Wissensdatenbank für den Agenten zur Optimierung des bedingten Zugriffs

Organisationen, die Richtlinien für bedingten Zugriff verwenden, um den Zugriff auf Ressourcen zu schützen, sollten Standards und Muster einrichten, um organisiert zu bleiben. Wenn Sie beispielsweise eine einheitliche Benennungskonvention haben, können Sie organisiert bleiben und Richtlinienüberlappungen oder Lücken verhindern. Der Optimierungs-Agent für bedingten Zugriff kann ein Dokument Ihrer Organisation verwenden, in dem diese Standards dargelegt sind, sodass er mit Kontext unter Verwendung der von Ihnen erstellten Muster schlussfolgert.

Anstatt sich nur auf allgemeine bewährte Methoden zu verlassen, enthält der Agent die eigenen Konventionen Ihrer Organisation, z. B. wie Sie Richtlinien benennen, wie Sie Administratoren von regulären Benutzern trennen und welche Konten immer ausgeschlossen werden müssen. Dies trägt dazu bei, Empfehlungen zu erstellen, die besser widerspiegeln, wie Conditional Access in Ihrem Mandanten verwaltet wird.

Wissensdatenbanken sind besonders nützlich in Umgebungen, in denen:

• Unterschiedliche Benutzerpersonas erfordern unterschiedliche Richtliniensätze, z. B. Administratoren, Mitarbeiterbenutzer und Auftragnehmer
• Richtlinienbenennungsstandards werden erzwungen
• Breakglass-Konten müssen konsistent ausgeschlossen werden
• Ein definierter Satz gewünschter Richtlinien für den bedingten Zugriff sollte mandantenweit beibehalten werden.

Funktionsweise der Wissensbasis

Der allgemeine Prozess zum Einrichten und Verwenden der Wissensbasis lautet wie folgt:

1. Uploadleitfaden: Ein Administrator lädt ein einzelnes Word (.docx) oder PDF-Dokument hoch, das organisatorische Standards für bedingten Zugriff beschreibt. Sie können eine Vorlage herunterladen oder Ihr eigenes Dokument hochladen.

2. Interpretation durch das Agentensystem: Das Agentensystem analysiert das Dokument und extrahiert Richtlinien zum bedingten Zugriff, auch wenn sie in umfassendere Governance- oder Betriebsdokumentationen eingebettet sind.

3. Strukturiertes Verständnis: Der Agent generiert eine Sprachzusammenfassung in natürlicher Sprache, die das Verständnis der hochgeladenen Anleitungen darstellt.

4. Anwendung auf zukünftige Empfehlungen: Das genehmigte Verständnis wird auf zukünftige Empfehlungen für bedingten Zugriff angewendet, die vom Agent generiert werden. Vorhandene Empfehlungen werden nicht rückwirkend geändert.

Komponenten der Knowledge Base-Datei

Eine verwendbare und effektive Wissensbasisdatei sollte detailliert, spezifisch und strukturiert sein. Die Datei sollte klare und umsetzbare Informationen enthalten, die der Agent für die Optimierung des bedingten Zugriffs verwenden kann, um fundierte Entscheidungen zu treffen.

Sie können eine Vorlage aus den Agenteinstellungen herunterladen, um sie als Ausgangspunkt zu verwenden. Die Vorlage stellt ein strukturiertes Format mit Abschnitten für jede unterstützte Kategorie bereit, sodass Sie die spezifischen Details Ihrer Organisation ausfüllen können.

Persona-basiertes Richtliniendesign

Beschreiben, wie verschiedene Benutzerpopulationen in Ihrer Organisation durch Richtlinien für bedingten Zugriff gesichert werden. Wenn mehrere Richtlinien dasselbe Steuerelement (z. B. MFA) erzwingen, verwendet der Agent diese Anleitung, um die richtige Richtlinie basierend auf der Persona des Benutzers auszuwählen. Beispiele sind:

• Reguläre Mitarbeiter sind in den Standardrichtlinien eingeschlossen
• Administratoren können in die Basisrichtlinien sowie einen dedizierten Satz von Richtlinien für ihre spezifischen Anforderungen einbezogen werden.
• Auftragnehmer unterliegen ihren eigenen Richtlinien, die von der Basislinie getrennt sind

Wenn Ihre Strategie für bedingten Zugriff bestimmte Richtlinien auf Vollzeitmitarbeiter anwendet, beschreiben Sie, wie Vollzeitmitarbeiter definiert werden. Sind diese Mitarbeiter beispielsweise mit bestimmten Benutzerattributen oder Gruppenmitgliedschaften definiert?

Seien Sie explizit. Wenn Ihr auf Personen basierendes Richtliniendesign auf Rollen basiert, geben Sie die genauen integrierten Microsoft Entra ID-Rollen an. Sagen Sie beispielsweise "Administrator für bedingten Zugriff" nicht "Benutzer mit Administratorrechten".

Benennungskonventionen für Richtlinien

Geben Sie an, wie Richtlinien für bedingten Zugriff benannt werden sollen, einschließlich der erforderlichen Struktur, Sortierung und Terminologie.

Der Agent verwendet diese Anleitung, wenn:

• Erstellen neuer Richtlinien
• Zusammenführen ähnlicher Richtlinien
• Generieren von Richtlinieninbenennungsempfehlungen

Behandlung von Notfallkonten

Sie können definieren, welche Konten oder Gruppen Notfallzugriffsidentitäten (Breakglass) darstellen und wie sie ausgeschlossen werden müssen.

Der Agent wendet diese Anleitung an, wenn:

• Erstellen neuer Richtlinien
• Identifizieren fehlender Ausschlüsse
• Empfehlen von Updates für vorhandene Richtlinien

Gewünschte Richtlinien für bedingten Zugriff

Definieren Sie die Richtlinien für den bedingten Zugriff, die Ihre Organisation im Mandanten erwartet. Beschreiben Sie für jede gewünschte Richtlinie die Zielbenutzer, Anwendungen, Bedingungen und erteilen Sie Steuerelemente, die die Richtlinie erzwingen soll.

Der Agent verwendet diese Anleitung für:

• Prüfen Sie Ihre aktuellen Conditional-Access-Richtlinien im Hinblick auf Ihren gewünschten Zielzustand
• Identifizieren von Lücken, bei denen erforderliche Richtlinien fehlen oder unvollständig sind
• Vorschlagen neuer Richtlinien zum Schließen von Abdeckungslücken und Zur Übereinstimmung mit der beabsichtigten Konfiguration Ihrer Organisation

Wenn Ihre Organisation beispielsweise erfordert, dass sich alle Gastbenutzer beim Zugriff auf eine Cloudanwendung bei MFA authentifizieren, beschreiben Sie diese Erwartung in der Wissensbasis. Der Agent vergleicht Ihren gewünschten Zustand mit den Richtlinien, die derzeit in Ihrem Mandanten konfiguriert sind, und zeigt Empfehlungen für alle fehlenden Richtlinien an.

Schreiben Sie jede gewünschte Richtlinie als vollständige Anweisung. Beispiel:

• "Erstellen Sie eine Richtlinie für bedingten Zugriff, die MFA und ein kompatibles Gerät für alle Benutzer erfordert, die von Windows oder macOS auf Office 365 zugreifen. Schließen Sie Notfall- und Dienstkonten aus. Stellen Sie die Richtlinie auf „Nur Berichte“ ein.
• "Erstellen Sie eine Richtlinie für bedingten Zugriff, die die Legacyauthentifizierung für alle Benutzer blockiert, die auf alle Apps zugreifen. Schließen Sie die EmergencyAccess-Gruppe aus. Legen Sie die Richtlinie so fest, dass sie aktiviert ist."

Hinzufügen einer Datei zur Knowledge Base

Um den Einrichtungsprozess zu vereinfachen, können Sie eine Vorlage herunterladen, die als Ausgangspunkt verwendet werden kann. Die Vorlage ist direkt in den Agenteinstellungen verfügbar.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an.

2. Navigieren Sie zu Agent für die Optimierung des bedingten Zugriffs>Einstellungen>Wissensquellen.

3. Wählen Sie "Dateivorlage herunterladen " aus, um die Wissensbasisvorlagendatei herunterzuladen.

4. Öffnen Sie die Vorlage (CA_Knowledge_Base_Template.docx), und ersetzen Sie den Platzhalterinhalt durch die spezifischen Standards für bedingten Zugriff, Benennungskonventionen, Breakglass-Konten und gewünschte Richtlinien Ihrer Organisation.

5. Speichern Sie die Datei als Word (.docx) oder ALS PDF-Dokument.

6. Kehren Sie zum Abschnitt "Wissensquellen " zurück, und wählen Sie die Schaltfläche "Hochladen " aus.

   

7. Ziehen Sie die Datei entweder, und legen Sie sie in das Fenster, das geöffnet wird, oder wählen Sie "Datei hochladen " aus, um zu der Datei auf Ihrem Computer zu navigieren.

   

Der Agent verarbeitet die Datei und analysiert sie, um sicherzustellen, dass sie die erforderlichen Informationen enthält.

Empfehlungen, die von der Wissensbasis beeinflusst werden

Nachdem Sie Ihre Anleitung erfolgreich zur Knowledge Base hinzugefügt haben, kann der Agent für die Optimierung des bedingten Zugriffs Ihre Anleitungen in den folgenden Szenarien befolgen:

• Grundlegende Richtlinienerstellung: Neu empfohlene Richtlinien folgen den Benennungsstandards Ihres Mandanten und schließen die richtigen Ausschlüsse ein.

• Vorschläge zur Richtlinienzusammenführung: Wenn ähnliche Richtlinien konsolidiert werden, spiegelt die resultierende Richtlinie die Standards Ihrer Organisation wider.

• Behebung von Benutzerdrifts: Wenn neue Benutzer außerhalb des bestehenden Geltungsbereichs liegen, wählt der Agent die passende Richtlinie basierend auf der Persona-Empfehlung aus.

• Problembehebung: Empfehlungen zum Ausschließen von Notfallzugriffskonten umfassen die richtigen Benutzer oder Gruppen.

• Behebung von Problemen mit der Richtlinienbenennung: Wenn eine Richtlinie die definierten Benennungsstandards nicht erfüllt, empfiehlt der Agent einen Ersatz mit passendem Namen.

• Gewünschte Richtlinienüberwachung: Wenn Sie Ihre beabsichtigten Richtlinien für bedingten Zugriff definieren, vergleicht der Agent sie mit Ihrer aktuellen Konfiguration und empfiehlt neue Richtlinien, um Lücken zu schließen.

Wann sollten Sie die Wissensbasis verwenden?

Erwägen Sie die Verwendung der Knowledge Base, wenn Ihre Organisation:

• Verwaltet strenge Benennungsstandards für bedingten Zugriff
• Trennt Richtlinien nach Benutzerpersona oder Risikoprofil
• Überprüft richtlinien für bedingten Zugriff regelmäßig
• Bedarf von Empfehlungen zur Anpassung an interne Governanceprozesse
• bestimmte Richtlinien für bedingten Zugriff für den gesamten Mandanten definieren und erzwingen möchte.

Bewährte Methoden zum Schreiben eines Knowledge Base-Dokuments

Die Qualität der Empfehlungen des Agenten hängt von der Klarheit und Spezifität Ihres Wissensbasisdokuments ab. Befolgen Sie die folgenden Richtlinien, um die besten Ergebnisse zu erzielen:

• Seien Sie explizit und spezifisch. Verwenden Sie genaue Microsoft Entra Objektnamen, Gruppennamen und Rollennamen. Sagen Sie beispielsweise "Administrator für bedingten Zugriff" anstelle von "Benutzer mit Administratorrechten".
• Schreiben Sie vollständige Anweisungen. Jede Anweisung sollte eigenständig umsetzbar sein. Statt Aufzählungszeichen aufzulisten, schreiben Sie vollständige Sätze, die das beabsichtigte Verhalten beschreiben.
• Definieren Sie Ihre Begriffe. Wenn Ihre Organisation Personas wie "Administrator" oder "Gast" verwendet, definieren Sie genau, wer zu jeder Persona gehört, indem Sie Rollen, Gruppenmitgliedschaften oder Benutzerattribute verwenden.
• Fügen Sie für jede Anforderung den Geltungsbereich hinzu. Geben Sie an, welche Benutzer, Apps, Bedingungen, Steuerelemente und Ausschlüsse gelten. Verlassen Sie den Agent nicht, um fehlende Details abzuleiten.
• Verwenden Sie die bereitgestellte Vorlage. Laden Sie die Wissensbasisvorlage aus dem Abschnitt "Wissensquellen " der Agenteinstellungen herunter, um sicherzustellen, dass Ihr Dokument der erwarteten Struktur folgt.

Die Wissensbasisvorlage enthält Abschnitte für:

• Benennungskonventionen: Das genaue Muster und die zulässigen Werte für die Benennung von Richtlinien für bedingten Zugriff.
• Breakglass-Konten: Die Identitäten oder Gruppen, die als Notfallzugriff festgelegt sind, und die Regeln zum Ausschließen dieser Konten.
• Personadefinitionen und Richtlinienabdeckung: Wie Benutzerpopulationen segmentiert werden und welche Richtlinien für jede Persona gelten.
• Anforderungen an Basisrichtlinien: Eine Liste der erwarteten Richtlinienzustände, die die minimalen Zugriffssteuerungen beschreiben, die Ihre Organisation durchsetzt.

Umfang und Einschränkungen

Die Wissensbasis weist die folgenden Einschränkungen auf:

• Ein Knowledge Base-Dokument pro Mandant
• Unterstützte Dateiformate: Word (.docx) und PDF
• Maximale Dateigröße: 5 MB
• Die Knowledge Base gilt nur für zukünftige Agent-Ausführungen.

Der Uploadvorgang schlägt möglicherweise fehl, wenn das Dokument nicht den aufgeführten Kriterien entspricht. Wenn das Dokument eine Vertraulichkeitsbezeichnung angewendet hat, schlägt der Upload möglicherweise ebenfalls fehl. Da Organisationen die Kriterien für Vertraulichkeitsbezeichnungen anpassen können, können wir keine bestimmte Vertraulichkeitsbezeichnung vorschlagen.