使用条件访问策略保护对资源的访问的组织应建立标准和模式,以保持组织。 例如,具有一致的命名约定可以让你组织并防止策略重叠或差距。 条件访问优化代理可以使用您组织提供的文件来规划这些标准,以便代理能够根据您设计的模式和上下文进行推理。
代理并不依赖于通用的最佳实践,而是结合了你们组织自己的约定,例如命名策略的方式、如何将管理员与普通用户分开,以及哪些帐户必须始终被排除在外。 这有助于生成更好地体现如何在租户中管理条件访问的建议。
知识库在以下环境中特别有用:
- 不同的用户角色需要不同的策略集,例如管理员、员工用户和承包商
- 策略命名标准被强制执行
- 必须始终排除 Breakglass 帐户
知识库的工作原理
设置和使用知识库的一般过程如下所示:
上传指南:管理员上传描述组织条件访问标准的单个 Word(.docx)或 PDF 文档。
代理的解析:代理解析文档以提取与条件访问相关的指南,即使这些内容嵌入在更广泛的治理或操作文档中也是如此。
结构化理解:代理生成自然语言摘要,表示它对上传指南的理解。
对未来建议的应用:所批准的理解适用于代理生成的未来条件访问建议。 现有建议不会追溯修改。
知识库文件组件
应详细、具体和结构化地提供可用且有效的知识库文件。 该文件应包含条件访问优化代理可用于做出明智的决策的清晰且可操作的信息。
基于角色的策略设计
介绍如何使用条件访问策略保护组织中的不同用户群体。 当多个策略强制实施相同的控制(如 MFA),代理使用本指南根据用户角色选择正确的策略。 示例包括:
- 常规员工用户使用基线策略
- 管理员可能被纳入基线策略中,并配有一套满足其特定需求的专用策略
- 承包商遵循其自身的政策,这些政策独立于基准政策。
如果条件访问策略将某些策略应用于全职员工,请描述如何定义全职员工。 例如,这些员工是否使用特定用户属性或组成员身份定义? 明确说明。 如果基于人员的策略设计是基于角色的,请提供准确的 Microsoft Entra ID 内置角色名称。 例如,假设“条件访问管理员”不是“具有管理权限的用户”。
策略命名约定
指定应如何命名条件访问策略,包括所需的结构、排序和术语。
代理在以下情况下使用本指南:
- 创建新策略
- 合并类似的策略
- 生成策略重命名建议
Breakglass 帐户处理
可以定义哪些帐户或组表示紧急访问(breakglass)标识以及它们必须被排除的方式。
代理在以下情况下应用本指南:
- 创建新策略
- 标识缺少的排除项
- 建议更新现有策略
将文件添加到知识库
将文件添加到知识库:
- 请以至少 安全管理员 的身份登录到 Microsoft Entra 管理中心。
- 请导航到 条件访问优化代理>设置>文件。
- 选择上载按钮。
- 将文件拖放到打开的面板中,或选择 “上传文件 空间”以导航到计算机上的文件。
代理处理文件并对其进行分析,以确保它包含必要的信息。
受知识库影响的建议
成功将指南添加到知识库后,条件访问优化代理可以遵循以下方案中的指导:
基线策略创建:新建议的策略遵循租户的命名标准,并包含正确的排除项。
策略合并建议:合并类似策略后,生成的策略反映组织的标准。
用户偏移修正:当新用户超出现有覆盖范围时,代理会根据角色指南选择适当的策略。
Breakglass 修正:排除紧急访问帐户的建议应包括正确的用户或组。
策略命名修正:如果策略不遵循定义的命名标准,代理建议使用适当命名的替换项。
何时应使用知识库?
如果你的组织符合以下情况,请考虑使用知识库:
- 维护严格的条件访问命名标准
- 按用户画像或风险档案区分策略
- 定期审核条件访问策略
- 需要建议才能与内部治理流程保持一致
范围和限制
在预览期间,知识库具有以下约束:
- 每个租户一个知识库文档
- 支持的文件格式:Word(.docx)和 PDF
- 最大文件大小:5 MB
- 知识库仅适用于将来的代理运行
如果文档不符合列出的条件,上传过程可能会失败。 如果文档应用了敏感度标签,上传也可能失败。 由于组织可以自定义敏感度标签的条件,因此我们不能建议特定的敏感度标签。