通过

如何查看和应用来自条件访问优化代理的建议

Microsoft Entra 条件访问优化代理提供创建或更新条件访问策略的建议,并为与这些策略相关的活动创建报告。 建议内容根据代理发现的情况有所不同 作为管理员,你需要查看建议并决定该怎么做。

本文概述了建议和报表背后的逻辑,以及如何查看和处理这些建议。

重要

条件访问优化代理中的 Microsoft Teams 集成目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。

先决条件

局限性

  • 避免使用帐户设置需要通过 Privileged Identity Management (PIM) 进行角色激活的代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
  • 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
  • 对于策略合并,每个代理仅查看四组类似的策略对。
  • 当前,代理以启用它的用户身份运行。
  • 建议从 Microsoft Entra 管理中心运行代理。
  • 扫描的时间限制为 24 小时。
  • 无法自定义或替代代理的建议。
  • 代理可以在一次运行中最多查看 150 个用户和 100 个应用程序。

工作原理

代理可以运行并:

  • 不识别任何未受保护的用户或建议进行任何更改
  • 在仅报告模式下创建新的条件访问策略
  • 建议修改现有策略
  • 建议合并重叠策略
  • 识别与现有策略相关的活动的峰值或下降

我们希望尽可能多地提供有关用于标识建议的逻辑的信息,因为条件访问策略可能很复杂。 对于每个建议,代理都提供详细的推理、策略影响摘要和策略的详细信息。 最佳做法是,在将建议或更改仅报告策略应用于活动策略之前,请查看提供的信息。

查看建议和代理逻辑

选择 “查看建议 ”以查看建议的彻底概述,包括用于识别建议的逻辑以及策略的潜在影响。 策略建议详细信息中的可用选项因建议类型而异。 例如,新的策略建议包括 “启用策略 ”按钮,而修改现有策略的建议包括 “添加帐户 ”按钮,用于添加要从策略中排除的用户或组。

策略详细信息

建议的默认视图提供策略详情,顶部是简要描述,随后是构成该策略的详细内容

打开策略建议详细信息的代理的屏幕截图。

从策略详细信息中,可以使用多个选项对建议采取措施。 在页面顶部,可以编辑、复制、下载或删除策略。 还可以将 聊天与代理功能配合使用

策略详细信息的屏幕截图,其中突出显示了按钮。

在策略建议摘要下方,可以执行以下作:

  • 查看策略更改:查看建议的摘要或 JSON 详细信息。“ 查看策略更改 ”部分中介绍的更多详细信息。
  • 启用策略:启用代理在仅限报表模式下创建的新策略。
  • 将建议标记为已审阅:从 “打开策略 ”按钮上的向下箭头中进行选择,指示你已查看建议而不应用建议。
  • 推迟 14 天:在启用策略按钮上选择向下箭头,以暂时隐藏建议。 建议在 14 天后重新出现在列表中。
  • 查看代理的完整活动:查看完整活动和决策。 更多详细信息如查看代理的完整活动部分中所述。
  • 添加备注:选择笔和纸张图标以添加有关其他管理员审阅的建议的备注

策略建议详细信息页是详细的,并提供做出有关建议的明智决策所需的每个选项。 但是,如果需要更多信息,还可以查看策略影响,并查看有关代理活动的详细信息。 询问 Copilot 此文件差异

策略影响

在打开的详细信息面板中,选择 “策略影响 ”以查看策略的潜在影响的可视化效果。

根据需要调整筛选器和显示。 选择图形上的点以查看策略影响的数据示例。 例如,对于要求多重身份验证的策略(MFA),该图显示了未应用条件访问策略的登录事件示例。 有关详细信息,请参阅 策略影响

查看代理的完整活动

若要查看代理活动的详细摘要及其计算建议的方式,请选择 “查看代理的完整活动”。 代理的活动评估用户和应用的策略覆盖范围中的策略偏差或差距。 代理还会查找可以合并或整合的策略。

代理活动映射的屏幕截图,其中突出显示了可单击的用户列表选项。

如果策略建议包括将特定用户或应用程序添加到策略,则可以直接从地图查看应用程序或用户列表。 例如,在以下示例中,你将选择 8 个用户 链接,以查看代理标识为未包含在策略中的 8 个用户。

代理活动映射的屏幕截图。

代理活动的摘要是地图中说明的活动的自然语言说明。 这些详细信息可帮助你了解建议背后的逻辑,以便就是否应用建议做出明智的决策。

查看策略更改

如果代理建议修改现有策略,请选择“ 查看策略更改 ”以查看建议更改的详细信息。 此页面列出了应用建议时将更改的策略的用户、目标资源和其他详细信息。

  • 策略详细信息作为所有更改的详细信息列表和整个策略的 JSON 视图提供,其中突出显示了更改。
  • 对于影响用户或应用程序的策略更改,可以下载受策略更改影响的用户和应用程序的 JSON 文件。

深度分析

深度分析对条件访问策略进行深入审查,涵盖阻止旧式身份验证、阻止设备控制流程,以及需要设备或 MFA 控制的策略等方案。 它会评估目标用户、组和角色,以确定覆盖差距、重叠或冗余策略以及整合机会。 它还会分析排除策略,标记那些排除大部分用户的策略,并建议显式排除紧急访问帐户,以减少意外锁定的风险。

由于深入分析带来的策略建议可能对环境产生重大影响,因此请考虑使用“推迟”选项来及时调查建议和“备注”选项,以便为决策过程提供上下文和理由。

采纳建议

应用建议的体验取决于代理是在仅报告模式下创建新策略还是建议修改现有策略。

修改现有策略

代理可以建议修改现有策略或合并重叠策略。 查看策略更改的详细信息和影响后,可以将建议应用于策略。

  • “策略详细信息 ”页中,选择 “应用建议 ”以将更改应用于策略。

“修改策略详细信息”页的屏幕截图,其中突出显示了“应用建议”按钮。

  • “审阅策略更改 ”页中,还可以从页面底部选择 “批准建议的更改 ”。

“审阅策略”页的屏幕截图,其中突出显示了“批准建议的更改”按钮。

启用新策略

当代理建议新策略时,它会在仅报告模式下创建策略。 查看策略影响后,可以直接从代理体验或条件访问策略列表中打开策略。

  • 选择 “启用策略 ”,让代理 在仅报告模式下对策略应用更改。

策略详细信息的屏幕截图,其中突出显示了“启用策略”按钮。

  • 在“条件访问”中选择策略,然后将“启用策略”切换从“仅报告”改为“启用

条件访问中仅报告模式切换的屏幕截图。

小窍门

最佳做法是,组织应将其不受限帐户排除在策略之外,以避免因配置不当而被锁定。

警告

仅报告模式下要求合规设备的策略可能会提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可能会重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除设备平台 Mac、iOS 和 Android。

Microsoft Teams 代理建议通知(预览版)

Microsoft Teams 可用于在提供新建议时接收来自条件访问优化代理的通知。 此预览功能允许在代理标识新建议时配置想要接收通知的人员。 目前,Teams 集成提供与代理的一种单向通信,并直接链接到 Microsoft Entra 管理中心中的策略建议。

有关详细信息,请参阅条件访问优化代理“通知”部分。

查看策略报告

条件访问优化代理还会检测与现有策略相关的活动的峰值和下降。 这些异常通常表示需要调查的策略配置错误。 如果代理识别到活动的显著变化,建议列表中会显示一份报告。 报告适用于代理建议启用的活动策略和仅限报告的策略。 在 代理执行的操作 列中,你将看到 “建议的策略评审” 作为值。

若要查看策略评审报告,请执行以下步骤:

  1. 选择 “审阅建议 ”以查看建议的策略评审的详细信息。

  2. 在“策略详细信息”页上,选择“ 查看报表”。 将显示一份详细报表,其中包含策略相关活动的可视化内容。

    报表的策略详细信息的屏幕截图,其中突出显示了“审阅报表”按钮。

  3. 查看报告并根据需要调查策略。

  4. 在“策略详细信息”页中,选择 “将建议标记为已审阅 ”或“ 推迟”14 天。 (可选)可以添加有关所学内容的说明以及对相关策略所做的任何更改。

  • Last updated on