Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’agent d’optimisation de l’accès conditionnel vous permet de vous assurer que tous les utilisateurs, applications et identités d’agent sont protégés par des stratégies d’accès conditionnel. L’agent peut recommander de nouvelles stratégies et mettre à jour des stratégies existantes, en fonction des meilleures pratiques alignées sur l’approbation Zéro et les apprentissages de Microsoft. L’agent crée également des rapports de révision de politique (Aperçu), qui fournissent des indications sur les pics ou les baisses susceptibles d’indiquer une configuration incorrecte de la politique.
L’agent d’optimisation de l’accès conditionnel évalue les stratégies telles que la nécessité d’une authentification multifacteur (MFA), l’application de contrôles basés sur les appareils (conformité des appareils, stratégies de protection des applications et appareils joints à un domaine) et bloque l’authentification héritée et le flux de code de l’appareil. L’agent évalue également toutes les stratégies activées existantes pour proposer une consolidation potentielle de stratégies similaires. Lorsque l'agent identifie une suggestion, vous pouvez faire mettre à jour la stratégie associée avec une correction en un clic.
Important
Les intégrations ServiceNow et Microsoft Teams dans l’agent d’optimisation de l’accès conditionnel sont actuellement en préversion. Cette information concerne un produit en version préliminaire susceptible d’être sensiblement modifié avant sa mise en production. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.
Prerequisites
- Vous devez disposer au moins de la licence Microsoft Entra ID P1 .
- Vous devez disposer d’unités de calcul de sécurité (SCU) disponibles.
- En moyenne, le fonctionnement de chaque agent consomme moins d'une SCU.
- Vous devez disposer du rôle Microsoft Entra approprié.
- L’administrateur de sécurité est requis pour activer l’agent la première fois.
- Les rôles Lecteur de sécurité et Lecteur général peuvent afficher l’agent et toutes les suggestions, mais ne peuvent pas effectuer d’actions.
- Les rôles Administrateur d’accès conditionnel et Administrateur de sécurité peuvent afficher l’agent et prendre des mesures sur les suggestions.
- Vous pouvez affecter des administrateurs d’accès conditionnel avec l’accès Copilot de sécurité, ce qui permet également à vos administrateurs d’accès conditionnel d’utiliser l’agent.
- Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.
- Les contrôles basés sur les appareils nécessitent des licences Microsoft Intune.
- Passez en revue la confidentialité et la sécurité des données dans Microsoft Security Copilot.
Limites
- Évitez d’utiliser un compte pour configurer l’agent qui nécessite l’activation de rôle avec Privileged Identity Management (PIM). L’utilisation d’un compte qui n’a pas d’autorisations permanentes peut entraîner des échecs d’authentification pour l’agent.
- Une fois les agents démarrés, ils ne peuvent pas être arrêtés ou suspendus. L'exécution peut prendre quelques minutes.
- Pour la consolidation des stratégies, chaque exécution de l’agent prend en compte uniquement quatre paires de stratégies similaires.
- Nous vous recommandons d’exécuter l’agent à partir du Centre d’administration Microsoft Entra.
- L’analyse est limitée à une période de 24 heures.
- Les suggestions de l’agent ne peuvent pas être personnalisées ou remplacées.
- L’agent peut passer en revue jusqu’à 300 utilisateurs et 150 applications en une seule exécution.
Fonctionnement
L’agent d’optimisation de l’accès conditionnel analyse votre locataire pour les nouveaux utilisateurs, applications et identités d’agent à partir des 24 dernières heures et détermine si les stratégies d’accès conditionnel sont applicables. Si l’agent trouve des utilisateurs, des applications ou des identités d’agent qui ne sont pas protégés par des stratégies d’accès conditionnel, il fournit des étapes suivantes suggérées, telles que l’activation ou la modification d’une stratégie d’accès conditionnel. Vous pouvez consulter la suggestion, la façon dont l’agent a identifié la solution et ce qui serait inclus dans la stratégie.
Chaque fois que l’agent s’exécute, il effectue les étapes suivantes. Ces étapes initiales de numérisation ne consomment aucune SCU.
- L’agent analyse toutes les politiques d’accès conditionnel dans votre tenant.
- L’agent vérifie les lacunes de stratégie et si des stratégies peuvent être combinées.
- L’agent examine les suggestions précédentes afin qu’il ne suggère plus la même stratégie.
Si l’agent identifie quelque chose qui n’a pas été suggéré précédemment, il effectue les étapes suivantes. Ces étapes d’action de l’agent consomment des SCUs.
- L’agent identifie un écart de stratégie ou une paire de stratégies qui peuvent être consolidées.
- L’agent évalue les instructions personnalisées que vous avez fournies.
- L’agent crée une stratégie en mode rapport uniquement ou fournit la suggestion de modifier une stratégie, y compris toute logique fournie par les instructions personnalisées.
Note
Security Copilot nécessite qu'au moins un SCU soit provisionné dans votre espace client, mais cet SCU est facturé chaque mois même si vous n’utilisez pas de SCU. La désactivation de l’agent n’arrête pas la facturation mensuelle pour la SCU.
Les suggestions de stratégie identifiées par l’agent sont les suivantes :
- Exiger l’authentification multifacteur : l’agent identifie les utilisateurs qui ne sont pas couverts par une stratégie d’accès conditionnel qui requiert l’authentification multifacteur et peuvent mettre à jour la stratégie.
- Exiger des contrôles basés sur les appareils : l’agent peut appliquer des contrôles basés sur les appareils, tels que la conformité des appareils, les stratégies de protection des applications et les appareils joints à un domaine.
- Bloquer l’authentification héritée : les comptes d’utilisateur avec l’authentification héritée ne peuvent pas se connecter.
- Bloquer le flux de code d’appareil : l’agent recherche une stratégie bloquant l’authentification du flux de code d’appareil.
- Utilisateurs à risque : l’agent suggère une stratégie pour exiger une modification sécurisée du mot de passe pour les utilisateurs à haut risque. Nécessite une licence Microsoft Entra ID P2.
- Connexions risquées : l’agent suggère une stratégie pour exiger l’authentification multifacteur pour les connexions à haut risque. Nécessite une licence Microsoft Entra ID P2.
- Agents à risque : l’agent suggère une stratégie pour bloquer l’authentification pour les connexions à haut risque. Nécessite une licence Microsoft Entra ID P2.
- Consolidation de stratégie : l’agent analyse votre stratégie et identifie les paramètres qui se chevauchent. Par exemple, si vous avez plusieurs stratégies qui ont les mêmes contrôles d’octroi, l’agent suggère de consolider ces stratégies en une seule.
- Analyse approfondie : l’agent examine les stratégies qui correspondent aux scénarios clés pour identifier les stratégies hors norme qui ont plus d’un nombre recommandé d’exceptions (entraînant des lacunes inattendues dans la couverture) ou aucune exception (ce qui entraîne un verrouillage possible).
Important
L’agent n’apporte aucune modification aux stratégies existantes, sauf si un administrateur approuve explicitement la suggestion.
Toutes les nouvelles stratégies suggérées par l’agent sont créées en mode rapport uniquement.
Deux stratégies peuvent être consolidées si elles ne diffèrent pas de deux conditions ou contrôles.
Mise en route
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
Dans la nouvelle page d'accueil, sélectionnez Accéder aux agents à partir de la carte de notification de l'agent.
- Vous pouvez également sélectionner Agents dans le menu de navigation de gauche.
Sélectionnez Afficher les détails de la vignette Agent d’optimisation de l’accès conditionnel.
Sélectionnez Démarrer l’agent pour commencer votre première exécution. Évitez d’utiliser un compte avec un rôle activé via PIM.
Lorsque la page vue d’ensemble de l’agent se charge, toutes les suggestions s’affichent dans la zone Suggestions récentes . Si une suggestion a été identifiée, vous pouvez passer en revue la stratégie, déterminer l’impact de la stratégie et appliquer les modifications si nécessaire. Pour plus d’informations, consultez Examiner et approuver les suggestions de l’agent d’accès conditionnel.
Paramètres
Une fois l’agent activé, vous pouvez ajuster quelques paramètres. Après avoir apporté des modifications, sélectionnez le bouton Enregistrer en bas de la page. Vous pouvez accéder aux paramètres à partir de deux emplacements dans le Centre d’administration Microsoft Entra :
- Depuis Agents>Agent d’optimisation de l’accès conditionnel>Paramètres.
- Dans l’accès conditionnel>, sélectionnez la carte de l’agent d’optimisation de l’accès conditionnel sous Résumé de la stratégie>Paramètres.
Déclencheur
L’agent est configuré pour s’exécuter toutes les 24 heures en fonction du moment où il est initialement configuré. Vous pouvez modifier quand l'agent fonctionne en désactivant le paramètre Déclencheur, puis en le réactivant lorsque vous souhaitez qu'il fonctionne.
Objets Microsoft Entra à surveiller
Utilisez les cases à cocher sous objets Microsoft Entra à surveiller pour spécifier ce que l’agent doit surveiller lorsque des recommandations de politique sont faites. Par défaut, l’agent recherche à la fois de nouveaux utilisateurs et applications dans votre environnement au cours des dernières 24 heures.
Fonctionnalités de l’agent
Par défaut, l’agent d’optimisation de l’accès conditionnel peut créer de nouvelles stratégies en mode rapport uniquement. Vous pouvez modifier ce paramètre afin qu’un administrateur doit approuver la nouvelle stratégie avant sa création. La stratégie est toujours créée en mode rapport uniquement, mais uniquement après l’approbation de l’administrateur. Après avoir examiné l’impact de la stratégie, vous pouvez activer la stratégie directement à partir de l’expérience de l’agent ou de l’accès conditionnel.
Notifications
Dans le cadre d’une fonctionnalité en préversion, l’agent d’optimisation de l’accès conditionnel peut envoyer des notifications via Microsoft Teams à un ensemble de destinataires sélectionné. Avec l’application agent d’accès conditionnel dans Microsoft Teams, les destinataires reçoivent des notifications directement dans leur conversation Teams lorsque l’agent affiche une nouvelle suggestion.
Pour ajouter l’application agent à Microsoft Teams :
Dans Microsoft Teams, sélectionnez Applications dans le menu de navigation de gauche, puis recherchez et sélectionnez l’agent d’accès conditionnel.
Sélectionnez le bouton Ajouter , puis sélectionnez le bouton Ouvrir pour ouvrir l’application.
Pour faciliter l’accès à l’application, cliquez avec le bouton droit sur l’icône de l’application dans le menu de navigation de gauche, puis sélectionnez Épingler.
Pour configurer les notifications dans les paramètres de l’agent d’optimisation de l’accès conditionnel :
Dans les paramètres de l’agent d’optimisation de l’accès conditionnel, sélectionnez le lien Sélectionner des utilisateurs et des groupes .
Sélectionnez les utilisateurs ou les groupes que vous souhaitez recevoir des notifications, puis sélectionnez le bouton Sélectionner .
En bas de la page Paramètres principaux, sélectionnez le bouton Enregistrer .
Vous pouvez sélectionner jusqu’à 10 destinataires pour recevoir des notifications. Vous pouvez sélectionner un groupe pour recevoir les notifications, mais l’appartenance à ce groupe ne peut pas dépasser 10 utilisateurs. Si vous sélectionnez un groupe dont moins de 10 utilisateurs sont ajoutés plus tard, le groupe ne reçoit plus de notifications. De même, les notifications ne peuvent être envoyées qu’à cinq objets, comme une combinaison d’utilisateurs ou de groupes individuels. Pour arrêter la réception de notifications, supprimez votre objet utilisateur ou le groupe dans lequel vous êtes inclus dans la liste du destinataire.
À ce stade, la communication de l’agent est unidirectionnelle. Pour le moment, vous pouvez recevoir des notifications, mais vous ne pouvez pas y répondre dans Microsoft Teams. Pour prendre des mesures sur une suggestion, sélectionnez Vérifier la suggestion dans la conversation pour ouvrir l’agent d’optimisation de l’accès conditionnel dans le Centre d’administration Microsoft Entra.
Déploiement par phases
Lorsque l’agent crée une stratégie en mode rapport uniquement, la stratégie est déployée en phases, ce qui vous permet de surveiller l’effet de la nouvelle stratégie. Le déploiement par phases est activé par défaut.
Vous pouvez modifier le nombre de jours entre chaque phase en faisant glisser le curseur ou en entrant un nombre dans la zone de texte. Le nombre de jours entre chaque phase est le même pour toutes les phases. Assurez-vous que vous démarrez le déploiement par phases avec suffisamment de temps pour surveiller l’impact avant le démarrage de la phase suivante et que le déploiement ne démarre pas le week-end ou les vacances, au cas où vous devrez suspendre le déploiement.
Identité et autorisations
Il existe plusieurs points clés à prendre en compte concernant l’identité et les autorisations de l’agent :
L’agent d’optimisation de l’accès conditionnel prend désormais en charge l’ID de Microsoft Entra Agent, ce qui permet à l’agent de s’exécuter sous sa propre identité plutôt qu’à l’identité d’un utilisateur spécifique. Cela améliore la sécurité, simplifie la gestion et offre une plus grande flexibilité.
- Les nouvelles installations s’exécutent par défaut sous une identité d’agent.
- Les installations existantes peuvent basculer de l’exécution dans un contexte utilisateur spécifique pour s’exécuter sous une identité d’agent à tout moment.
- Cette modification n’a pas d’impact sur les rapports ou l’analytique.
- Les stratégies et recommandations existantes ne sont pas affectées.
- Les clients ne peuvent pas revenir au contexte utilisateur.
- Les admiins avec les rôles Administrateur de sécurité ou Administrateur général peuvent accéder aux paramètres de l’agent, puis sélectionner Créer une identité d’agent pour effectuer le changement.
L’administrateur de sécurité a accès à Security Copilot par défaut. Vous pouvez attribuer l’accès à Sécurité Copilot aux Administrateurs de l’accès conditionnel. Cette autorisation permet également à vos administrateurs d’accès conditionnel d’utiliser l’agent. Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.
L’utilisateur qui approuve une suggestion d’ajout d’utilisateurs à une stratégie devient propriétaire d’un nouveau groupe qui ajoute les utilisateurs à une stratégie.
Les journaux d’audit des actions effectuées par l’agent sont associés à l’identité de l’utilisateur ou de l’agent qui a activé l’agent. Vous trouverez le nom du compte dans la section Identité et autorisations des paramètres.
Intégration de ServiceNow (préversion)
Les organisations qui utilisent le plug-in ServiceNow pour Security Copilot peuvent désormais avoir l’agent d’optimisation de l’accès conditionnel créer des demandes de modification ServiceNow pour chaque nouvelle suggestion générée par l’agent. Cela permet aux équipes informatiques et de sécurité de suivre, d’examiner et d’approuver ou de rejeter des suggestions d’agent dans les flux de travail ServiceNow existants. À ce stade, seules les demandes de modification (CHG) sont prises en charge.
Pour utiliser l’intégration de ServiceNow, votre organisation doit avoir configuré le plug-in ServiceNow .
Lorsque le plug-in ServiceNow est activé dans les paramètres de l’agent d’optimisation de l’accès conditionnel, chaque nouvelle suggestion de l’agent crée une demande de modification ServiceNow. La demande de modification inclut des détails sur la suggestion, telles que le type de stratégie, les utilisateurs ou les groupes affectés et la justification de la recommandation. L’intégration fournit également une boucle de commentaires : l’agent surveille l’état de la demande de modification ServiceNow et peut implémenter automatiquement la modification lorsque la demande de modification est approuvée.
Instructions personnalisées
Vous pouvez adapter la stratégie à vos besoins à l’aide du champ Instructions personnalisées facultatives. Ce paramètre vous permet de fournir un prompt à l’agent dans le cadre de son exécution. Ces instructions peuvent être utilisées pour :
- Inclure ou exclure des utilisateurs, des groupes et des rôles spécifiques
- Exclure les objets de la considération par l’agent ou de l’ajout à la stratégie d’accès conditionnel
- Appliquez des exceptions à des stratégies spécifiques, telles que l’exclusion d’un groupe spécifique d’une stratégie, l’authentification multifacteur ou la nécessité de stratégies de gestion des applications mobiles.
Vous pouvez entrer le nom ou l’ID d’objet dans les instructions personnalisées. Les deux valeurs sont validées. Si vous ajoutez le nom du groupe, l’ID d’objet de ce groupe est automatiquement ajouté en votre nom. Exemples d’instructions personnalisées :
- « Exclure les utilisateurs du groupe « Break Glass » de toute stratégie nécessitant une authentification multifacteur.
- « Exclure l’utilisateur avec l’ID d’objet dddddddd-3333-4444-5555-eeeeeeeeeeee de toutes les politiques »
Un scénario courant à prendre en compte est que votre organisation dispose de nombreux utilisateurs invités que vous ne souhaitez pas que l’agent suggère d’ajouter à vos stratégies d’accès conditionnel standard. Si l’agent s’exécute et voit les nouveaux utilisateurs invités qui ne sont pas couverts par les stratégies recommandées, les SKU sont consommées pour suggérer de couvrir ces utilisateurs invités par des stratégies qui ne sont pas nécessaires. Pour empêcher les utilisateurs invités d’être considérés par l’agent :
- Créez un groupe dynamique appelé « Invités » où
(user.userType -eq "guest"). - Ajoutez une instruction personnalisée en fonction de vos besoins.
- « Exclure le groupe « Invités » de la considération de l’agent.
- « Exclure le groupe « Invités » de toutes les stratégies de gestion des applications mobiles.
Pour plus d’informations sur l’utilisation d’instructions personnalisées, consultez la vidéo suivante.
Notez que certains contenus de la vidéo, tels que les éléments d’interface utilisateur, sont susceptibles de changer, car l’agent est fréquemment mis à jour.
Intégration d’Intune
L’Agent d’optimisation de l’accès conditionnel s’intègre à Microsoft Intune pour surveiller la conformité des appareils et les stratégies de protection des applications configurées dans Intune et identifier les lacunes potentielles dans l’application de l’accès conditionnel. Cette approche proactive et automatisée garantit que les stratégies d’accès conditionnel restent alignées sur les objectifs de sécurité de l’organisation et les exigences de conformité. Les suggestions de l’agent sont identiques aux autres suggestions de stratégie, sauf que Intune fournit une partie du signal à l’agent.
Les suggestions d’agent pour les scénarios Intune couvrent des groupes d’utilisateurs et des plateformes spécifiques (iOS ou Android). Par exemple, l’agent identifie une stratégie de protection des applications Intune active qui cible le groupe « Finance », mais détermine qu’il n’existe pas de stratégie d’accès conditionnel suffisante qui applique la protection des applications. L’agent crée une stratégie de rapport uniquement qui oblige les utilisateurs à accéder aux ressources uniquement par le biais d’applications conformes sur des appareils iOS.
Pour identifier la conformité des appareils Intune et les stratégies de protection des applications, l’agent doit s’exécuter en tant qu’administrateur général ou administrateur d’accès conditionnel ET lecteur général. L’administrateur de l’accès conditionnel, à lui seul, n’est pas suffisant pour que l’agent génère des recommandations pour Intune.
Intégration de l’accès sécurisé global
Microsoft Entra Internet Access et Microsoft Entra Private Access (collectivement appelé Accès sécurisé global) s’intègrent à l’Agent d’optimisation de l’accès conditionnel pour fournir des suggestions spécifiques aux stratégies d’accès réseau de votre organisation. La suggestion, activer la nouvelle stratégie pour appliquer les exigences d’accès réseau Global Secure Access, vous aide à aligner vos stratégies d’accès sécurisé global qui incluent des emplacements réseau et des applications protégées.
Avec cette intégration, l’agent identifie les utilisateurs ou les groupes qui ne sont pas couverts par une stratégie d’accès conditionnel pour exiger l’accès aux ressources d’entreprise uniquement via des canaux d’accès sécurisé global approuvés. Cette stratégie exige que les utilisateurs se connectent aux ressources d’entreprise via le réseau global sécurisé de l’organisation avant d’accéder aux applications et données d’entreprise. Les utilisateurs qui se connectent à partir de réseaux non gérés ou non approuvés sont invités à utiliser le client d’accès sécurisé global ou la passerelle web. Vous pouvez consulter les journaux de connexion pour vérifier les connexions conformes.
Supprimer l’agent
Si vous ne souhaitez plus utiliser l’agent d’optimisation de l’accès conditionnel, sélectionnez Supprimer l’agent en haut de la fenêtre de l’agent. Les données existantes (activité de l’agent, suggestions et métriques) sont supprimées, mais toutes les stratégies créées ou mises à jour en fonction des suggestions de l’agent restent intactes. Les suggestions précédemment appliquées restent inchangées afin de pouvoir continuer à utiliser les stratégies créées ou modifiées par l’agent.
Envoi de commentaires
Utilisez le bouton Donner des commentaires Microsoft en haut de la fenêtre de l’agent pour fournir des commentaires à Microsoft sur l’agent.
Questions fréquentes (FAQ)
Quand dois-je utiliser l’agent d’optimisation de l’accès conditionnel et Copilot Chat ?
Les deux fonctionnalités fournissent des insights différents sur vos stratégies d’accès conditionnel. Le tableau suivant fournit une comparaison des deux fonctionnalités :
| Scénario | Agent d’optimisation de l’accès conditionnel | Discussion avec Copilot |
|---|---|---|
| Scénarios génériques | ||
| Utiliser une configuration spécifique au locataire | ✅ | |
| Raisonnement avancé | ✅ | |
| Aperçus à la demande | ✅ | |
| Résolution des problèmes interactifs | ✅ | |
| Évaluation continue des stratégies | ✅ | |
| Suggestions d’amélioration automatisées | ✅ | |
| Obtenir des conseils sur les meilleures pratiques et la configuration de l’autorité de certification | ✅ | ✅ |
| Scénarios spécifiques | ||
| Identifier de manière proactive les utilisateurs ou les applications non protégés | ✅ | |
| Appliquer l’authentification multifacteur et d’autres contrôles de référence pour tous les utilisateurs | ✅ | |
| Surveillance et optimisation continues des stratégies d’autorité de certification | ✅ | |
| Modifications de stratégie en un clic | ✅ | |
| Passez en revue les stratégies et affectations d’autorité de certification existantes (Les stratégies s’appliquent-elles à Alice ?) | ✅ | ✅ |
| Résoudre les problèmes d’accès d’un utilisateur (Pourquoi Alice a-t-elle été invitée à utiliser l’authentification multifacteur ?) | ✅ |
J’ai activé l’agent, mais je vois « Échec » dans l’état de l’activité. Que se passe-t-il ?
Il est possible que l’agent ait été activé avec un compte qui nécessite l’activation de rôle avec Privileged Identity Management (PIM). Par conséquent, lorsque l’agent a tenté de se lancer, il a échoué, car le compte n’avait pas les autorisations requises à ce moment-là. Vous êtes invité à réauthentifier si l’autorisation PIM a expiré.
Vous pouvez résoudre ce problème en supprimant l’agent, puis en réactivant l’agent avec un compte d’utilisateur disposant d’autorisations permanentes pour l’accès à Security Copilot. Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.