Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente di ottimizzazione Accesso condizionale di Microsoft Entra consente di garantire che tutti gli utenti, le applicazioni e le identità degli agenti siano protetti dai criteri di accesso condizionale. L'agente può consigliare nuovi criteri e aggiornare i criteri esistenti, in base alle migliori pratiche allineate al Zero Trust e alle conoscenze di Microsoft. L'agente crea anche report di revisione dei criteri (anteprima), che forniscono informazioni dettagliate su picchi o cali che potrebbero indicare una configurazione errata dei criteri.
L'agente di ottimizzazione dell'accesso condizionale valuta criteri come:
- Richiesta dell'autenticazione a più fattori (MFA).
- Applicazione di controlli basati su dispositivo (conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio).
- Blocco dell'autenticazione legacy e del flusso del codice del dispositivo.
L'agente valuta anche tutti i criteri abilitati esistenti per proporre un potenziale consolidamento di criteri simili. Quando l'agente identifica un suggerimento, è possibile che l'agente aggiorni i criteri associati con una correzione con un clic.
Importante
L'integrazione di ServiceNow, la funzionalità di caricamento di file e le esecuzioni basate sull'attività nell'agente di ottimizzazione dell'accesso condizionale sono attualmente in anteprima. Queste informazioni si riferiscono a un prodotto in fase di pre-rilascio che potrebbe essere modificato notevolmente prima del rilascio. Microsoft non fornisce alcuna garanzia, espressa o implicita, in relazione alle informazioni fornite qui.
Prerequisiti
- È necessario avere almeno la licenza Microsoft Entra ID P1 .
- È necessario disporre di unità di calcolo di sicurezza (SCU) disponibili. In media, ogni esecuzione dell'agente utilizza meno di un SCU.
- È necessario disporre del ruolo Microsoft Entra appropriato.
- Per attivare l'agente per la prima volta, è necessario un ruolo di amministratore della sicurezza.
- I ruoli con autorizzazioni di lettura per la sicurezza e lettore globale possono visualizzare l'agente e tutti i suggerimenti, ma non possono eseguire alcuna azione.
- I ruoli Amministratore accesso condizionale e Amministratore della sicurezza possono visualizzare l'agente e intervenire sui suggerimenti.
- È possibile assegnare Amministratori di accesso condizionale con accesso Microsoft Security Copilot, che consente agli amministratori dell'accesso condizionale di usare l'agente.
- Per altre informazioni sui ruoli, vedere Assign Security Copilot access.
- I controlli basati su dispositivo richiedono licenze di Microsoft Intune.
- Vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.
Limitazioni
- Una volta avviato l'agente, non è possibile arrestare o sospendere l'esecuzione. L'esecuzione potrebbe richiedere alcuni minuti.
- Per il consolidamento delle policy, ogni esecuzione dell'agente valuta 40 coppie di policy simili.
- È consigliabile eseguire l'agente dall'interfaccia di amministrazione di Microsoft Entra.
- La scansione è limitata a un periodo di 24 ore.
- Non è possibile personalizzare o sostituire i suggerimenti dell'agente.
- L'agente può esaminare fino a 300 utenti e 150 applicazioni in un'unica esecuzione.
Come funziona
L'agente di ottimizzazione dell'accesso condizionale analizza il tenant per individuare nuovi utenti, applicazioni e identità agente delle ultime 24 ore e determina se sono applicabili i criteri di accesso condizionale. Se l'agente trova utenti, applicazioni o identità agente che i criteri di accesso condizionale non coprono, fornisce i passaggi successivi suggeriti.
Un passaggio successivo potrebbe attivare o modificare un criterio di accesso condizionale. È possibile esaminare il suggerimento, il modo in cui l'agente ha identificato la soluzione e quali criteri includerebbero.
Ogni volta che viene eseguito l'agente, vengono eseguiti i passaggi seguenti. Questi passaggi iniziali di scansione non consumano alcuna SCU.
- L'agente analizza tutti i criteri di accesso condizionale nel tenant.
- L'agente verifica la presenza di lacune nei criteri e se è possibile combinare criteri.
- L'agente esamina i suggerimenti precedenti in modo che non suggerisca di nuovo lo stesso criterio.
Se l'agente identifica qualcosa che non aveva suggerito in precedenza, adotta i seguenti passaggi. Questi passaggi di azione dell'agente consumano SCUs.
- L'agente identifica un gap di criteri o una coppia di criteri che possono essere consolidati.
- L'agente valuta le istruzioni personalizzate fornite.
- L'agente crea un nuovo criterio in modalità solo report o fornisce il suggerimento di modificare un criterio, inclusa qualsiasi logica nelle istruzioni personalizzate.
Annotazioni
Security Copilot richiede che sia stato effettuato il provisioning di almeno una SCU nel tenant. Questa SCU viene fatturata ogni mese, anche se non se ne utilizzi alcuna. La disattivazione dell'agente non arresta la fatturazione mensile per SCU.
I suggerimenti sui criteri dell'agente includono:
- Richiedi autenticazione a più fattori: l'agente identifica gli utenti che non sono coperti da un criterio di accesso condizionale che richiede l'autenticazione a più fattori e può aggiornare i criteri.
- Richiedi controlli basati su dispositivo: l'agente può applicare controlli basati su dispositivo, ad esempio conformità dei dispositivi, criteri di protezione delle app e dispositivi aggiunti a un dominio.
- Blocca l'autenticazione legacy: gli account utente con autenticazione legacy non possono accedere.
- Blocca il flusso del codice del dispositivo: l'agente cerca un criterio che blocca il flusso del codice del dispositivo.
- Utenti a rischio: l'agente suggerisce un criterio per richiedere la modifica della password sicura per gli utenti ad alto rischio. Richiede una licenza Microsoft Entra ID P2.
- Accessi rischiosi: l'agente suggerisce un criterio che richiede l'autenticazione a più fattori per gli accessi ad alto rischio. Richiede una licenza Microsoft Entra ID P2.
- Agenti rischiosi: l'agente suggerisce un criterio per bloccare l'autenticazione per gli accessi ad alto rischio. Richiede una licenza Microsoft Entra ID P2.
- Consolidamento dei criteri: l'agente analizza i criteri e identifica le impostazioni sovrapposte. Ad esempio, se si dispone di più di un criterio con gli stessi controlli di concessione, l'agente suggerisce di consolidare tali criteri in uno.
- Analisi approfondita: l'agente valuta i criteri che corrispondono agli scenari chiave per identificare i criteri outlier con più di un numero consigliato di eccezioni (causando lacune impreviste nella copertura) o nessuna eccezione (con conseguente possibile blocco).
- Analisi approfondita delle lacune nella copertura MFA: l'agente analizza tutti i criteri di accesso condizionale abilitati nel tenant per identificare gli utenti non coperti da alcun criterio MFA. Questa scansione include gli utenti esclusi dai criteri di baseline, non rilevati nell'appartenenza ai gruppi o che sfuggono alle lacune tra criteri sovrapposti. A differenza delle analisi standard, questa analisi valuta l'intera configurazione del tenant e non è limitata alle ultime 24 ore.
- Accesso con privilegi minimi per le identità agente (preview): L'agente identifica le identità agente con autorizzazioni Microsoft Graph inutilizzate o eccessive. Consiglia quindi l'imposizione dei privilegi minimi, ad esempio la rimozione di autorizzazioni inutilizzate o la sostituzione di autorizzazioni generali con quelle più specifiche.
Importante
L'agente non apporta modifiche ai criteri esistenti, a meno che un amministratore non approvi esplicitamente il suggerimento.
Tutti i nuovi criteri suggeriti dall'agente vengono creati in modalità solo report.
È possibile consolidare due criteri se sono diversi da non più di due condizioni o controlli.
Come iniziare
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Nella nuova home page selezionare Vai agli agenti dalla scheda di notifica dell'agente.
È anche possibile selezionare Agenti dal menu a sinistra.
Nel riquadro Dell'agente di ottimizzazione dell'accesso condizionale selezionare Visualizza dettagli.
Selezionare Avvia agente per iniziare la prima esecuzione.
Nella scheda Panoramica dell'agente vengono visualizzati i suggerimenti nella casella Suggerimenti recenti . È quindi possibile esaminare i criteri, determinare l'impatto dei criteri e applicare le modifiche, se necessario. Per altre informazioni, vedere Esaminare e applicare suggerimenti dall'agente di ottimizzazione dell'accesso condizionale.
Settings
L'agente include diverse impostazioni avanzate per espandere le funzionalità, rendendole uniche per l'organizzazione. È possibile configurare le funzionalità seguenti nella scheda Impostazioni . Per altre informazioni, vedere Impostazioni dell'agente di ottimizzazione dell'accesso condizionale.
- Consenti all'agente di eseguirsi automaticamente ogni 24 ore.
- Abilitare le esecuzioni basate su attività per attivare l'agente quando si verificano modifiche del tenant pertinenti (anteprima).
- Impostare l'agente per verificare la presenza di modifiche apportate a utenti e applicazioni.
- Consentire all'agente di creare criteri in modalità di solo report.
- Consentire all'agente di inviare notifiche tramite Microsoft Teams.
- Consentire all'agente di creare piani di implementazione in più fasi.
- Consentire all'agente di creare campagne per l'adozione delle passkey.
- Abilitare l'integrazione con ServiceNow per la creazione automatica dei ticket.
- Fornisci fonti di conoscenza all'agente per suggerimenti specifici per l'organizzazione.
- Visualizza il dashboard insights per monitorare i miglioramenti Zero Trust guidati dall'agente al livello di sicurezza (anteprima).
Integrazioni predefinite
L'agente di ottimizzazione dell'accesso condizionale può inviare suggerimenti per i criteri per le organizzazioni che usano Intune per la gestione dei dispositivi e l'accesso sicuro globale per l'accesso alla rete.
Integrazione di Intune
L'agente di ottimizzazione dell'accesso condizionale si integra con Intune per:
- Monitorare la conformità dei dispositivi e i criteri di protezione delle applicazioni configurati in Intune.
- Identificare potenziali lacune nell'applicazione dell'accesso condizionale.
Questo approccio proattivo e automatizzato garantisce che i criteri di accesso condizionale rimangano allineati agli obiettivi di sicurezza dell'organizzazione e ai requisiti di conformità. I suggerimenti dell'agente sono gli stessi degli altri suggerimenti per i criteri, ad eccezione del fatto che Intune fornisce parte del segnale all'agente.
I suggerimenti dell'agente per gli scenari di Intune riguardano specifici gruppi di utenti e piattaforme (iOS o Android). Ad esempio, l'agente identifica un criterio Intune attivo per la protezione delle app rivolto al gruppo Finance, ma determina che non esiste alcun criterio di Accesso condizionale sufficientemente restrittivo che imponga la protezione delle app. L'agente crea un criterio solo di report che richiede agli utenti di accedere alle risorse soltanto attraverso applicazioni conformi sui dispositivi iOS.
Per identificare i criteri di conformità dei dispositivi e protezione delle app di Intune, l'agente deve essere in esecuzione come amministratore globale o amministratore dell'accesso condizionale e lettore globale. Il ruolo di Amministratore di Accesso condizionale non è di per sé sufficiente affinché l'agente possa generare suggerimenti di Intune.
Integrazione globale dell'accesso sicuro
Accesso a Internet Microsoft Entra e Accesso privato Microsoft Entra (collettivamente noto come Accesso sicuro globale) si integrano con l'agente di ottimizzazione dell'accesso condizionale per fornire suggerimenti specifici per i criteri di accesso alla rete dell'organizzazione. Il suggerimento Attiva nuovi criteri per applicare i requisiti di accesso alla rete di Accesso sicuro globale consente di allineare i criteri di accesso sicuro globale che includono percorsi di rete e applicazioni protette.
Con questa integrazione, l'agente identifica gli utenti o i gruppi che non sono coperti da criteri di accesso condizionale per richiedere l'accesso alle risorse aziendali solo tramite canali di accesso sicuro globale approvati. Questo criterio richiede agli utenti di connettersi alle risorse aziendali usando la rete sicura di Accesso sicuro globale dell'organizzazione prima di accedere alle app e ai dati aziendali. Agli utenti che si connettono da reti non gestite o non attendibili viene richiesto di usare il client o il gateway Web di Accesso sicuro globale. È possibile esaminare i log di accesso per verificare le connessioni conformi.
Rimozione dell'agente
Se non si vuole più usare l'agente di ottimizzazione dell'accesso condizionale, selezionare Rimuovi agente nella parte superiore della finestra dell'agente. I dati esistenti (attività, suggerimenti e metriche dell'agente) vengono rimossi, ma tutti i criteri creati o aggiornati in base ai suggerimenti dell'agente rimangono intatti. I suggerimenti applicati in precedenza rimangono invariati, quindi è possibile continuare a usare i criteri creati o modificati dall'agente.
Fornire commenti e suggerimenti
Per fornire commenti e suggerimenti Microsoft sull'agente, usare il pulsante Give Microsoft feedback nella parte superiore della finestra dell'agente.
FAQs
Quando è consigliabile usare l'agente di ottimizzazione dell'accesso condizionale e Copilot Chat?
L'agente di ottimizzazione dell'accesso condizionale e Microsoft Copilot Chat forniscono informazioni dettagliate diverse sui criteri di accesso condizionale. Nella tabella seguente vengono confrontate le due funzionalità.
| Scenario | Agente di ottimizzazione dell'accesso condizionale | Copilot Chat |
|---|---|---|
| Scenari generici | ||
| Configurazione specifica del tenant | ✅ | |
| Ragionamento avanzato | ✅ | |
| Informazioni dettagliate su richiesta | ✅ | |
| Risoluzione dei problemi interattivi | ✅ | |
| Valutazione continua dei criteri | ✅ | |
| Suggerimenti automatizzati per il miglioramento | ✅ | |
| Linee guida sulle procedure consigliate e sulla configurazione dell'autorità di certificazione | ✅ | ✅ |
| Scenari specifici | ||
| Identificazione proattiva di utenti o applicazioni non protetti | ✅ | |
| Applicazione dell'autenticazione a più fattori e di altri controlli di base per tutti gli utenti | ✅ | |
| Monitoraggio continuo e ottimizzazione delle politiche di Accesso Condizionale | ✅ | |
| Modifiche ai criteri con un clic | ✅ | |
| Revisione dei criteri e delle assegnazioni ca esistenti ("I criteri si applicano ad Alice?") | ✅ | ✅ |
| Risoluzione dei problemi di accesso di un utente ("Perché Alice ha richiesto l'autenticazione a più fattori?") | ✅ |
L'agente è stato attivato, ma lo stato dell'attività è Fail. Cosa sta succedendo?
È possibile che l'agente sia stato attivato prima di Microsoft Ignite 2025 usando un account che richiede l'attivazione del ruolo con Privileged Identity Management (PIM). Quindi, quando l'agente ha tentato di eseguire, non è riuscito perché l'account non dispone delle autorizzazioni necessarie in quel momento. Un agente di ottimizzazione dell'accesso condizionale attivato dopo il 17 novembre 2025 non usa più l'identità dell'utente che l'ha attivata.
È possibile risolvere questo problema eseguendo la migrazione a Microsoft Entra Agent ID. Selezionare Crea identità agente dal messaggio banner nella pagina dell'agente o nella sezione Identità e autorizzazioni delle impostazioni dell'agente.