Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Optimierungs-Agent für bedingten Zugriff von Microsoft Entra bietet Vorschläge zum Erstellen oder Aktualisieren von Richtlinien für bedingten Zugriff und erstellt Berichte für Aktivitäten im Zusammenhang mit diesen Richtlinien. Die Vorschläge variieren je nach dem, was der Agent findet. Als Administrator müssen Sie die Vorschläge überprüfen und entscheiden, was zu tun ist.
Dieser Artikel enthält eine Übersicht über die Logik hinter den Vorschlägen und Berichten und das Überprüfen und Handeln dieser Vorschläge.
Von Bedeutung
Die Microsoft Teams-Integrationen im Optimierungs-Agent für bedingten Zugriff befinden sich derzeit in der VORSCHAU. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.
Voraussetzungen
- Sie müssen mindestens über die Microsoft Entra ID P1-Lizenz verfügen.
- Sie müssen über Security Compute Units (SCU) verfügen.
- Im Durchschnitt verbraucht jeder Agent weniger als eine SCU.
- Sie müssen über die entsprechende Microsoft Entra-Rolle verfügen.
- Die Rollen Sicherheitsleser und Globalleser können den Agenten und alle Vorschläge anzeigen; jedoch keine Aktionen ausführen.
- Die Rollen "Administrator für bedingten Zugriff" und "Sicherheitsadministrator" können den Agent anzeigen und maßnahmen für die Vorschläge ergreifen.
- Weitere Informationen finden Sie unter Assign Security Copilot Access.
- Gerätebasierte Steuerelemente erfordern Microsoft Intune-Lizenzen.
- Überprüfen Sie den Datenschutz und die Datensicherheit in Microsoft Security Copilot.
Einschränkungen
- Vermeiden Sie die Verwendung eines Kontos zum Einrichten des Agents, der die Rollenaktivierung mit Privileged Identity Management (PIM) erfordert. Die Verwendung eines Kontos, das nicht über ständige Berechtigungen verfügt, kann zu Authentifizierungsfehlern für den Agent führen.
- Sobald Agenten gestartet sind, können sie nicht angehalten oder pausiert werden. Die Ausführung kann einige Minuten dauern.
- Bei der Konsolidierung von Richtlinien werden bei jedem Ausführen des Agenten nur vier ähnliche Richtlinienpaare berücksichtigt.
- Der Agent wird derzeit als benutzende Person ausgeführt, die ihn aktiviert.
- Wir empfehlen, den Agent über das Microsoft Entra Admin Center auszuführen.
- Das Scannen ist auf einen Zeitraum von 24 Stunden beschränkt.
- Die Vorschläge des Agenten können nicht angepasst oder überschrieben werden.
- Der Agent kann bis zu 150 Benutzer und 100 Anwendungen in einer einzigen Ausführung überprüfen.
Funktionsweise
Der Agent wird ggf. ausgeführt und:
- Keine nicht geschützten Benutzer identifizieren oder Änderungen empfehlen
- Erstellen einer neuen Richtlinie für bedingten Zugriff im modus "Nur Bericht"
- Vorschlagen, eine vorhandene Richtlinie zu ändern
- Vorschlagen, überlappende Richtlinien zu konsolidieren
- Identifizieren einer Spitzen- oder Tauchaktivität im Zusammenhang mit einer vorhandenen Richtlinie
Wir möchten so viele Informationen wie möglich über die Logik bereitstellen, die verwendet wird, um die Vorschläge zu identifizieren, da Richtlinien für bedingten Zugriff komplex sein können. Mit jedem Vorschlag bietet der Agent detaillierte Gründe, Zusammenfassungen zu Richtlinienwirkungen und Details der Richtlinie. Überprüfen Sie als bewährte Methode die bereitgestellten Informationen, bevor Sie einen Vorschlag anwenden oder eine Nur-Bericht-Richtlinie auf eine aktive Richtlinie ändern.
Vorschläge und Agentenlogik überprüfen
Wählen Sie "Vorschlag überprüfen" aus, um einen umfassenden Überblick über den Vorschlag zu finden, einschließlich der Logik, die zum Identifizieren des Vorschlags und der potenziellen Auswirkungen der Richtlinie verwendet wird. Die in den Details des Richtlinienvorschlags verfügbaren Optionen variieren je nach Vorschlagstyp. Beispielsweise enthalten neue Richtlinienvorschläge eine Schaltfläche " Richtlinie aktivieren ", während Vorschläge zum Ändern einer vorhandenen Richtlinie eine Schaltfläche " Konten hinzufügen " enthalten, um Benutzer oder Gruppen hinzuzufügen, die von der Richtlinie ausgeschlossen werden sollen.
Richtliniendetails
Die Standardansicht des Vorschlags enthält die Richtliniendetails, einschließlich einer allgemeinen Beschreibung oben, gefolgt von den Details, die in der Richtlinie verwendet werden.
Anhand der Richtliniendetails können Sie mehrere Optionen nutzen, um Maßnahmen bezüglich des Vorschlags zu ergreifen. Oben auf der Seite können Sie die Richtlinie bearbeiten, duplizieren, herunterladen oder löschen. Sie können auch das Feature "Chat mit Agent" verwenden.
Unter der Zusammenfassung des Richtlinienvorschlags können Sie mehrere Aktionen ausführen:
- Überprüfen von Richtlinienänderungen: Zeigen Sie eine Zusammenfassung oder JSON-Details des Vorschlags an. Weitere Details finden Sie im Abschnitt Überprüfen von Richtlinienänderungen.
- Aktivieren Sie die Richtlinie: Aktivieren Sie neue Richtlinien, die vom Agent im reinen Berichtsmodus erstellt wurden.
- Vorschlag als überprüft markieren: Wählen Sie im Pfeil nach unten auf der Schaltfläche " Richtlinie aktivieren " aus, um anzugeben, dass Sie den Vorschlag überprüft haben, ohne ihn anzuwenden.
- Schlummern für 14 Tage: Wählen Sie aus dem Dropdown-Menü, das vom Pfeil auf der Schaltfläche "Richtlinie einschalten" angezeigt wird, um den Vorschlag vorübergehend auszublenden. Der Vorschlag wird nach 14 Tagen wieder in der Liste angezeigt.
- Anzeigen der vollständigen Aktivität des Agents: Anzeigen der vollständigen Aktivität und Entscheidungen. Weitere Details sind im Abschnitt "Gesamte Aktivität des View-Agents" beschrieben.
- Hinzufügen von Notizen: Wählen Sie das Stift- und Papiersymbol aus, um Notizen zum Vorschlag für andere Administratoren zur Überprüfung hinzuzufügen.
Die Detailseite für Richtlinienvorschläge ist detailliert und bietet jede Option, die erforderlich ist, um eine fundierte Entscheidung über den Vorschlag zu treffen. Wenn Sie jedoch weitere Informationen benötigen, können Sie auch die Auswirkungen der Richtlinie anzeigen und Details zur Aktivität des Agents anzeigen. Fragen Sie Copilot über diese Dateiunterschiede
Auswirkungen auf die Richtlinie
Wählen Sie im daraufhin geöffneten Detailbereich "Richtlinienwirkungen " aus, um eine Visualisierung der potenziellen Auswirkungen der Richtlinie anzuzeigen.
Passen Sie die Filter und die Anzeige nach Bedarf an. Wählen Sie einen Punkt im Diagramm aus, um ein Beispiel der Daten anzuzeigen, die sich auf die Richtlinie auswirken. Zum Beispiel zeigt das Diagramm bei einer Richtlinie, die eine Multifaktor-Authentifizierung (MFA) erfordert, eine Auswahl von Anmeldevorgängen, bei denen die Richtlinie für bedingten Zugriff nicht angewendet wurde. Weitere Informationen finden Sie unter "Auswirkungen auf Richtlinien".
Anzeigen der vollständigen Aktivität des Agents
Um eine detaillierte Zusammenfassung der Aktivitäten des Agents und deren Berechnung des Vorschlags anzuzeigen, wählen Sie die vollständige Aktivität des Agents anzeigen aus. Die Aktivität des Agents bewertet die Richtlinienabweichung oder Lücken in der Richtlinienabdeckung für Benutzer und Apps. Der Agent sucht auch nach Richtlinien, die zusammengeführt oder konsolidiert werden können.
Wenn der Richtlinienvorschlag das Hinzufügen bestimmter Benutzer oder Anwendungen zur Richtlinie umfasst, können Sie die Liste der Anwendungen oder Benutzer direkt aus der Karte anzeigen. Im folgenden Beispiel wählen Sie beispielsweise den Link "8 Benutzer " aus, um die acht Benutzer anzuzeigen, die der Agent als nicht in die Richtlinie einbezogen hat.
Die Zusammenfassung der Agentaktivität ist eine natürlichsprachliche Beschreibung der Aktivität, die auf der Karte dargestellt ist. Diese Details können Ihnen helfen, die Logik hinter dem Vorschlag zu verstehen, damit Sie eine fundierte Entscheidung darüber treffen können, ob der Vorschlag angewendet werden soll.
Überprüfen von Richtlinienänderungen
Wenn der Agent vorschlägt, eine vorhandene Richtlinie zu ändern, wählen Sie "Richtlinienänderungen überprüfen " aus, um die Details der empfohlenen Änderung anzuzeigen. Auf dieser Seite werden die Benutzer, Zielressourcen und andere Details der Richtlinie aufgeführt, die sich ändern, wenn Sie den Vorschlag anwenden.
- Richtliniendetails werden sowohl als Liste aller Details bereitgestellt, die sich ändern, als auch als JSON-Ansicht der gesamten Richtlinie, wobei die Änderungen hervorgehoben sind.
- Bei Richtlinienänderungen, die sich auf Benutzer oder Anwendungen auswirken, können Sie eine JSON-Datei der Benutzer und Anwendungen herunterladen, die von der Richtlinienänderung betroffen sind.
Tiefe Analyse
Die umfassende Analyse führt eine eingehende Überprüfung der Richtlinien für bedingten Zugriff für Szenarien durch, z. B. Blockieren der Legacyauthentifizierung, Blockieren des Gerätesteuerungsflusses und Richtlinien, die Geräte- oder MFA-Steuerelemente erfordern. Er wertet die gezielten Benutzer, Gruppen und Rollen aus, um Abdeckungslücken, überlappende oder redundante Richtlinien und Konsolidierungsmöglichkeiten zu identifizieren. Außerdem werden Ausschlüsse analysiert: Kennzeichnen von Richtlinien, die einen großen Teil von Benutzern ausschließen und den expliziten Ausschluss von Break-Glass-Konten empfehlen, um das Risiko einer versehentlichen Sperrung zu verringern.
Da die Richtlinienvorschläge, die durch eine umfassende Analyse entstehen, möglicherweise erhebliche Auswirkungen auf Ihre Umgebung haben, sollten Sie die Option "verschieben" verwenden, um sich Zeit zu geben, den Vorschlag zu untersuchen, und die Option "Notizen", um Kontext und Begründung für Ihren Entscheidungsprozess bereitzustellen.
Vorschläge anwenden
Das Erlebnis bei der Anwendung des Vorschlags hängt davon ab, ob der Agent eine neue Richtlinie im Nur-Berichtmodus erstellt oder den Vorschlag macht, eine vorhandene Richtlinie zu ändern.
Ändern einer vorhandenen Richtlinie
Der Agent könnte vorschlagen, eine vorhandene Richtlinie zu ändern oder überlappende Richtlinien zu konsolidieren. Nachdem Sie die Details und Auswirkungen der Richtlinienänderung überprüft haben, können Sie den Vorschlag auf die Richtlinie anwenden.
- Wählen Sie auf der Seite " Richtliniendetails " die Option " Vorschlag übernehmen" aus, um die Änderungen auf die Richtlinie anzuwenden.
- Auf der Seite " Richtlinienänderungen überprüfen" können Sie auch " Vorgeschlagene Änderungen genehmigen " unten auf der Seite auswählen.
Aktivieren einer neuen Richtlinie
Wenn der Agent eine neue Policy vorschlägt, erstellt er die Policy im Nur-Bericht-Modus. Nachdem Sie die Auswirkungen auf die Richtlinie überprüft haben, können Sie die Richtlinie direkt über die Agenterfahrung oder über die Liste der Richtlinien für bedingten Zugriff aktivieren.
- Wählen Sie "Richtlinie aktivieren " aus, damit der Agent die Änderungen auf die Richtlinie im Nur-Bericht-Modus anwendet.
- Wählen Sie unter Conditional Zugang die Policy aus und ändern Sie dann die Aktivieren Sie die Policy umschalten von Nur-Bericht bis On.
Tipp
Als bewährte Methode sollten Organisationen ihre Notfallzugriffskonten von der Richtlinie ausschließen, um zu vermeiden, dass sie aufgrund einer Fehlkonfiguration gesperrt werden.
Warnung
Richtlinien im berichtsbasiertem Modus, die ein konformes Gerät erfordern, können Benutzer auf macOS-, iOS- und Android-Geräten auffordern, während der Richtlinienauswertung ein Gerätezertifikat auszuwählen, auch wenn die Gerätekonformität nicht erzwungen wird. Diese Eingabeaufforderungen können wiederholt werden, bis das Gerät kompatibel ist. Um zu verhindern, dass Endbenutzer während der Anmeldung Eingabeaufforderungen erhalten, schließen Sie die Geräteplattformen Mac, iOS und Android von Richtlinien aus, die nur Berichte erstellen und Gerätekompatibilitätsprüfungen durchführen.
Benachrichtigungen über Vorschläge des Microsoft Teams-Agents (Vorschau)
Microsoft Teams kann verwendet werden, um Benachrichtigungen vom Optimierungs-Agent für bedingten Zugriff zu erhalten, wenn neue Vorschläge verfügbar sind. Mit diesem Vorschaufeature können Sie konfigurieren, wer Benachrichtigungen erhalten soll, wenn neue Vorschläge vom Agent identifiziert werden. Zurzeit bietet die Teams-Integration eine unidirektionale Kommunikation mit dem Agent und einen direkten Link zum Richtlinienvorschlag im Microsoft Entra Admin Center.
Weitere Informationen finden Sie im Abschnitt "Benachrichtigungen" des Agent für die Optimierung des bedingten Zugriffs.
Richtlinienberichte prüfen
Der Optimierungs-Agent für bedingten Zugriff erkennt außerdem Spitzen und Dips in Aktivitäten im Zusammenhang mit vorhandenen Richtlinien. Diese Anomalien deuten häufig auf eine Fehlkonfiguration einer Richtlinie hin, die untersucht werden muss. Wenn der Agent eine signifikante Änderung der Aktivität identifiziert, wird ein Bericht in der Liste der Vorschläge angezeigt. Die Berichte gelten sowohl für aktive als auch für Nur-Bericht-Richtlinien, die der Agent vorschlägt, einzuschalten. In der Spalte "Aktionen nach Agent " wird die Vorgeschlagene Richtlinienüberprüfung als Wert angezeigt.
So zeigen Sie einen Richtlinienüberprüfungsbericht an:
Wählen Sie "Vorschlag überprüfen" aus, um die Details der vorgeschlagenen Richtlinienüberprüfung anzuzeigen.
Wählen Sie auf der Seite "Richtliniendetails" die Option "Bericht überprüfen" aus. Ein detaillierter Bericht mit einer Visualisierung der Aktivität im Zusammenhang mit der Richtlinie wird angezeigt.
Überprüfen Sie den Bericht, und untersuchen Sie die Richtlinie nach Bedarf.
Wählen Sie auf der Seite "Richtliniendetails" die Option "Vorschlag als überprüft markieren " aus, oder erinnern Sie sich 14 Tage lang. Optional können Sie Notizen zu dem, was Sie gelernt haben, und alle Änderungen hinzufügen, die Sie an der zugehörigen Richtlinie vorgenommen haben.
