探索条件访问优化代理

  • 10 分钟

在本练习中,你将了解嵌入在 Microsoft Entra 中的 Microsoft Security Copilot 条件访问优化智能体的关键功能。

注释

本练习的环境是从产品生成的模拟环境。 作为有限的模拟,并非所有页面上的链接都已启用,并且不支持位于指定脚本外部的基于文本的输入。 显示一个弹出窗口,指出“此功能在模拟中不可用” 消息。 收到此消息时,请选择“确定”并继续执行练习步骤。

弹出屏幕的屏幕截图,指示此功能在模拟中不可用。

练习

在本练习中,你将以 Avery Howard 的身份登录,并拥有 Copilot 所有者角色(Microsoft Entra 中的安全管理员角色),你将探索 Microsoft Security Copilot 条件访问优化智能体的关键功能。 在探索过程中,请记住,显示的信息和配置设置基于 Avery Howard 的 Copilot 所有者(安全管理员)角色。

完成本练习大约需要 10 分钟

注释

当实验室说明要求打开模拟环境的链接时,我们建议在新浏览器窗口中打开该链接,这样就可以同时查看说明和练习环境。 为此,请选择鼠标右键,然后选择该选项。

任务:探索条件访问代理

  1. 通过选择 Microsoft Entra 管理中心打开模拟环境。

  2. 可通过两种方式访问代理:

    1. 在左侧导航面板中,从“概述”选项卡中选择“条件访问”,然后选择“条件访问优化代理”。
    2. 从 Microsoft Entra 管理中心的主页面,选择转到代理页面,然后在安全 Copilot 代理页面中选择查看详细信息

  3. 查看“ 概述 ”选项卡。

    1. 智能体处于活动状态 - 记下智能体上次运行的时间和即将到来的计划。
    2. 性能亮点 - 查看代理的安全计算单元(SCU)的成本。 查看代理发现需要保护的未受保护的用户数。
    3. 关于此代理 - 代理的快速说明及其工作原理。
    4. 最近的建议 - 查看所有现有条件访问策略以及有关如何合并、更新、删除或增强这些策略的建议。
    5. 最近活动 - 条件访问优化代理运行的最后几次尝试和结果的状态。

  4. 选择“智能体处于活动状态”框内的“查看运行”链接。

  5. 查看代理的进程流,并查看自上次完成以来检测到的新信息。

    1. 请注意,正在对三种常见的访问权限优化进行搜索:
      1. 应用/应用程序偏移 – 已部署新应用程序,需要受到保护。
      2. 用户偏移 – 已找到新用户,或者用户权限已更改,使其不受策略保护。
      3. 策略合并 – 可以合并两个或多个策略,以提供相同的结果,并简化管理。

  6. 从痕迹导航中选择“条件访问优化智能体”,以返回到“概述”页

  7. 选择顶部菜单中的“ 活动 ”选项卡。 列表显示了智能体的运行时间、运行持续时间、提供的建议数量和状态。 还可以查看每个已完成运行的活动地图。

    1. 选择 “查看活动 ”以查看该运行的活动映射。
    2. 通过选择 X 关闭活动映射。

  8. 从选项卡菜单中选择 “建议 ”。

    1. 为列表中的第一个项“向现有策略添加 2 个用户:CA99 - 使用密码重置缓解风险用户”选择“查看建议”按钮。
    2. 此时会打开一个面板,其中包含有关所选建议的详细信息的“ 策略详细信息 ”选项卡。 该策略希望将两个用户添加到“CA99 - 使用密码重置策略缓解风险用户”。
    3. 选择页面顶部的“ 策略影响 ”选项卡以查看此策略随时间变化的图。
    4. 切换回 “策略详细信息 ”选项卡,然后选择 “查看策略更改 ”以查看建议的更改。
    5. 选择 “JSON 视图 ”选项卡以查看在建议获得批准后将应用的 JSON 更新。 突出显示所作更改。
    6. 通过选择页面右上角的 X 以返回到“建议”页来关闭此页面。

  9. 选择 “设置 ”选项卡以查看有关代理设置的信息。

  10. 选择屏幕右上角的“X”,返回 Security Copilots 智能体页面,该页面显示了条件访问智能体磁贴

  11. 使浏览器选项卡保持打开状态,下一个任务需要它。

任务:探索 CA-Policies 中的条件访问优化代理

  1. 在“Microsoft Entra 管理中心”页上的左侧导航面板中,选择 “条件访问 ”,然后选择“ 策略”。

  2. 查看策略列表,应会看到三种类型(需要在页面上向下滚动以查看所有类型的策略):

    1. Microsoft - Microsoft 发送的全局策略,例如“需要 MFA”。
    2. 用户 – 由组织中的授权用户创建的条件访问策略。
    3. 条件访问优化智能体 - 由智能体创建的仅用于报告的策略,供你审核。 你可以根据业务和安全目标选择应用它们。

  3. 向下滚动列表,找到我们之前查看的“CA99 - 缓解使用密码重置的用户风险”策略,并在该行项中选择新建代理建议

    1. 这一次,列出的信息包括多个建议。 条件访问优化代理在四个场合中发现了一些新用户,他们不在一个针对高风险使用的密码更改策略的范围内,并为每个用户提供了应用建议
    2. 为其中一个或多个 建议选择“应用建议 ”按钮,让代理将更改应用到策略。

  4. 退出Microsoft Entra 以完成模拟。

回顾

在本练习中,你了解了条件访问优化代理。 此代理会扫描租户中的新用户和应用程序,确定条件访问策略是否适用,建议更新适用的条件访问策略,并通过“应用建议”选项实现快速修正。 通过选择“应用建议”按钮,可为受影响的用户添加保护并改善组织的安全性。