此条件访问策略模板阻止 Microsoft Entra ID Protection 检测到高风险的代理标识,帮助防止可能泄露的 AI 代理访问组织的资源。
模板部署
组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。
创建条件访问策略
- 至少以条件访问管理员的身份登录到Microsoft Entra 管理中心。
- 请导航到 Entra ID>条件访问>策略。
- 选择“新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在 “分配”下,选择“ 用户”、“代理”(预览版)或工作负荷标识。
- 在“此策略适用于什么?”下,选择“代理”(预览版)。
- 在“包括”下,选择“所有代理标识”(预览版)。
- 在“此策略适用于什么?”下,选择“代理”(预览版)。
- 在“目标资源”下,选择以下选项:
- 选择此策略适用于 资源(以前是云应用)的内容。
- 包括 所有资源(以前为“所有云应用”)。
- 在 条件>代理风险(预览版)下,将 “配置 ”设置为 “是”。
- 在 “配置强制实施策略所需的代理风险级别”下,选择“ 高”。 本指南基于Microsoft建议,对于每个组织来说可能有所不同。
- 在“访问控制”>“授予”下。
- 选择“冻结”。
- 选择 选择。
- 确认设置,然后将“启用策略”设置为“只限报告”。
- 选择“ 创建 ”以启用策略。
使用 策略影响或仅报告模式确认设置后,将 “启用策略” 开关从“ 仅报告” 移动到“ 开”。