Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’agent d’optimisation de l’accès conditionnel Microsoft Entra fournit des suggestions pour créer ou mettre à jour des stratégies d’accès conditionnel et créer des rapports pour l’activité liée à ces stratégies. Les suggestions varient en fonction de ce que l’agent trouve. En tant qu’administrateur, vous devez passer en revue les suggestions et décider de ce qu’il faut faire.
Cet article fournit une vue d’ensemble de la logique derrière les suggestions et rapports, ainsi que la façon d’examiner et d’agir sur ces suggestions.
Important
Les intégrations de Microsoft Teams dans l’agent d’optimisation de l’accès conditionnel sont actuellement en préversion. Cette information concerne un produit en version préliminaire susceptible d’être sensiblement modifié avant sa mise en production. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.
Prerequisites
- Vous devez disposer au moins de la licence Microsoft Entra ID P1 .
- Vous devez disposer d’unités de calcul de sécurité (SCU) disponibles.
- En moyenne, le fonctionnement de chaque agent consomme moins d'une SCU.
- Vous devez disposer du rôle Microsoft Entra approprié.
- Les rôles Lecteur de sécurité et Lecteur général peuvent afficher l’agent et toutes les suggestions, mais ne peuvent pas effectuer d’actions.
- Les rôles Administrateur d’accès conditionnel et Administrateur de sécurité peuvent afficher l’agent et prendre des mesures sur les suggestions.
- Pour plus d’informations, consultez Accorder l'accès à un Copilot de sécurité.
- Les contrôles basés sur les appareils nécessitent des licences Microsoft Intune.
- Passez en revue la confidentialité et la sécurité des données dans Microsoft Security Copilot.
Limites
- Évitez d’utiliser un compte pour configurer l’agent qui nécessite l’activation de rôle avec Privileged Identity Management (PIM). L’utilisation d’un compte qui n’a pas d’autorisations permanentes peut entraîner des échecs d’authentification pour l’agent.
- Une fois les agents démarrés, ils ne peuvent pas être arrêtés ou suspendus. L'exécution peut prendre quelques minutes.
- Pour la consolidation des stratégies, chaque exécution de l’agent prend en compte uniquement quatre paires de stratégies similaires.
- L'agent s'exécute actuellement en tant qu'utilisateur qui l'active.
- Nous vous recommandons d’exécuter l’agent à partir du Centre d’administration Microsoft Entra.
- L’analyse est limitée à une période de 24 heures.
- Les suggestions de l’agent ne peuvent pas être personnalisées ou remplacées.
- L’agent peut passer en revue jusqu’à 150 utilisateurs et 100 applications en une seule exécution.
Fonctionnement
L’agent peut s’exécuter et :
- Ne pas identifier les utilisateurs non protégés ou recommander les modifications
- Créer une stratégie d’accès conditionnel en mode rapport uniquement
- Suggérer la modification d’une stratégie existante
- Suggérer la consolidation des stratégies qui se chevauchent
- Identifier un pic ou une baisse d'activité lié à une politique existante
Nous voulons fournir autant d’informations que possible sur la logique utilisée pour identifier les suggestions, car les stratégies d’accès conditionnel peuvent être complexes. Avec chaque suggestion, l’agent fournit un raisonnement détaillé, des résumés d’impact sur la stratégie et des détails de la stratégie. En guise de meilleure pratique, passez en revue les informations fournies avant d’appliquer une suggestion ou de modifier une stratégie de rapport uniquement à une stratégie active.
Passer en revue les suggestions et la logique de l’agent
Sélectionnez Vérifier la suggestion pour examiner une vue d’ensemble approfondie de la suggestion, y compris la logique utilisée pour identifier la suggestion et l’impact potentiel de la stratégie. Les options disponibles dans les détails de la suggestion de stratégie varient en fonction du type de suggestion. Par exemple, les nouvelles suggestions de stratégie incluent un bouton Activer la stratégie, tandis que les suggestions de modification d’une stratégie existante incluent un bouton Ajouter des comptes pour ajouter des utilisateurs ou des groupes à exclure de la stratégie.
Détails de la stratégie
La vue par défaut de la suggestion fournit les détails de la stratégie, y compris une description générale en haut suivi des détails utilisés dans la stratégie.
Dans les détails de la politique, vous pouvez agir sur la suggestion en utilisant plusieurs options. En haut de la page, vous pouvez modifier, dupliquer, télécharger ou supprimer la politique. Vous pouvez également utiliser la fonctionnalité Conversation avec agent .
Sous le résumé de la suggestion de stratégie, vous pouvez effectuer plusieurs actions :
- Passer en revue les modifications de stratégie : affichez un résumé ou des détails JSON de la suggestion. Pour plus d’informations, consultez la section Révision des modifications de stratégie .
- Activer la stratégie : activez les nouvelles stratégies qui ont été créées en mode rapport uniquement par l’agent.
- Marquer la suggestion comme revue : sélectionnez la flèche vers le bas située sur le bouton Activer la règle pour indiquer que vous avez passé en revue la suggestion sans l'appliquer.
- Snooze pendant 14 jours : sélectionnez la flèche vers le bas sur le bouton Activer la stratégie pour masquer temporairement la suggestion. La suggestion réapparaît dans la liste après 14 jours.
- Afficher l’activité complète de l’agent : affichez l’activité et les décisions complètes. Pour plus d’informations, consultez la section d’activité complète de l’agent View .
- Ajouter des notes : sélectionnez l’icône de stylet et de papier pour ajouter des notes sur la suggestion pour les autres administrateurs à examiner
La page de détails des suggestions de stratégie est détaillée et fournit toutes les options nécessaires pour prendre une décision éclairée sur la suggestion. Toutefois, si vous avez besoin d’informations supplémentaires, vous pouvez également afficher l’impact de la stratégie et afficher des détails sur l’activité de l’agent. Demandez à Copilot au sujet de cette différence de fichier
Impact de la stratégie
Dans le volet d’informations qui s’ouvre, sélectionnez Impact sur la stratégie pour afficher une visualisation de l’impact potentiel de la stratégie.
Ajustez les filtres et l’affichage en fonction des besoins. Sélectionnez un point sur le graphique pour afficher un exemple des données affectées par la stratégie. Par exemple, pour qu’une stratégie nécessite une authentification multifacteur (MFA), le graphique montre un exemple d’événements de connexion où la stratégie d’accès conditionnel n’a pas été appliquée. Pour plus d’informations, consultez Impact sur la stratégie.
Afficher l’activité complète de l’agent
Pour afficher un résumé détaillé de l’activité de l’agent et comment il a calculé la suggestion, sélectionnez Afficher l’activité complète de l’agent. L’activité de l’agent évalue la dérive de stratégie, ou les lacunes dans la couverture de la stratégie, pour les utilisateurs et les applications. L’agent recherche également des stratégies qui peuvent être fusionnées ou consolidées.
Si la suggestion de stratégie inclut l’ajout d’utilisateurs ou d’applications spécifiques à la stratégie, vous pouvez afficher la liste des applications ou des utilisateurs directement à partir de la carte. Par exemple, dans l’exemple suivant, vous devez sélectionner le lien 8 utilisateurs pour voir les huit utilisateurs que l’agent a identifiés comme n’étant pas inclus dans la stratégie.
Le résumé de l’activité de l’agent est une description en langage naturel de l’activité illustrée dans la carte. Ces détails peuvent vous aider à comprendre la logique derrière la suggestion afin de prendre une décision éclairée sur l’application de la suggestion.
Passer en revue les modifications de stratégie
Si l’agent suggère de modifier une stratégie existante, sélectionnez Vérifier les modifications de stratégie pour afficher les détails de la modification recommandée. Cette page répertorie les utilisateurs, les ressources cibles et d’autres détails de la stratégie qui changeront si vous appliquez la suggestion.
- Les détails de la stratégie sont fournis sous la forme d’une liste de tous les détails qui changent et d’une vue JSON de l’ensemble de la stratégie, avec les modifications mises en surbrillance.
- Pour les modifications de stratégie qui affectent les utilisateurs ou les applications, vous pouvez télécharger un fichier JSON des utilisateurs et des applications affectés par la modification de la stratégie.
Analyse profonde
Une analyse approfondie effectue une révision approfondie des stratégies d’accès conditionnel pour les scénarios tels que le blocage de l’authentification héritée, le blocage du flux de contrôle d’appareil et les stratégies qui nécessitent des contrôles d’appareil ou MFA. Il évalue les utilisateurs, groupes et rôles ciblés pour identifier les lacunes de couverture, les stratégies superposées ou redondantes et les opportunités de consolidation. Il analyse également les exclusions — les politiques de signalement qui excluent une grande partie des utilisateurs et recommande une exclusion explicite des comptes d'urgence afin de réduire le risque de verrouillage accidentel.
Étant donné que les suggestions de stratégie qui proviennent d’une analyse approfondie peuvent avoir un impact significatif sur votre environnement, envisagez d’utiliser l’option « snooze » pour vous donner le temps d’examiner la suggestion et l’option « notes » pour fournir un contexte et une justification pour votre processus décisionnel.
Appliquer des suggestions
L’expérience d’application de la suggestion varie selon que l’agent a créé une stratégie en mode rapport uniquement ou suggère de modifier une stratégie existante.
Modifier une stratégie existante
L’agent peut suggérer la modification d’une stratégie existante ou la consolidation de stratégies qui se chevauchent. Après avoir examiné les détails et l’impact de la modification de la stratégie, vous pouvez appliquer la suggestion à la stratégie.
- Dans la page détails de la stratégie, sélectionnez Appliquer la suggestion pour appliquer les modifications à la stratégie.
- Dans la page Révision des modifications de stratégie, vous pouvez également sélectionner Approuver les modifications suggérées en bas de la page.
Activer une nouvelle stratégie
Lorsque l’agent suggère une nouvelle stratégie, elle crée la stratégie en mode rapport uniquement. Après avoir examiné l’impact de la stratégie, vous pouvez activer la stratégie directement à partir de l’expérience de l’agent ou de la liste des stratégies d’accès conditionnel.
- Sélectionnez Activer la stratégie pour que l’agent applique les modifications apportées à la stratégie en mode rapport uniquement.
- Dans l’accès conditionnel, sélectionnez la stratégie, puis modifiez la bascule Activer la stratégie de Rapport uniquement sur Activé.
Conseil / Astuce
En guise de bonne pratique, les organisations doivent exclure leurs comptes de secours de la stratégie pour éviter d’être verrouillées en raison d’une mauvaise configuration.
Avertissement
Les stratégies en mode rapport uniquement nécessitant un appareil conforme peuvent inviter les utilisateurs sur macOS, iOS et les appareils Android à sélectionner un certificat d’appareil pendant l’évaluation de stratégie, même si la conformité des appareils n’est pas appliquée. Ces messages d'invite peuvent se répéter jusqu'à ce que l'appareil ait atteint la conformité. Pour empêcher les utilisateurs de recevoir des notifications pendant la connexion, excluez les plateformes d’appareils Mac, iOS et Android des stratégies en mode rapport effectuant des vérifications de conformité des appareils.
Notifications de suggestion de l’agent Microsoft Teams (préversion)
Microsoft Teams peut être utilisé pour recevoir des notifications de l’agent d’optimisation de l’accès conditionnel lorsque de nouvelles suggestions sont disponibles. Cette fonctionnalité en préversion vous permet de configurer qui vous souhaitez recevoir des notifications lorsque de nouvelles suggestions sont identifiées par l’agent. À ce stade, l’intégration de Teams fournit une communication unidirectionnelle avec l’agent et un lien direct vers la suggestion de stratégie dans le Centre d’administration Microsoft Entra.
Pour plus d’informations, consultez la section Notifications de l’Agent d’optimisation de l’accès conditionnel.
Passer en revue les rapports de stratégie
L’agent d’optimisation de l’accès conditionnel détecte également les pics et les baisses d’activité liés aux stratégies existantes. Ces anomalies indiquent souvent une mauvaise configuration d’une stratégie qui doit être examinée. Si l’agent identifie une modification significative de l’activité, un rapport apparaît dans la liste des suggestions. Les rapports s’appliquent aux stratégies actives et aux stratégies en mode rapport uniquement que l’agent suggère d’activer. Dans la colonne Actions effectuées par agent , vous verrez la révision de stratégie suggérée comme valeur.
Pour afficher un rapport de révision de stratégie :
Sélectionnez Vérifier la suggestion pour afficher les détails de la révision de stratégie suggérée.
Dans la page détails de la stratégie, sélectionnez Vérifier le rapport. Un rapport détaillé avec une visualisation de l’activité liée à la stratégie s’affiche.
Passez en revue le rapport et examinez la stratégie en fonction des besoins.
Dans la page détails de la stratégie, sélectionnez Marquer la suggestion comme revue ou Snooze pendant 14 jours. Si vous le souhaitez, vous pouvez ajouter des notes sur ce que vous avez appris et les modifications que vous avez apportées à la stratégie associée.
