Condividi tramite

Impostazioni dell'agente di ottimizzazione dell'accesso condizionale

L'agente di ottimizzazione dell'accesso condizionale consente alle organizzazioni di migliorare il comportamento di sicurezza analizzando i criteri di accesso condizionale per individuare lacune, sovrapposizioni ed eccezioni. Poiché l'accesso condizionale diventa un componente centrale della strategia Zero Trust di un'organizzazione, le funzionalità dell'agente devono essere configurabili per soddisfare le esigenze specifiche dell'organizzazione.

Le impostazioni dell'agente descritte in questo articolo illustrano le opzioni standard, ad esempio trigger, notifiche e ambito. Le impostazioni includono tuttavia opzioni avanzate, ad esempio istruzioni personalizzate, integrazioni di Intune e autorizzazioni.

Importante

L'integrazione di ServiceNow e la funzionalità di caricamento dei file nell'agente di ottimizzazione dell'accesso condizionale sono attualmente disponibili in ANTEPRIMA. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.

Come configurare le impostazioni dell'agente

È possibile accedere alle impostazioni da due posizioni nell'interfaccia di amministrazione di Microsoft Entra:

  • Da Agenti>Agente di ottimizzazione dell'accesso condizionale>Impostazioni.
  • In Accesso Condizionale> selezionare la scheda agente di ottimizzazione dell'accesso condizionale sotto Riepilogo dei criteri>Impostazioni.

Screenshot dell'opzione di attivazione nelle impostazioni dell'agente di Ottimizzazione Accesso Condizionale.

Selezionare la categoria dal menu a sinistra per spostarsi tra tutte le impostazioni. Dopo aver apportato le modifiche, selezionare il pulsante Salva nella parte inferiore della pagina.

Attivatore

L'agente è configurato per l'esecuzione ogni 24 ore, in base alla configurazione iniziale. È possibile eseguire manualmente l'agente in qualsiasi momento.

Capacità

La categoria Funzionalità include impostazioni importanti da rivedere.

  • Oggetti Microsoft Entra da monitorare: usare le caselle di controllo per specificare cosa deve monitorare l'agente per formulare raccomandazioni sui criteri. Per impostazione predefinita, l'agente cerca sia nuovi utenti che applicazioni nel tenant nel periodo precedente di 24 ore.
  • Funzionalità dell'agente: per impostazione predefinita, l'agente di ottimizzazione dell'accesso condizionale può creare nuovi criteri in modalità solo report. È possibile modificare questa impostazione in modo che un amministratore debba approvare il nuovo criterio prima della creazione. La politica viene comunque creata in modalità solo report, però solamente dopo l'approvazione dell'amministratore. Dopo aver esaminato l'impatto della politica, è possibile attivare la politica direttamente dall'interfaccia dell'agente o da Accesso Condizionale.
  • Implementazione in più fasi: quando l'agente crea un nuovo criterio in modalità solo report e tale criterio soddisfa i criteri per un'implementazione in più fasi, i criteri vengono implementati in fasi, in modo da poter monitorare l'effetto dei nuovi criteri. L'implementazione in più fasi è attivata per impostazione predefinita. Per altre informazioni, vedere Implementazione in più fasi dell'agente di ottimizzazione dell'accesso condizionale.

Screenshot delle impostazioni delle funzionalità dell'agente di ottimizzazione dell'accesso condizionale.

Notifications

L'agente di ottimizzazione dell'accesso condizionale può inviare notifiche tramite Microsoft Teams a un set selezionato di destinatari. Con l'app agente di accesso condizionale in Microsoft Teams, i destinatari ricevono notifiche direttamente nella chat di Teams quando l'agente visualizza un nuovo suggerimento.

Per aggiungere l'app agente a Microsoft Teams:

  1. In Microsoft Teams selezionare App dal menu di spostamento a sinistra e cercare e selezionare l'agente di accesso condizionale.

    Screenshot del pulsante App per l'accesso condizionale in Teams.

  2. Selezionare il pulsante Aggiungi , quindi selezionare il pulsante Apri per aprire l'app.

  3. Per semplificare l'accesso all'app, fare clic con il pulsante destro del mouse sull'icona dell'app nel menu di spostamento a sinistra e scegliere Aggiungi.

Per configurare le notifiche nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale:

  1. Nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale selezionare il collegamento Seleziona utenti e gruppi .

  2. Selezionare gli utenti o i gruppi da ricevere notifiche, quindi selezionare il pulsante Seleziona .

    Screenshot dell'impostazione Agente di accesso condizionale per selezionare gli utenti e i gruppi per le notifiche.

  3. Nella parte inferiore della pagina principale Impostazioni selezionare il pulsante Salva .

È possibile selezionare fino a 10 destinatari per ricevere notifiche. È possibile selezionare un gruppo per ricevere le notifiche, ma l'appartenenza di tale gruppo non può superare i 10 utenti. Se si seleziona un gruppo con meno di 10 utenti ma più vengono aggiunti in un secondo momento, il gruppo non riceve più notifiche. Analogamente, le notifiche possono essere inviate solo a cinque oggetti, ad esempio una combinazione di singoli utenti o gruppi. Per interrompere la ricezione delle notifiche, rimuovere l'oggetto utente o il gruppo in cui si è inclusi dall'elenco del destinatario.

Al momento, la comunicazione dell'agente è un'unica direzione, quindi è possibile ricevere notifiche ma non rispondere a tali notifiche in Microsoft Teams. Per intervenire su un suggerimento, selezionare Rivedi suggerimento dalla chat per aprire l'agente di ottimizzazione dell'accesso condizionale nell'interfaccia di amministrazione di Microsoft Entra.

Screenshot del messaggio di notifica dell'agente per l'accesso condizionale in Teams.

Origini delle informazioni

L'agente di ottimizzazione dell'accesso condizionale può attingere da due diverse fonti di conoscenza per fornire suggerimenti personalizzati per l'unica configurazione dell'organizzazione.

Istruzioni personalizzate

È possibile personalizzare i criteri in base alle proprie esigenze usando il campo Facoltativo Istruzioni personalizzate . Questa impostazione consente di fornire un prompt all'agente come parte della sua esecuzione. Queste istruzioni possono essere usate per:

  • Includere o escludere utenti, gruppi e ruoli specifici
  • Escludere gli oggetti dall'essere considerati dall'agente o dall'essere aggiunti ai criteri di accesso condizionale
  • Applicare eccezioni a criteri specifici, ad esempio l'esclusione di un gruppo specifico da un criterio, la richiesta di autenticazione a più fattori o la richiesta di criteri di gestione delle applicazioni mobili.

È possibile immettere il nome o l'ID oggetto nelle istruzioni personalizzate. Entrambi i valori vengono convalidati. Se si aggiunge il nome del gruppo, l'ID oggetto per tale gruppo viene aggiunto automaticamente per conto dell'utente. Istruzioni personalizzate di esempio:

  • "Escludi gli utenti nel gruppo "Break Glass" da qualsiasi criterio che richiede l'autenticazione a più fattori.
  • Escludere l'utente con ID oggetto dddddddd-3333-4444-5555-eeeeeeeeeeee da tutti i criteri.

Uno scenario comune da considerare è se l'organizzazione ha molti utenti guest che non si vuole che l'agente suggerisca l'aggiunta ai criteri di accesso condizionale standard. Se l'agente funziona e rileva nuovi utenti guest non coperti dai criteri consigliati, le SCU vengono utilizzate per suggerire di includere quegli utenti guest nei criteri che non sono necessari. Per impedire che gli utenti guest vengano considerati dall'agente:

  1. Creare un gruppo dinamico denominato "Guest" in cui (user.userType -eq "guest").
  2. Aggiungere un'istruzione personalizzata, in base alle esigenze.
    • "Escludere il gruppo "Guest" dalla considerazione dell'agente.
    • "Escludi il gruppo "Guest" da qualsiasi criterio di gestione delle applicazioni mobili.

Per altre informazioni su come usare istruzioni personalizzate, vedere il video seguente.

Alcuni contenuti nel video, ad esempio gli elementi dell'interfaccia utente, sono soggetti a modifiche quando l'agente viene aggiornato di frequente.

File (Anteprima)

L'agente di ottimizzazione dell'accesso condizionale include un meccanismo per fornire istruzioni specifiche sull'organizzazione. Queste istruzioni possono includere informazioni quali convenzioni di denominazione dei criteri di accesso condizionale, procedure univoche e struttura organizzativa, in modo che i suggerimenti dell'agente siano ancora più rilevanti per l'ambiente. Questi file caricati costituiscono la Knowledge Base per l'agente. Per altre informazioni, vedere Knowledge Base dell'agente di ottimizzazione dell'accesso condizionale.

Importante

I dati rimangono all'interno dell'agente e non vengono usati per il training del modello.

Per aggiungere un file alla Knowledge Base:

  1. Passare a Agente di ottimizzazione dell'accesso condizionale>Impostazioni>File.
  2. Selezionare il pulsante Carica .
  3. Trascinare e rilasciare il file nel pannello che si apre o selezionare l'opzione Carica file per individuare il file nel computer.

L'agente elabora il file e lo analizza per assicurarsi che includa le informazioni necessarie.

Plugins

Oltre alle integrazioni predefinite di Intune e Accesso sicuro globale , l'agente di ottimizzazione dell'accesso condizionale fornisce anche integrazioni esterne per semplificare i flussi di lavoro esistenti.

Integrazione di ServiceNow (anteprima)

Le organizzazioni che usano il plug-in ServiceNow per Security Copilot possono ora avere l'agente di ottimizzazione dell'accesso condizionale creare richieste di modifica di ServiceNow per ogni nuovo suggerimento generato dall'agente. Questa funzionalità consente ai team IT e alla sicurezza di tenere traccia, esaminare e approvare o rifiutare i suggerimenti degli agenti all'interno dei flussi di lavoro di ServiceNow esistenti. Al momento sono supportate solo le richieste di modifica .CHG.

Per usare l'integrazione di ServiceNow, l'organizzazione deve avere configurato il plug-in ServiceNow .

Screenshot delle impostazioni di integrazione di ServiceNow.

Quando il plug-in ServiceNow è attivato nelle impostazioni dell'agente di ottimizzazione dell'accesso condizionale, ogni nuovo suggerimento dell'agente crea una richiesta di modifica di ServiceNow. La richiesta di modifica include informazioni dettagliate sul suggerimento, ad esempio il tipo di criteri, gli utenti o i gruppi interessati e la logica alla base della raccomandazione. L'integrazione fornisce anche un ciclo di feedback: l'agente monitora lo stato della richiesta di modifica di ServiceNow e può implementare automaticamente la modifica quando la richiesta di modifica viene approvata.

Screenshot dell'integrazione di ServiceNow all'interno di un suggerimento dell'agente.

Permissions

Questa sezione delle configurazioni dell'agente descrive l'identità con cui l'agente viene eseguito e le autorizzazioni necessarie per il suo funzionamento.

Identità dell'agente

L'agente di ottimizzazione dell'accesso condizionale supporta ora l'ID agente di Microsoft Entra, consentendo l'esecuzione dell'agente con la propria identità anziché con l'identità di un utente specifico. Questa funzionalità migliora la sicurezza, semplifica la gestione e offre maggiore flessibilità.

Selezionare Gestisci identità agente per visualizzare i dettagli dell'agente in ID agente Microsoft Entra.

Screenshot della vista delle impostazioni dell'agente per le autorizzazioni e le identità.png

  • Per impostazione predefinita, le nuove installazioni dell'agente usano un'identità dell'agente.
  • Le installazioni esistenti possono passare dal contesto utente per l'esecuzione in un'identità agente in qualsiasi momento.
    • Questa modifica non influisce sulla creazione di report o sull'analisi.
    • I criteri e le raccomandazioni esistenti rimangono invariati.
    • I clienti non possono tornare al contesto utente precedente.
    • Gli amministratori con il ruolo Amministratore della sicurezza possono apportare questa modifica. Selezionare Crea identità agente dal messaggio banner nella pagina dell'agente o nella sezione Identità e autorizzazioni delle impostazioni dell'agente.

L'attivazione e l'uso dell'agente di ottimizzazione dell'accesso condizionale richiedono anche i ruoli di Security Copilot. Per impostazione predefinita, l'amministratore della sicurezza ha accesso a Security Copilot. È possibile assegnare agli amministratori dell'accesso condizionale l'accesso a Security Copilot. Questa autorizzazione offre agli amministratori dell'accesso condizionale anche la possibilità di usare l'agente. Per altre informazioni, vedere Assegnare l'accesso al Copilot di Sicurezza.

Autorizzazioni dell'agente

L'identità dell'agente usa le autorizzazioni seguenti per eseguire le attività. Queste autorizzazioni vengono assegnate automaticamente quando si crea l'identità dell'agente.

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

Users

L'agente di ottimizzazione dell'accesso condizionale usa il controllo degli accessi in base al ruolo per usare l'agente. Il ruolo con privilegi minimi necessari per usare l'agente è Amministratore accesso condizionale.

  • Last updated on