Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le organizzazioni che usano criteri di accesso condizionale per proteggere l'accesso alle risorse devono stabilire standard e modelli per rimanere organizzati. Ad esempio, avere una convenzione di denominazione coerente può mantenere organizzati e prevenire sovrapposizioni o lacune dei criteri. L'agente di ottimizzazione dell'accesso condizionale può utilizzare un documento della vostra organizzazione che traccia questi standard, in modo che l'agente possa ragionare con il contesto utilizzando i modelli che progettate.
Invece di basarsi solo sulle procedure consigliate generiche, l'agente incorpora le proprie convenzioni dell'organizzazione, ad esempio il modo in cui si denominano i criteri, il modo in cui si separano gli amministratori dagli utenti normali e quali account devono essere sempre esclusi. Ciò consente di produrre raccomandazioni che riflettono meglio il modo in cui l'accesso condizionale viene gestito nel tenant.
Le Knowledge Base sono particolarmente utili negli ambienti in cui:
- Diversi utenti richiedono set di politiche distinti, ad esempio amministratori, utenti della forza lavoro e contrattisti.
- Vengono applicati in modo rigoroso gli standard di denominazione delle politiche
- Gli account breakglass devono essere esclusi in modo coerente
Funzionamento della Knowledge Base
Il processo generale per la configurazione e l'uso della Knowledge Base è il seguente:
Linee guida per il caricamento: un amministratore carica un singolo documento word (.docx) o PDF che descrive gli standard di accesso condizionale dell'organizzazione.
Interpretazione da parte dell'agente: l'agente analizza il documento ed estrae le linee guida correlate all'accesso condizionale, anche quando è incorporato all'interno di una governance o di documentazione operativa più ampia.
Comprensione strutturata: l'agente genera un riepilogo in linguaggio naturale che ne rappresenta la comprensione delle indicazioni caricate.
Applicazione a raccomandazioni future: la comprensione approvata viene applicata alle raccomandazioni future di accesso condizionale generate dall'agente. Le raccomandazioni esistenti non vengono modificate retroattivamente.
Componenti dei file della Knowledge Base
Un file della Knowledge Base utilizzabile ed efficace deve essere dettagliato, specifico e strutturato. Il file deve contenere informazioni chiare e interattive che l'agente di ottimizzazione dell'accesso condizionale può usare per prendere decisioni informate.
Progettazione di criteri basati su persona
Descrivere in che modo i diversi popolamenti utente dell'organizzazione vengono protetti con i criteri di accesso condizionale. Quando più politiche applicano lo stesso controllo, ad esempio MFA, l'agente usa questa guida per selezionare la politica corretta in base al profilo dell'utente. Alcuni esempi:
- I normali utenti della forza lavoro usano i criteri di base
- Gli amministratori possono essere inclusi nei criteri di base e in un set dedicato di criteri per le proprie esigenze specifiche
- I terzisti sono disciplinati dalle proprie politiche separate dalla linea di base
Se la strategia di accesso condizionale applica determinati criteri ai dipendenti a tempo pieno, descrivere come vengono definiti i dipendenti a tempo pieno. Ad esempio, questi dipendenti sono definiti con attributi utente o appartenenza a gruppi specifici? Essere espliciti. Se la progettazione dei criteri basata sulle persone si basa sui ruoli, specificare esattamente i ruoli predefiniti di Microsoft Entra ID. Ad esempio, pronunciare "Amministratore accesso condizionale" non "utenti con privilegi amministrativi".
Convenzioni di denominazione delle politiche
Specificare il modo in cui devono essere denominati i criteri di accesso condizionale, inclusa la struttura, l'ordinamento e la terminologia richiesti.
L'agente usa queste indicazioni quando:
- Creazione di nuovi criteri
- Unione di criteri simili
- Generazione di raccomandazioni per la ridenominazione dei criteri
Gestione degli account "breakglass"
È possibile definire quali account o gruppi rappresentano identità di accesso di emergenza (breakglass) e come devono essere escluse.
L'agente applica queste indicazioni quando:
- Creazione di nuovi criteri
- Identificazione delle esclusioni mancanti
- Raccomandazione degli aggiornamenti ai criteri esistenti
Aggiungere un file alla Knowledge Base
Per aggiungere un file alla Knowledge Base:
- Accedi al Interfaccia di amministrazione di Microsoft Entra in qualità di almeno un Amministratore della sicurezza.
- Passare a Agente di ottimizzazione dell'accesso condizionale>Impostazioni>File.
- Seleziona il pulsante Carica.
- Trascinare e rilasciare il file nel pannello che si apre o selezionare l'opzione Carica file per individuare il file nel computer.
L'agente elabora il file e lo analizza per assicurarsi che includa le informazioni necessarie.
Raccomandazioni influenzate dalla Knowledge Base
Dopo aver aggiunto le linee guida alla Knowledge Base, l'agente di ottimizzazione dell'accesso condizionale può seguire le linee guida negli scenari seguenti:
Creazione dei criteri di base: i nuovi criteri consigliati seguono gli standard di denominazione del tenant e includono le esclusioni corrette.
Suggerimenti per l'unione dei criteri: quando vengono consolidati criteri simili, i criteri risultanti riflettono gli standard dell'organizzazione.
Correzione della deviazione dell'utente: quando i nuovi utenti non rientrano nella copertura esistente, l'agente seleziona i criteri appropriati in base alle linee guida per gli utenti.
Breakglass remediation: Raccomandazioni per l'esclusione degli account di accesso di emergenza per includere gli utenti o i gruppi corretti.
Correzione della denominazione dei criteri: se un criterio non segue gli standard di denominazione definiti, l'agente consiglia una sostituzione denominata in modo appropriato.
Quando è consigliabile usare la Knowledge Base?
Prendere in considerazione l'uso della Knowledge Base se l'organizzazione:
- Mantiene standard rigorosi di denominazione dell'accesso condizionale
- Separa le politiche per persona dell'utente o profilo di rischio
- Controlla regolarmente i criteri di accesso condizionale
- Necessita di raccomandazioni per allinearsi ai processi di governance interni
Ambito e limitazioni
Durante l'anteprima, la Knowledge Base presenta i vincoli seguenti:
- Un documento della Knowledge Base per ogni tenant
- Formati di file supportati: Word (.docx) e PDF
- Dimensioni massime del file: 5 MB
- La Knowledge Base si applica solo alle esecuzioni future dell'agente
Il processo di caricamento potrebbe non riuscire se il documento non soddisfa i criteri elencati. Se nel documento è applicata un'etichetta di riservatezza, il caricamento potrebbe non riuscire. Poiché le organizzazioni possono personalizzare i criteri per le etichette di riservatezza, non è possibile suggerire un'etichetta di riservatezza specifica.