而有所變動。

Intune 整合

條件式存取優化代理程式會與 Microsoft Intune 整合,以監視 Intune 中設定的裝置合規性和應用程式保護原則,並識別條件式存取強制執行中的潛在差距。 這種主動且自動化的方法可確保條件式存取原則與組織安全性目標和合規性需求保持一致。 代理程式建議與其他原則建議相同,只是 Intune 會為代理程式提供部分訊號。

Intune 案例的代理程式建議涵蓋特定使用者群組和平臺 (iOS 或 Android) 。 例如,代理程式會識別以 「財務」 群組為目標的作用中 Intune 應用程式保護原則,但判斷沒有足夠的條件式存取原則來強制執行應用程式保護。 代理程式會建立僅限報告的原則,要求使用者只能透過 iOS 裝置上的合規應用程式存取資源。

若要識別 Intune 裝置合規性和應用程式保護原則,代理程式必須以全域系統管理員或條件式存取系統管理員和全域讀取者身分執行。 條件式存取系統管理員本身不足以讓代理程式產生 Intune 建議。

全球安全存取整合

Microsoft Entra 因特網存取和 Microsoft Entra 私人存取 (統稱為全域安全存取) 會與條件式存取優化代理程式整合,以提供組織網路存取原則特有的建議。 建議 [ 開啟新原則以強制執行全域安全存取網路存取需求] 可協助您調整包含網路位置和受保護應用程式的全域安全存取原則。

透過此整合,代理程式會識別條件式存取原則未涵蓋的使用者或群組,以要求只透過核准的全域安全存取通道存取公司資源。 此原則要求使用者在存取公司應用程式和資料之前,先使用組織的安全全域安全存取網路連線到公司資源。 系統會提示從不受管理或不受信任的網路連線的使用者使用全域安全存取用戶端或 Web 閘道。 您可以檢閱登入記錄,以驗證符合規範的連線。

  • Last updated on