Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Microsoft Entra Voorwaardelijke toegang Optimization Agent helpt u ervoor te zorgen dat alle gebruikers, toepassingen en agent-identiteiten worden beveiligd door beleid voor voorwaardelijke toegang. De agent kan nieuwe beleidsregels aanbevelen en bestaand beleid bijwerken, op basis van best practices die zijn afgestemd op zero Trust en de bevindingen van Microsoft. De agent maakt ook beleidsbeoordelingsrapporten (preview), die inzicht bieden in pieken of dips die kunnen duiden op een onjuiste configuratie van beleid.
De agent voor optimalisatie van voorwaardelijke toegang evalueert beleidsregels zoals:
- Meervoudige verificatie (MFA) vereisen.
- Het afdwingen van op apparaten gebaseerde maatregelen (naleving van apparaten, beleidsregels voor app-beveiliging en domeingekoppelde apparaten).
- Verouderde verificatie en apparaatcodestroom blokkeren.
De agent evalueert ook alle bestaande ingeschakelde beleidsregels om mogelijke samenvoeging van vergelijkbare beleidsregels voor te stellen. Wanneer de agent een suggestie identificeert, kunt u het bijbehorende beleid met één klik bijwerken.
Belangrijk
De ServiceNow-integratie, mogelijkheid voor het uploaden van bestanden en uitvoeringen op basis van activiteiten in de agent voor optimalisatie van voorwaardelijke toegang zijn momenteel in preview. Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd vóór de release. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Vereiste voorwaarden
- U moet ten minste de Licentie voor Microsoft Entra ID P1 hebben.
- U moet beschikken over beveiligingscompute-eenheden (SCU's). Gemiddeld verbruikt elke agentuitvoering minder dan één SCU.
- U moet de juiste Microsoft Entra-rol hebben.
- De rol Beveiligingsbeheerder is vereist om de agent de eerste keer te activeren.
- De rollen Beveiligingslezer en Globale lezer kunnen de agent en eventuele suggesties bekijken, maar kunnen geen actie ondernemen.
- Beheerder voor voorwaardelijke toegang en Beveiligingsbeheerder rollen kunnen de agent bekijken en actie ondernemen op de suggesties.
- U kunt Voorwaardelijke toegangsbeheerders toewijzen met Microsoft Security Copilot toegang, zodat beheerders van voorwaardelijke toegang de agent kunnen gebruiken.
- Zie Assign Security Copilot access voor meer informatie over rollen.
- Voor besturingselementen op basis van apparaten zijn Microsoft Intune-licenties vereist.
- Bekijk privacy- en gegevensbeveiliging in Microsoft Security Copilot.
Beperkingen
- Nadat de agent is gestart, kunt u de uitvoering niet stoppen of pauzeren. Het kan enkele minuten duren.
- Voor beleidsconsolidatie evalueert elke agentuitvoering 40 vergelijkbare beleidsparen.
- U wordt aangeraden de agent uit te voeren vanuit het Microsoft Entra-beheercentrum.
- Scannen is beperkt tot een periode van 24 uur.
- U kunt geen suggesties van de agent aanpassen of overschrijven.
- De agent kan maximaal 300 gebruikers en 150 toepassingen in één uitvoering bekijken.
Hoe het werkt
De agent voor optimalisatie van voorwaardelijke toegang scant uw tenant op nieuwe gebruikers, toepassingen en agentidentiteiten van de afgelopen 24 uur en bepaalt of beleid voor voorwaardelijke toegang van toepassing is. Als de agent gebruikers, toepassingen of agentidentiteiten vindt die niet worden behandeld met beleid voor voorwaardelijke toegang, worden er voorgestelde volgende stappen beschreven.
Een volgende stap kan het inschakelen of wijzigen van beleid voor voorwaardelijke toegang zijn. U kunt de suggestie bekijken, hoe de agent de oplossing heeft geïdentificeerd en wat het beleid zou bevatten.
Elke keer dat de agent wordt uitgevoerd, worden de volgende stappen doorlopen. Deze eerste scanstappen verbruiken geen SKU's.
- De agent scant alle beleidsregels voor voorwaardelijke toegang binnen uw tenant.
- De agent controleert op beleidshiaten en of er beleidslijnen kunnen worden gecombineerd.
- De agent controleert eerdere suggesties zodat hetzelfde beleid niet opnieuw wordt voorgesteld.
Als de agent iets identificeert dat de agent niet eerder heeft gesuggereerd, voert de agent de volgende stappen uit. Deze agentactiestappen verbruiken SCU's.
- De agent identificeert een beleidsverschil of een paar beleidsregels die kunnen worden geconsolideerd.
- De agent evalueert eventuele aangepaste instructies die u hebt opgegeven.
- De agent maakt een nieuw beleid aan in de modus 'alleen rapporteren' of doet een voorstel om een beleid te wijzigen, inclusief eventuele logica in de aangepaste instructies.
Opmerking
Security Copilot vereist dat er ten minste één SCU is ingericht in uw tenant. Deze SCU wordt elke maand gefactureerd, zelfs als u geen SKU's verbruikt. Als u de agent uitschakelt, wordt de maandelijkse facturering voor de SCU niet gestopt.
De beleidssuggesties van de agent zijn onder andere:
- MFA vereisen: de agent identificeert gebruikers die niet worden gedekt door beleid voor voorwaardelijke toegang waarvoor MFA is vereist en kan het beleid bijwerken.
- Apparaatgebaseerde besturingselementen vereisen: de agent kan op apparaten gebaseerde besturingselementen afdwingen, zoals apparaatnaleving, app-beveiligingsbeleid en apparaten die lid zijn van een domein.
- Verouderde verificatie blokkeren: gebruikersaccounts met verouderde verificatie kunnen niet worden aangemeld.
- Apparaatcodestroom blokkeren: de agent zoekt naar een beleid waarmee de apparaatcodestroom wordt geblokkeerd.
- Riskante gebruikers: de agent stelt een beleid voor om veilige wachtwoordwijziging te vereisen voor gebruikers met een hoog risico. Hiervoor is een Microsoft Entra ID P2-licentie vereist.
- Risky-aanmeldingen: De agent stelt een beleid voor om meervoudige verificatie te vereisen voor aanmeldingen met een hoog risico. Hiervoor is een Microsoft Entra ID P2-licentie vereist.
- Risky-agents: de agent stelt een beleid voor het blokkeren van verificatie voor aanmeldingen met een hoog risico voor. Hiervoor is een Microsoft Entra ID P2-licentie vereist.
- Beleidsconsolidatie: de agent scant uw beleid en identificeert overlappende instellingen. Als u bijvoorbeeld meer dan één beleid hebt met dezelfde besturingselementen voor toekenning, stelt de agent voor om dit beleid in één te consolideren.
- Uitgebreide analyse: de agent evalueert beleidsregels die overeenkomen met belangrijke scenario's om uitbijters te identificeren die meer dan een aanbevolen aantal uitzonderingen hebben (leidend tot onverwachte hiaten in dekking) of geen uitzonderingen (leiden tot mogelijke vergrendeling).
- Diepgaande analyse van MFA-hiaten: De agent scant alle ingeschakelde Conditional Access-beleidsregels in uw tenant om gebruikers te identificeren die niet onder een MFA-beleid vallen. Deze scan omvat gebruikers die zijn uitgesloten van basisbeleid, niet in groepslidmaatschappen zijn opgenomen of tussen wal en schip vallen door hiaten tussen overlappende beleidsregels. In tegenstelling tot standaardscans evalueert deze analyse de volledige tenantconfiguratie en is deze niet beperkt tot de afgelopen 24 uur.
- Toegang met minimale bevoegdheden voor agentidentiteiten (preview): De agent identificeert agentidentiteiten met ongebruikte of te ruime Microsoft Graph-machtigingen. Vervolgens wordt het afdwingen van minimale bevoegdheden aanbevolen, zoals het verwijderen van ongebruikte machtigingen of het vervangen van brede machtigingen door specifiekere machtigingen.
Belangrijk
De agent wijzigt geen bestaande beleidsregels, tenzij een beheerder de suggestie expliciet goedkeurt.
Alle nieuwe beleidsregels die door de agent worden voorgesteld, worden gemaakt in de modus alleen voor rapporten.
Twee beleidsregels kunnen worden geconsolideerd als ze niet meer dan twee voorwaarden of besturingselementen verschillen.
Aan de slag
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beveiligingsbeheerder.
Selecteer Op de nieuwe startpagina de optie Ga naar agents in de meldingskaart van de agent.
U kunt ook Security Copilot agents selecteren in het linkermenu.
Op de tegel Optimalisatieagent voor voorwaardelijke toegang selecteert u Details weergeven.
Selecteer Start agent om je eerste run te beginnen.
Op het tabblad Overzicht voor de agent worden alle suggesties weergegeven in het vak Recente suggesties . U kunt vervolgens het beleid controleren, de impact van het beleid bepalen en de wijzigingen indien nodig toepassen. Zie Suggesties van de agent voor optimalisatie van voorwaardelijke toegang controleren en toepassen voor meer informatie.
Instellingen
De agent bevat verschillende krachtige instellingen om de mogelijkheden uit te breiden terwijl ze uniek zijn voor uw organisatie. U kunt de volgende functies configureren op het tabblad Instellingen. Zie instellingen van de Conditional Access Optimization Agent voor meer informatie.
- Laat de agent automatisch elke 24 uur uitvoeren.
- Schakel uitvoeringen op basis van activiteit in om de agent te activeren wanneer relevante tenantwijzigingen plaatsvinden (preview).
- Stel de agent in om te controleren op wijzigingen in gebruikers en toepassingen.
- De agent toestaan om beleid te maken in de modus alleen rapporteren.
- Sta de agent toe om meldingen te send via Microsoft Teams.
- Sta de agent toe om gefaseerde implementatieplannen te maken.
- Integratie met ServiceNow inschakelen voor het automatisch maken van tickets.
- Geef kennisbronnen aan de agent voor organisatiespecifieke suggesties.
Ingebouwde integraties
De agent voor optimalisatie van voorwaardelijke toegang kan beleidssuggesties maken voor organisaties die Intune gebruiken voor apparaatbeheer en globale beveiligde toegang voor netwerktoegang.
Intune-integratie
De agent voor optimalisatie van voorwaardelijke toegang kan worden geïntegreerd met Intune om het volgende te doen:
- Apparaatnalevings- en toepassingsbeveiligingsbeleid bewaken dat is geconfigureerd in Intune.
- Identificeer potentiële hiaten in het afdwingen van voorwaardelijke toegang.
Deze proactieve en geautomatiseerde aanpak zorgt ervoor dat het beleid voor voorwaardelijke toegang afgestemd blijft op de beveiligingsdoelstellingen en nalevingsvereisten van de organisatie. De agentsuggesties zijn hetzelfde als de andere beleidssuggesties, behalve dat Intune een deel van het signaal aan de agent geeft.
Agentsuggesties voor Intune-scenario's hebben betrekking op specifieke gebruikersgroepen en platforms (iOS of Android). De agent identificeert bijvoorbeeld een actief Intune-beleid voor app-beveiliging dat gericht is op de groep Financiën, maar bepaalt dat er geen voldoende beleid voor voorwaardelijke toegang is dat app-beveiliging wordt afgedwongen. De agent maakt een beleid voor alleen rapporten waarvoor gebruikers alleen toegang moeten krijgen tot resources via compatibele toepassingen op iOS-apparaten.
Als u intune-apparaatnalevings- en app-beveiligingsbeleid wilt identificeren, moet de agent worden uitgevoerd als globale beheerder of beheerder voor voorwaardelijke toegang en globale lezer. De rol Beheerder voor voorwaardelijke toegang is op zichzelf niet voldoende zodat de agent Intune-suggesties kan genereren.
Wereldwijde integratie van Secure Access
Microsoft Entra Internettoegang en Microsoft Entra Privétoegang (gezamenlijk bekend als Global Secure Access) kunnen worden geïntegreerd met de agent voor optimalisatie van voorwaardelijke toegang om suggesties te bieden die specifiek zijn voor het netwerktoegangsbeleid van uw organisatie. Met de suggestie Nieuw beleid inschakelen voor het afdwingen van netwerktoegangsvereisten voor globale beveiligde toegang kunt u uw globale beveiligingstoegangsbeleid afstemmen met netwerklocaties en beveiligde toepassingen.
Met deze integratie identificeert de agent gebruikers of groepen die niet onder een beleid voor voorwaardelijke toegang vallen om alleen toegang tot bedrijfsbronnen te vereisen via goedgekeurde wereldwijde beveiligde toegangskanalen. Dit beleid vereist dat gebruikers verbinding maken met bedrijfsbronnen met behulp van het beveiligde global Secure Access-netwerk van de organisatie voordat ze toegang krijgen tot zakelijke apps en gegevens. Gebruikers die verbinding maken vanuit niet-beheerde of niet-vertrouwde netwerken, wordt gevraagd om de global Secure Access-client of webgateway te gebruiken. U kunt aanmeldingslogboeken controleren om compatibele verbindingen te controleren.
Agent verwijderen
Als u de agent voor optimalisatie van voorwaardelijke toegang niet meer wilt gebruiken, selecteert u Agent verwijderen boven aan het agentvenster. De bestaande gegevens (agentactiviteit, suggesties en metrische gegevens) worden verwijderd, maar beleidsregels die zijn gemaakt of bijgewerkt op basis van de agentsuggesties blijven intact. Eerder toegepaste suggesties blijven ongewijzigd, zodat u het beleid kunt blijven gebruiken dat de agent heeft gemaakt of gewijzigd.
Feedback geven
Als u Microsoft feedback wilt geven over de agent, gebruikt u de knop Geef Microsoft feedback bovenaan het agentvenster.
FAQs
Wanneer moet ik de agent voor optimalisatie van voorwaardelijke toegang versus Copilot Chat gebruiken?
De agent voor optimalisatie van voorwaardelijke toegang en Microsoft Copilot Chat bieden verschillende inzichten in uw beleid voor voorwaardelijke toegang. In de volgende tabel worden de twee functies vergeleken.
| Scenario | Agent voor optimalisatie van voorwaardelijke toegang | Copiloot Chat |
|---|---|---|
| Algemene scenario’s | ||
| Tenantspecifieke configuratie | ✅ | |
| Geavanceerde redenering | ✅ | |
| Inzichten op aanvraag | ✅ | |
| Interactieve probleemoplossing | ✅ | |
| Doorlopende beleidsevaluatie | ✅ | |
| Suggesties voor geautomatiseerde verbetering | ✅ | |
| Richtlijnen voor aanbevolen werkwijzen en configuratie van de certificaatautoriteit (CA) | ✅ | ✅ |
| Specifieke scenario's | ||
| Proactieve identificatie van niet-beveiligde gebruikers of toepassingen | ✅ | |
| Afdwingen van MFA en andere basislijnbesturingselementen voor alle gebruikers | ✅ | |
| Continue bewaking en optimalisatie van CA-beleid | ✅ | |
| Beleidswijzigingen met één klik | ✅ | |
| Controleren van bestaande CA-beleidsregels en toewijzingen ('Zijn beleidsregels van toepassing op Alice?) | ✅ | ✅ |
| Problemen met de toegang van een gebruiker oplossen ('Waarom is Alice gevraagd om MFA?) | ✅ |
Ik heb de agent geactiveerd, maar de status van de activiteit is 'Mislukt'. Wat gebeurt er?
Het is mogelijk dat u de agent hebt geactiveerd voordat Microsoft Ignite 2025 met behulp van een account waarvoor rolactivering met Privileged Identity Management (PIM) is vereist. Dus toen de agent probeerde uit te voeren, mislukte het omdat het account op dat moment niet over de vereiste machtigingen beschikte. Een agent voor optimalisatie van voorwaardelijke toegang die na 17 november 2025 is geactiveerd, gebruikt niet langer de identiteit van de gebruiker die deze heeft geactiveerd.
U kunt dit probleem oplossen door te migreren naar Microsoft Entra Agent-ID. Selecteer Agentidentiteit maken in het bannerbericht op de pagina agent of in de sectie Machtigingen van de agentinstellingen.