Base de dados de conhecimento do Agente de Otimização de Acesso Condicional

As organizações que usam políticas de Acesso Condicional para proteger o acesso aos recursos devem estabelecer padrões e padrões para se manterem organizadas. Por exemplo, ter uma convenção de nomenclatura consistente pode mantê-lo organizado e impedir a sobreposição de políticas ou lacunas. O Agente de Otimização de Acesso Condicional pode usar um documento da sua organização que mapeia esses padrões para que o agente tenha motivos com contexto usando os padrões que você projeta.

Em vez de depender apenas de práticas recomendadas genéricas, o agente incorpora as próprias convenções da sua organização, como como você nomeia políticas, como você separa administradores de usuários regulares e quais contas sempre devem ser excluídas. Isso ajuda a produzir recomendações que reflitam melhor como o Acesso Condicional é gerenciado em seu locatário.

As Bases de Conhecimento são especialmente úteis em ambientes em que:

  • Diferentes personas de usuário exigem conjuntos de políticas distintos, como administradores, usuários da força de trabalho e empreiteiros
  • Os padrões de nomenclatura para políticas são aplicados
  • Contas de emergência devem ser excluídas consistentemente
  • Um conjunto definido de políticas de Acesso Condicional desejadas deve ser mantido em todo o locatário

Como funciona a base de dados de conhecimento

O processo geral para configurar e usar a base de dados de conhecimento é o seguinte:

  1. Diretrizes de upload: um administrador carrega um único documento do Word (.docx) ou PDF que descreve os padrões de Acesso Condicional organizacional. Você pode baixar um modelo ou carregar seu próprio documento.

  2. Interpretação do agente: o agente analisa o documento e extrai as diretrizes relacionadas ao Acesso Condicional, mesmo quando ele está inserido na documentação operacional ou de governança mais ampla.

  3. Compreensão estruturada: o agente gera um resumo de linguagem natural que representa sua compreensão das diretrizes carregadas.

  4. Aplicativo para recomendações futuras: o entendimento aprovado é aplicado a futuras recomendações de Acesso Condicional geradas pelo agente. As recomendações existentes não são modificadas retroativamente.

Componentes do arquivo da base de conhecimento

Um arquivo de base de dados de conhecimento utilizável e eficaz deve ser detalhado, específico e estruturado. O arquivo deve conter informações claras e acionáveis que o Agente de Otimização de Acesso Condicional pode usar para tomar decisões informadas.

Você pode baixar um modelo das configurações do agente para usar como ponto de partida. O modelo fornece um formato estruturado com seções para cada categoria com suporte, para que você possa preencher os detalhes específicos da sua organização.

Captura de tela da opção de download do modelo de base de dados de conhecimento.

Design de política baseado em persona

Descreva como diferentes populações de usuários em sua organização são protegidas com políticas de Acesso Condicional. Quando várias políticas impõem o mesmo controle (como MFA), o agente usa essas diretrizes para selecionar a política correta com base na persona do usuário. Os exemplos incluem:

  • Os usuários regulares da força de trabalho são incluídos nas políticas de linha de base
  • Os administradores podem ser incluídos nas políticas de linha de base, bem como em um conjunto dedicado de políticas para suas necessidades específicas
  • Os empreiteiros são regidos por suas próprias políticas separadas da linha de base

Se sua estratégia de Acesso Condicional aplicar determinadas políticas aos funcionários em tempo integral, descreva como os funcionários em tempo integral são definidos. Por exemplo, esses funcionários são definidos com atributos de usuário específicos ou associação de grupo?

Seja explícito. Se a estrutura da sua política com base em pessoas estiver baseada em funções, forneça as funções internas exatas do Microsoft Entra ID. Por exemplo, diga "Administrador de Acesso Condicional" e não "usuários com privilégios administrativos".

Convenções de nomenclatura de diretivas

Especifique como as políticas de Acesso Condicional devem ser nomeadas, incluindo estrutura, ordenação e terminologia necessárias.

O agente usa estas diretrizes quando:

  • Criando novas políticas
  • Mesclando políticas semelhantes
  • Gerando recomendações de renomeação de política

Tratamento de conta de emergência

Você pode definir quais contas ou grupos representam identidades de acesso de emergência (breakglass) e como elas devem ser excluídas.

O agente aplica estas diretrizes quando:

  • Criando novas políticas
  • Identificando exclusões ausentes
  • Recomendando atualizações para políticas existentes

Políticas de acesso condicional desejadas

Defina o conjunto de políticas de Acesso Condicional que sua organização espera ter em vigor em todo o locatário. Para cada política desejada, descreva os usuários de destino, aplicativos, condições e controles de concessão que a política deve impor.

O agente usa estas diretrizes para:

  • Audite suas políticas de Acesso Condicional atuais em relação ao estado desejado
  • Identificar lacunas em que as políticas necessárias estão ausentes ou incompletas
  • Propor novas políticas para fechar as lacunas de cobertura e alinhar-se com a configuração pretendida da sua organização

Por exemplo, se sua organização exigir que todos os usuários convidados se autentiquem com a MFA ao acessar qualquer aplicativo de nuvem, descreva essa expectativa na base de dados de conhecimento. O agente compara o estado desejado com as políticas atualmente configuradas em seu locatário e apresenta recomendações para quaisquer políticas ausentes.

Escreva cada política desejada como uma instrução completa. Por exemplo:

  • "Crie uma política de Acesso Condicional que exija MFA e um dispositivo compatível para todos os usuários que acessam Office 365 de Windows ou macOS. Exclua contas de emergência e de serviço. Defina a política como somente relatório."
  • "Crie uma política de Acesso Condicional que bloqueia a autenticação herdada para todos os usuários que acessam todos os aplicativos. Exclua o grupo EmergencyAccess. Defina a política como habilitada."

Adicionar um arquivo à base de dados de conhecimento

Para simplificar o processo de instalação, você pode baixar um modelo para usar como ponto de partida. O modelo está disponível diretamente nas configurações do agente.

  1. Entre no Centro de Administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até Agente de Otimização de Acesso Condicional>Configurações>Fontes de conhecimento.

  3. Selecione Baixar modelo de arquivo para baixar o arquivo de modelo da base de dados de conhecimento.

  4. Abra o modelo (CA_Knowledge_Base_Template.docx) e substitua o conteúdo do marcador pelos padrões específicos de Acesso Condicional, convenções de nomenclatura, contas de emergência e políticas desejadas da sua organização.

  5. Salve o arquivo como um Word (.docx) ou documento PDF.

  6. Retorne à seção Fontes de conhecimento e selecione o botão Carregar .

    Captura de tela das opções de modelo da base de dados de conhecimento.

  7. Arraste e solte o arquivo no painel que é aberto ou selecione Carregar arquivo para navegar até o arquivo em seu computador.

    Captura de tela do painel de upload da base de dados de conhecimento.

O agente processa o arquivo e o analisa para garantir que ele inclua as informações necessárias.

Note

Você não precisa usar o modelo. Você pode carregar qualquer documento Word (.docx) ou PDF que contenha os padrões de Acesso Condicional da sua organização. O modelo fornece um ponto de partida conveniente com seções para cada categoria com suporte.

Recomendações influenciadas pela base de dados de conhecimento

Depois de adicionar suas diretrizes com êxito à base de dados de conhecimento, o Agente de Otimização de Acesso Condicional poderá seguir suas diretrizes nos seguintes cenários:

  • Criação de política padrão: as novas políticas recomendadas seguem os padrões de nomenclatura do locatário e incluem as exclusões corretas.

  • Sugestões de mesclagem de políticas: quando políticas semelhantes são consolidadas, a política resultante reflete os padrões da sua organização.

  • Correção de desvio do usuário: quando novos usuários ficam fora da cobertura existente, o agente seleciona a política apropriada com base nas instruções de persona.

  • Remediação de emergência: as recomendações para a exclusão de contas de acesso de emergência incluem os usuários ou grupos corretos.

  • Correção de nomenclatura de política: se uma política não seguir padrões de nomenclatura definidos, o agente recomendará uma substituição nomeada de forma apropriada.

  • Auditoria de política desejada: quando você define as políticas de Acesso Condicional pretendidas, o agente as compara com a configuração atual e recomenda novas políticas para fechar quaisquer lacunas.

Quando você deve usar a base de dados de conhecimento?

Considere usar a base de dados de conhecimento se sua organização:

  • Mantém padrões estritos de nomenclatura de acesso condicional
  • Separa políticas por persona de usuário ou perfil de risco
  • Audita políticas de Acesso Condicional regularmente
  • Precisa de recomendações para se alinhar aos processos de governança internos
  • Deseja definir e impor um conjunto específico de políticas de acesso condicional em todo o locatário

Práticas recomendadas para escrever um documento de base de dados de conhecimento

A qualidade das recomendações do agente depende da clareza e especificidade do documento da base de dados de conhecimento. Siga estas diretrizes para obter os melhores resultados:

  • Seja explícito e específico. Use os nomes exatos de objetos Microsoft Entra, nomes de grupo e nomes de função. Por exemplo, diga "Administrador de Acesso Condicional" em vez de "usuários com privilégios administrativos".
  • Escreva instruções completas. Cada declaração deve permitir uma ação por si só. Em vez de listar itens com marcadores, escreva frases completas que descrevam o comportamento pretendido.
  • Defina seus termos. Se sua organização usa personas como "Administrador" ou "Convidado", defina exatamente quem pertence a cada persona usando funções, associação de grupo ou atributos de usuário.
  • Inclua o escopo para cada requisito. Especifique quais usuários, aplicativos, condições, controles e exclusões se aplicam. Não deixe o agente inferir detalhes ausentes.
  • Use o modelo fornecido. Baixe o modelo de base de dados de conhecimento da seção Fontes de conhecimento das configurações do agente para garantir que o documento siga a estrutura esperada.

O modelo de base de dados de conhecimento inclui seções para:

  • Convenções de nomenclatura: o padrão exato e os valores permitidos para nomear políticas de Acesso Condicional.
  • Contas de emergência: as identidades ou grupos designados para acesso de emergência e as regras para excluí-los.
  • Definições de persona e cobertura de política: como as populações de usuários são segmentadas e quais políticas se aplicam a cada persona.
  • Requisitos da política de referência: uma lista de estados de política esperados que descrevem os controles mínimos de acesso que sua organização aplica.

Dica

Substitua todo o texto do espaço reservado no modelo por informações específicas ao seu locatário. Descrições genéricas ou vagas reduzem a capacidade do agente de produzir sugestões relevantes.

Âmbito e limitações

A base de dados de conhecimento tem as seguintes restrições:

  • Um documento de base de dados de conhecimento por locatário
  • Formatos de arquivo com suporte: Word (.docx) e PDF
  • Tamanho máximo do arquivo: 5 MB
  • A base de dados de conhecimento só se aplica a execuções futuras de agente

O processo de upload poderá falhar se o documento não atender aos critérios listados. Se o documento tiver um rótulo de confidencialidade aplicado, o upload também poderá falhar. Como as organizações podem personalizar os critérios para rótulos de confidencialidade, não podemos sugerir um rótulo de confidencialidade específico.

  • Last updated on