Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Zeg afscheid van tijdrovend onderzoek en de onzekerheid van gehaaste beslissingen. De Access Review Agent werkt voor uw revisoren door automatisch inzichten te verzamelen en aanbevelingen te genereren. Vervolgens worden revisoren begeleid bij het beoordelingsproces in Microsoft Teams met natuurlijke taal, met eenvoudige samenvattingen en voorgestelde beslissingen, zodat ze de laatste oproep met vertrouwen en duidelijkheid kunnen maken.
Vereiste voorwaarden
- U moet Microsoft Entra ID Governance- of Microsoft Entra Suite-licenties hebben.
- U moet onboarden bij Security Copilot met ten minste één SCU (Security Compute Unit) ingericht.
- Het voltooien van een toegangsbeoordeling met 20 beslissingen verbruikt gemiddeld 4,5 SCU. Dit omvat het verzamelen van inzichten in de agent en het genereren van aanbevelingen en het gesprek in natuurlijke taal van de revisor in Microsoft Teams met de agent. Het SCU-verbruik kan variëren op basis van de gesprekslengte tussen de revisor en de agent.
- Beheerders moeten ten minste alle volgende rollen hebben om de agent in te stellen en te beheren in het Microsoft Entra-beheercentrum:
- Revisoren moeten toegang hebben tot Microsoft Teams en een actieve toegangsbeoordeling hebben toegewezen aan revisoren. Ze moeten ook beschikken over ten minste de rol Security Copilot-inzender die aan hen is toegewezen.
- Privacy - en gegevensbeveiliging controleren in Microsoft Security Copilot
Beperkingen
- Zodra agents zijn gestart, kunnen ze niet worden gestopt of gepauzeerd. Het kan enkele minuten duren.
- U wordt aangeraden de agent uit te voeren vanuit het Microsoft Entra-beheercentrum.
Ondersteunde scenario's
In de volgende tabellen ziet u de huidige ondersteuning van de Access Review Agent op basis van beoordelingsscenario's:
| Scenario | Ondersteund |
|---|---|
| Bronnen | |
| Teams en groepen | ✅ |
| Toewijzing van toegangspakket | ✅ |
| Toepassingstoewijzing | ✅ |
| Azure-resourcerollen | ❌ |
| Microsoft Entra-rollen | ❌ |
| Groepen die worden beheerd door Privileged Identity Management | ❌ |
| grootte | |
| Maximaal 35 beslissingen (per beoordeling, niet revisor) | ✅ |
| >35 beslissingen per beoordeling | ❌ |
| FASEN | |
| Eén fase | ✅ |
| Meerdere fasen | ❌ |
| Reviewers | |
| Specifiek | ✅ |
| Groepseigenaren | ✅ |
| Managers | ✅ |
| Zelfbeoordelingen | ❌ |
| talen | |
| Engels | ✅ |
| Andere talen | ❌ |
Hoe het werkt
De Agent voor toegangsbeoordeling scant proactief op actieve toegangsbeoordelingen in uw tenant die zijn gemarkeerd voor verwerking door de agent. De agent analyseert vervolgens geïdentificeerde beoordelingen door extra inzichten te verzamelen en genereert een aanbeveling (goedkeuren/weigeren) en een samenvatting van de reden voor elke beslissing. Zodra de agent de aanbevelingen en bijbehorende samenvattingen van redenen analyseert, kan deze revisoren in natuurlijke taal begeleiden bij het beoordelingsproces in Microsoft Teams. Revisoren kunnen hun beoordelingen voltooien via de chatervaring in natuurlijke taal in Microsoft Teams. Terwijl de agent hen begeleidt bij de beoordeling, kunnen ze de redenering van de agent achter de aanbevelingen bekijken, vragen stellen in de context van de beoordeling zelf en ten slotte hun eigen weloverwogen beslissing nemen.
De aanbeveling van agents (goedkeuren/weigeren) voor elke beslissing is afhankelijk van een deterministisch scoremechanisme dat wordt aangedreven door meerdere signalen. De signalen die voor de aanbeveling worden gebruikt, worden vervolgens gebruikt om een beschrijvende samenvatting van redenen voor eindgebruikers te bieden, mogelijk gemaakt door een llm (large language model). De volgende chatervaring in natuurlijke taal in Microsoft Teams wordt mogelijk gemaakt door het grote taalmodel met eerder gegenereerde aanbevelingen en samenvattingen van redenen als beschikbare context.
De agent houdt rekening met de volgende signalen:
- Inactiviteit van gebruiker: als de gebruiker zich heeft aangemeld
- Lidmaatschap van gebruiker naar groep: als de gebruiker een lage relatie heeft met andere gebruikers die deze toegang hebben
- Account ingeschakeld: Als het account van de gebruiker is ingeschakeld (eigenschap accountEnabled)
- Arbeidsstatus: Als de arbeidsovereenkomst van de gebruiker is beëindigd (eigenschap employeeLeaveDateTime)
- Geschiedenis van de levenscycluswerkstroom: als de gebruiker een mover-werkstroom heeft uitgevoerd in de afgelopen 30 dagen
- Beslissingen van eerdere beoordelingen: Voor terugkerende beoordelingen worden beslissingen van eerdere beoordelingsiteraties overwogen
- Geschiedenis van toegangsaanvragen: Voor beoordelingen van toegangspakkettoewijzingen wordt de aanvraag- en goedkeuringsgeschiedenis overwogen
Opmerking
De samenvatting van de reden bevat informatie uit deze signalen en is beschikbaar voor de revisor tijdens het beoordelingsproces, ook al is sommige van deze informatie niet beschikbaar voor revisoren buiten het beoordelingsproces.
Als beheerder kunt u de aanbevelingen (goedkeuren/weigeren) en samenvattingen van redenen bekijken. Zie de logboeken en metrische gegevens van access Review Agent (preview) voor meer informatie. Houd er rekening mee dat de aanbevelingen van de agent kunnen verschillen van de aanbevelingen die worden weergegeven in de portal Mijn toegang en de ervaring toegangsbeoordeling in het Microsoft Entra-beheercentrum.
Aan de slag
De toegangsbeoordelingsagent instellen
Meld u met een account met ten minste alle volgende rollen aan bij het Microsoft Entra-beheercentrum:
Selecteer op de nieuwe startpagina de optie Ga naar agents op de meldingskaart van de agent.
- U kunt agents ook selecteren in het linkernavigatiemenu.
- U kunt agents ook selecteren in het linkernavigatiemenu.
Selecteer Details weergeven op de tegel Toegangsbeoordelingsagent.
Selecteer Start agent om je eerste run te beginnen.
- Vermijd het gebruik van een account met een rol die is geactiveerd via PIM.
- In de rechterbovenhoek wordt een bericht weergegeven met de tekst 'De agent start de eerste uitvoering'.
- Het kan enkele minuten duren voordat de eerste uitvoering voltooid is.
De agent voor toegangsbeoordeling inschakelen voor bestaande toegangsbeoordelingen
Nadat de Agent voor toegangsbeoordeling is gestart, moet u toegangsbeoordelingen markeren om te worden verwerkt door de Agent voor toegangsbeoordeling. De Agent voor toegangsbeoordeling kan zowel nieuwe als bestaande toegangsbeoordelingen verwerken. In de volgende secties wordt stapsgewijs uitgelegd hoe u de toegangsbeoordeling markeert die door de Toegangsbeoordelingsagent moet worden verwerkt.
De toegangsbeoordelingsagent inschakelen voor bestaande groep- en toepassingstoegangsbeoordelingen
Voer de volgende stappen uit om een bestaande toegangsbeoordeling bij te werken die door de Toegangsbeoordelingsagent moet worden verwerkt:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Navigeer naar ID Governance>toegangsbeoordelingen.
Selecteer de toegangsbeoordeling die de agent moet ondersteunen.
Selecteer op de overzichtspagina van de toegangsbeoordeling Instellingen onder Beheren als het een eenmalige beoordeling is of Instellingen onder Reeks als dit een terugkerende beoordeling is.
Schakel onder
Geavanceerde instellingen het selectievakje in voor de instelling met de tekstToegangsbeoordelingsagent (preview).> Selecteer Opslaan.
De Toegangsbeoordelingsagent inschakelen voor bestaande beoordelingen voor toewijzing van toegangspakketten
Voer de volgende stappen uit om een bestaande toegangsbeoordeling bij te werken die door de Toegangsbeoordelingsagent moet worden verwerkt:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.
Selecteer het toegangspakket dat u wilt ondersteunen door de agent.
Selecteer Beleid op de overzichtspagina van het toegangspakket en selecteer vervolgens het beleid dat u wilt bijwerken en selecteer Bewerken.
Selecteer Levenscyclus op de pagina Beleid bewerken.
Selecteer op het tabblad Levenscyclus de instellingen voor Geavanceerde toegangsbeoordeling en schakel het selectievakje
Inschakelen in op de instelling met de tekstAccess Review Agent (preview).a0> Selecteer Opslaan.
Controleren of revisoren de Toegangsbeoordelingsagent kunnen gebruiken
Revisoren hebben toegang tot de Agent voor toegangsbeoordeling via een Microsoft Teams-app. Als de microsoft Teams-app-instellingen voor de hele organisatie van uw organisatie microsoft-toepassingen toestaan, is er geen actie vereist. Als uw organisatie Microsoft-apps heeft uitgeschakeld in de organisatiebrede app-instellingen van Microsoft Teams van uw organisatie, moet de Microsoft Teams-beheerder van uw organisatie de app expliciet goedkeuren.
U moet er ook voor zorgen dat alle revisoren ten minste de rol Security Copilot-inzender hebben, zodat ze de agent kunnen gebruiken om hun beoordelingen te voltooien. Dit is vereist omdat het gesprek in natuurlijke taal in Microsoft Teams achter de schermen een Microsoft Security Copilot-sessie opent. Deelnemende revisoren hebben toegang tot de agentische ervaring via Microsoft Teams, maar met de roltoewijzing hebben ze recht op toegang tot de Security Copilot-portal of de Security Copilot-ervaring in andere Microsoft Security-beheerportals. Als revisoren toegang hebben tot Security Copilot buiten Microsoft Teams, is hun gegevenstoegang met Security Copilot nog steeds onderhevig aan standaardgebruikersmachtigingen.
Toegangsbeoordelingsagent gebruiken als revisor
Nu de Toegangsbeoordelingsagent is gestart, hebben revisoren de juiste machtigingen toegewezen en met de app die voor hen beschikbaar is, zijn uw revisoren nu klaar om hun beoordelingen te voltooien met behulp van de agent. De Agent voor toegangsbeoordeling kan rechtstreeks worden geopend in Microsoft Teams (directe koppeling). De e-mailmeldingen voor toegangsbeoordeling die naar revisoren worden verzonden, bevatten ook een directe koppeling naar Microsoft Teams.
Open uw Microsoft Teams-toepassing die is aangemeld als de gebruiker die is toegewezen als revisor.
Selecteer de koppeling Toegangsbeoordelingsagent om de agent te openen
Zoek op de pagina Apps naar de Access Review-agent en selecteer Toevoegen.
Zodra de agent is toegevoegd, selecteert u Openen.
Wanneer u opent, kunt u de beschikbare prompt selecteren om de chat te starten met de
Instellingen
Zodra de agent is ingeschakeld, kunt u enkele instellingen aanpassen. U kunt de instellingen als volgt openen in het Microsoft Entra-beheercentrum:
- > Vanuitagentinstellingen>voor toegangsbeoordeling.
Aanleiding
De agent wordt zo geconfigureerd dat deze elke 24 uur wordt uitgevoerd op basis van wanneer deze in eerste instantie is geconfigureerd. U kunt deze op een bepaald moment uitvoeren door de triggerinstelling uit te schakelen en vervolgens weer in te schakelen wanneer u deze wilt uitvoeren.
Opmerking
Als revisoren onmiddellijk reageren op hun e-mailmeldingen voor toegangsbeoordeling, heeft de agent de beoordeling mogelijk nog niet verwerkt. Pas nadat de agent wordt uitgevoerd, kan deze helpen bij toegangsbeoordelingen in Microsoft Teams. Als u reageert voordat de agent de beoordeling verwerkt, reageert de agent met het volgende bericht aan de revisor in Microsoft Teams: 'Ik zie geen beoordelingen in behandeling waarmee ik u op dit moment kan helpen. Omdat mijn mogelijkheden nog steeds worden uitgebreid, raad ik u aan de portal Mijn toegang te controleren om te zien of u andere beoordelingen in behandeling hebt.'
De agent verwijderen
Als u de Toegangsbeoordelingsagent niet meer wilt gebruiken, selecteert u Agent verwijderen boven aan het agentvenster. De bestaande agentactiviteit en metrische gegevens worden verwijderd, maar aanbevelingen en redenen voor al verwerkte beoordelingen worden bewaard door de agent in Microsoft Teams en kunnen revisoren blijven helpen met deze beoordelingen. Als u de verwijdering wilt voltooien, moet u ook de eerder gemarkeerde toegangsbeoordelingen verwijderen die door de agent zijn verwerkt.
De toegangsbeoordelingsagent uitschakelen voor bestaande groep- en toepassingstoegangsbeoordelingen
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar ID Governance>Toegangsbeoordelingen.
Selecteer de toegangsbeoordeling waarvoor agentondersteuning is ingeschakeld.
Selecteer op de overzichtspagina van de toegangsbeoordeling Instellingen onder Beheren als het een eenmalige beoordeling is of Instellingen onder Reeks als dit een terugkerende beoordeling is.
Schakel onder
Geavanceerde instellingen het selectievakje uit op de instelling met de tekstAccess Review Agent (Preview).a0> Selecteer Opslaan.
De Toegangsbeoordelingsagent uitschakelen voor bestaande beoordelingen voor toewijzing van toegangspakketten
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.
Blader naar ID-beheer>Rechtenbeheer>Toegangspakket.
Selecteer het toegangspakket dat u wilt ondersteunen door de agent.
Selecteer Beleid op de overzichtspagina van het toegangspakket en selecteer vervolgens het beleid dat u wilt bijwerken en selecteer Bewerken.
Selecteer Levenscyclus op de pagina Beleid bewerken.
Schakel op het tabblad Levenscyclus het selectievakje
Uitschakelen in bij de instelling metde tekst Toegangsbeoordelingsagent (preview).a0> Selecteer Opslaan.
Beveiligings-Copilot-toegang intrekken
Misschien wilt u de toegang van revisoren van revisoren tot Security Copilot intrekken als ze geen ander scenario nodig hebben om toegang te krijgen tot Security Copilot.
Identiteit en machtigingen
Er wordt een unieke agentidentiteit gemaakt wanneer de agent is ingeschakeld. Zie voor meer informatie: agentidentiteiten beheren.
De agent gebruikt deze identiteit om uw tenant te scannen op actieve toegangsbeoordelingen, aanvullende inzichten te verzamelen en de aanbevelingen en redenen voor de revisor op te slaan. Zie voor meer informatie: Hoe het werkt
Permissions
- Details voor toegangsbeoordelingen ophalen
- Lees details en levenscycluswerkstroomgeschiedenis voor gebruikers, groepen, apps en toegangspakketten
- Aanbevelingen en redenen voor toegangsbeoordeling opslaan
Definitieve beslissingen, ingediend via het Microsoft Teams-gesprek, gebruiken de identiteit van de revisor.
Op de pagina agentinstellingen wordt de identiteit weergegeven die momenteel aan de agent is toegewezen: 
Als uw agent eerder is geconfigureerd met behulp van de identiteit van een beheerder, moet u deze migreren naar een toegewezen agentidentiteit. Voltooi deze migratie door de optie Agentidentiteit maken te selecteren op de blauwe banner van de overzichtspagina van de agent of de pagina agentinstellingen.
Feedback geven
Gebruik de knop Feedback geven boven aan het agentvenster om feedback te geven aan Microsoft over de agent.
FAQs
Waarom reageert de agent in Microsoft Teams met 'Het lijkt erop dat de Toegangsbeoordelingsagent nog niet is ingeschakeld voor uw organisatie of onverwachte problemen heeft ondervonden. Neem contact op met uw IT-afdeling voor hulp. Ondertussen kunt u uw openstaande beoordelingen voltooien in de portal Mijn toegang?'
Als de agent met dit bericht reageert, is het waarschijnlijk dat de agent is ingesteld, zoals het starten van de agent, het toewijzen van revisoren van de toegang tot Security Copilot en het inschakelen van de agent voor bestaande beoordelingen, niet is voltooid.
Waarom reageert de agent in Microsoft Teams met 'Het is op dit moment een beetje druk en ik kan uw aanvraag momenteel niet verwerken. Kunt u het over een tijdje opnieuw proberen? Als u haast hebt, is de portal Mijn toegang altijd beschikbaar.'
De agent reageert met dit bericht als uw tenant niet meer is ingericht en de Copilot-capaciteit van security is overschreden.