Delen via

Suggesties van de agent voor optimalisatie van voorwaardelijke toegang controleren en toepassen

De Microsoft Entra-agent voor optimalisatie van voorwaardelijke toegang biedt suggesties voor het maken of bijwerken van beleid voor voorwaardelijke toegang en het maken van rapporten voor activiteiten met betrekking tot deze beleidsregels. De suggesties variëren op basis van wat de agent vindt. Als beheerder moet u de suggesties bekijken en bepalen wat u moet doen.

Dit artikel bevat een overzicht van de logica achter de suggesties en rapporten en hoe u deze suggesties kunt bekijken en erop kunt reageren.

Belangrijk

De ServiceNow-integratie in de agent voor optimalisatie van voorwaardelijke toegang bevindt zich momenteel in PREVIEW. Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd vóór de release. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Vereiste voorwaarden

Beperkingen

  • Zodra agents zijn gestart, kunnen ze niet worden gestopt of gepauzeerd. Het kan enkele minuten duren.
  • Voor beleidsconsolidatie kijkt elke agent alleen naar vier beleidsparen die op elkaar lijken.
  • U wordt aangeraden de agent uit te voeren vanuit het Microsoft Entra-beheercentrum.
  • Scannen is beperkt tot een periode van 24 uur.
  • Suggesties van de agent kunnen niet worden aangepast of overschreven.
  • De agent kan maximaal 150 gebruikers en 100 toepassingen in één uitvoering bekijken.

Hoe het werkt

De agent kan draaien en:

  • Identificeer geen niet-beveiligde gebruikers of raad eventuele wijzigingen aan
  • Een nieuw beleid voor voorwaardelijke toegang maken in de Alleen-rapportmodus
  • Het wijzigen van een bestaand beleid voorstellen
  • Stel voor om overlappende beleidsregels te consolideren
  • Een piek of dip in activiteit met betrekking tot een bestaand beleid identificeren

We willen zoveel mogelijk informatie geven over de logica die wordt gebruikt om de suggesties te identificeren, omdat het beleid voor voorwaardelijke toegang complex kan zijn. Met elke suggestie biedt de agent gedetailleerde redenering, samenvattingen van beleidsimpact en details van het beleid. Als best practice bekijkt u de informatie die wordt verstrekt voordat u een suggestie toepast of een beleid voor alleen rapporten wijzigt in een actief beleid.

Suggesties en agentlogica beoordelen

Selecteer De suggestie Controleren om een grondig overzicht van de suggestie te bekijken, inclusief de logica die wordt gebruikt om de suggestie en de mogelijke impact van het beleid te identificeren. De opties die beschikbaar zijn in de details van de beleidssuggesties variëren, afhankelijk van het type suggestie. Nieuwe beleidssuggesties bevatten bijvoorbeeld een beleidsknop Inschakelen terwijl suggesties voor het wijzigen van een bestaand beleid een knop Accounts toevoegen bevatten om gebruikers of groepen toe te voegen die moeten worden uitgesloten van het beleid.

Beleidsdetails

De standaardweergave van de suggestie bevat de beleidsdetails, inclusief een beschrijving op hoog niveau bovenaan, gevolgd door de details die in het beleid worden gebruikt.

Schermopname van de agent met de details van de beleidssuggesties geopend.

Vanuit de beleidsdetails kunt u actie ondernemen op de suggestie met behulp van verschillende opties. Boven aan de pagina kunt u het beleid bewerken, dupliceren, downloaden of verwijderen. U kunt ook de functie Chat met agent gebruiken.

Schermopname van de beleidsdetails met de knoppen gemarkeerd.

Onder het overzicht van beleidssuggesties kunt u verschillende acties uitvoeren. De opties worden gewijzigd op basis van het type suggestie. Suggesties voor het inschakelen van een nieuw beleid hebben bijvoorbeeld andere opties dan een suggestie om de instellingen van een bestaand beleid bij te werken.

  • Beleidswijzigingen bekijken: een samenvatting of JSON-details van de suggestie weergeven. Meer informatie die wordt beschreven in de sectie Beleidswijzigingen controleren .
  • Beleid inschakelen: Schakel nieuwe beleidsregels in die door de agent zijn opgesteld in de Alleen-rapportmodus.
  • Suggestie markeren als beoordeeld: Selecteer in de pijl-omlaag op de knop Beleid inschakelen om aan te geven dat u de suggestie hebt gecontroleerd zonder deze toe te passen.
  • 14 dagen uitstellen: Selecteer een optie in de pijl-omlaag op de knop Beleid inschakelen om de suggestie tijdelijk te verbergen. De suggestie wordt na 14 dagen opnieuw weergegeven in de lijst.
  • Bekijk de volledige activiteit van de agent: bekijk de volledige activiteit en beslissingen. Meer informatie die wordt beschreven in de sectie Volledige activiteit van de agent weergeven .
  • Notities toevoegen: selecteer het pen- en papierpictogram om notities toe te voegen over de suggestie voor andere beheerders die u wilt controleren

De detailpagina met beleidssuggesties is gedetailleerd en biedt elke optie die nodig is om een weloverwogen beslissing te nemen over de suggestie. Maar als u meer informatie nodig hebt, kunt u ook de beleidsimpact bekijken en details bekijken over de activiteit van de agent.

Beleidsimpact

Selecteer in het detailvenster dat wordt geopend beleidsimpact om een visualisatie te zien van de mogelijke impact van het beleid.

Pas de filters en de weergave indien nodig aan. Selecteer een punt in de grafiek om een voorbeeld weer te geven van de gegevens die van invloed zijn op het beleid. Voor een beleid dat meervoudige verificatie (MFA) vereist, toont de grafiek bijvoorbeeld een voorbeeld van aanmeldingsgebeurtenissen waarop het beleid voor voorwaardelijke toegang niet is toegepast. Zie Beleidsimpact voor meer informatie.

De volledige activiteit van de agent weergeven

Als u een gedetailleerd overzicht wilt zien van de activiteit van de agent en hoe deze de suggestie heeft berekend, selecteert u De volledige activiteit van de agent weergeven. De activiteit van de agent evalueert beleidsdrift of hiaten in beleidsdekking voor gebruikers en apps. De agent zoekt ook naar beleidsregels die kunnen worden samengevoegd of geconsolideerd.

Schermopname van het activiteitenoverzicht van de agent met de optie klikbare gebruikerslijst gemarkeerd.

Als de beleidssuggesties specifieke gebruikers of toepassingen aan het beleid toevoegen, kunt u de lijst met toepassingen of gebruikers rechtstreeks vanaf de kaart bekijken. In het volgende voorbeeld selecteert u de link 8 gebruikers om de acht gebruikers te zien die de agent heeft geïdentificeerd als niet opgenomen in het beleid.

Schermopname van de agent activiteitenkaart.

De samenvatting van agentactiviteit is een natuurlijke taalbeschrijving van de activiteit die wordt geïllustreerd in de kaart. Deze details kunnen u helpen inzicht te krijgen in de logica achter de suggestie, zodat u een weloverwogen beslissing kunt nemen over het toepassen van de suggestie.

Beleidswijzigingen reviewen

Als de agent voorstelt om een bestaand beleid te wijzigen, selecteert u Beleidswijzigingen controleren om de details van de aanbevolen wijziging te bekijken. Op deze pagina worden de gebruikers, doelbronnen en andere details van het beleid vermeld die worden gewijzigd als u de suggestie toepast.

  • Beleidsdetails worden verstrekt als een lijst met alle details die worden gewijzigd en een JSON-weergave van het hele beleid, waarbij de wijzigingen zijn gemarkeerd.
  • Voor beleidswijzigingen die van invloed zijn op gebruikers of toepassingen, kunt u een JSON-bestand downloaden van de gebruikers en toepassingen die worden beïnvloed door de beleidswijziging.

Schermopname van de beleidsdetails met de knop Beleidswijzigingen controleren gemarkeerd.

Uitgebreide analyse

Grondige analyse voert een diepgaande beoordeling uit van beleid voor voorwaardelijke toegang voor scenario's zoals het blokkeren van verouderde verificatie, het blokkeren van apparaatbeheerstroom en beleidsregels waarvoor apparaat- of MFA-besturingselementen zijn vereist. Het evalueert de beoogde gebruikers, groepen en rollen om dekkingsverschillen, overlappende of redundante beleidsregels en consolidatiekansen te identificeren. Het analyseert ook uitsluitingen door beleidsregels te markeren die een groot deel van de gebruikers uitsluiten, en beveelt aan om break-glass-accounts expliciet uit te sluiten om het risico op onbedoelde vergrendeling te verminderen.

Omdat de beleidssuggesties die door een grondige analyse worden geleid, een aanzienlijke invloed kunnen hebben op uw omgeving, kunt u overwegen de optie 'uitstellen' te gebruiken om u tijd te geven om de suggestie en de optie 'notities' te onderzoeken om context en logica voor uw besluitvormingsproces te bieden.

Meldingen over suggesties voor Microsoft Teams-agents

Microsoft Teams kan worden gebruikt om meldingen te ontvangen van de agent voor optimalisatie van voorwaardelijke toegang wanneer er nieuwe suggesties beschikbaar zijn. Met deze functie kunt u configureren wie u meldingen wilt ontvangen wanneer nieuwe suggesties worden geïdentificeerd door de agent. Op dit moment biedt de Integratie van Teams eenrichtingscommunicatie met de agent en een directe koppeling naar de beleidssuggesties in het Microsoft Entra-beheercentrum.

Zie de sectie Meldingen van instellingen voor de optimalisatieagent voor voorwaardelijke toegang voor meer informatie.

Suggesties toepassen

De ervaring voor het toepassen van de suggestie is afhankelijk van het feit of de agent een nieuw beleid heeft gemaakt in de modus Alleen-rapporteren of suggesties doet om een bestaand beleid te wijzigen.

Bestaand beleid bewerken

De agent kan voorstellen om een bestaand beleid te wijzigen of overlappende beleidsregels samen te stellen. Nadat u de details en impact van de beleidswijziging hebt bekeken, kunt u de suggestie toepassen op het beleid.

  • Selecteer op de pagina Beleidsdetailsde optie Suggestie Toepassen om de wijzigingen toe te passen op het beleid.

    Schermopname van een pagina met beleidsdetails wijzigen met de knop Suggestie toepassen gemarkeerd.

  • Op de pagina Beleidswijzigingen beoordelen kunt u ook onderaan de pagina de voorgestelde wijzigingen goedkeuren selecteren.

    Schermopname van de pagina Controlebeleid met de knop Voorgestelde wijzigingen goedkeuren gemarkeerd.

Aanbeveling

De gebruiker die een suggestie goedkeurt om gebruikers toe te voegen aan een beleid, wordt de eigenaar van een nieuwe groep die de gebruikers toevoegt aan een beleid.

Een nieuw beleid inschakelen

Wanneer de agent een nieuw beleid voorstelt, wordt het beleid gemaakt in de modus Alleen-rapport. Nadat u de impact van het beleid hebt bekeken, kunt u het beleid rechtstreeks vanuit de agentervaring of vanuit de lijst met beleidsregels voor voorwaardelijke toegang inschakelen.

  • Selecteer Inschakelen van beleid om de agent de wijzigingen toe te passen op het beleid in de modus 'Alleen rapport'.

  • Selecteer bij Voorwaardelijke Toegang het beleid en wijzig vervolgens de schakelaar Beleid inschakelen van Alleen-rapportage naar Aan.

    Schermopname van de wisselknop alleen voor rapporten in voorwaardelijke toegang.

Aanbeveling

Als beste praktijk moeten organisaties hun break-glass-accounts uitsluiten van het beleid om te voorkomen dat ze worden vergrendeld vanwege onjuiste configuratie.

Waarschuwing

Beleidsregels in de modus alleen-rapporteren waarvoor een compatibel apparaat is vereist, kunnen gebruikers op macOS-, iOS- en Android-apparaten vragen om een apparaatcertificaat te selecteren tijdens de beleidsevaluatie, ook al wordt apparaatcompatibiliteit niet afgedwongen. Deze prompts kunnen worden herhaald totdat het apparaat compatibel is. Als u wilt voorkomen dat eindgebruikers tijdens het aanmelden prompts ontvangen, sluit u apparaatplatforms Mac, iOS en Android uit van beleid voor alleen rapporten waarmee apparaatnalevingscontroles worden uitgevoerd.

Beleidsrapporten beoordelen

De agent voor optimalisatie van voorwaardelijke toegang detecteert ook pieken en dips in activiteiten met betrekking tot bestaand beleid. Deze afwijkingen duiden vaak op een onjuiste configuratie van een beleid dat moet worden onderzocht. Als de agent een aanzienlijke wijziging in activiteit identificeert, wordt er een rapport weergegeven in de lijst met suggesties. De rapporten zijn van toepassing op zowel actief als alleen rapportbeleid dat door de agent wordt voorgesteld in te schakelen. In de kolom Acties die door agent worden uitgevoerd , ziet u Voorgestelde beleidsbeoordeling als de waarde.

Volg deze stappen om een beleidsbeoordelingsrapport weer te geven:

  1. Kies Controleer suggestie om de details van de voorgestelde beleidscontrole weer te geven.

  2. Selecteer Rapport controleren op de pagina met beleidsdetails. Er wordt een gedetailleerd rapport met een visualisatie van de activiteit met betrekking tot het beleid weergegeven.

    Schermopname van de beleidsdetails voor een rapport met de knop Rapport controleren gemarkeerd.

  3. Bekijk het rapport en onderzoek het beleid indien nodig.

  4. Ga naar de pagina met beleidsdetails en selecteer de optie Suggestie markeren als gecontroleerd of Uitstellen gedurende 14 dagen. Desgewenst kunt u notities toevoegen over wat u hebt geleerd en eventuele wijzigingen die u aan het gerelateerde beleid hebt aangebracht.

  • Last updated on