Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Organisationen, die Richtlinien für bedingten Zugriff verwenden, um den Zugriff auf Ressourcen zu schützen, sollten Standards und Muster einrichten, um organisiert zu bleiben. Wenn Sie beispielsweise eine einheitliche Benennungskonvention haben, können Sie organisiert bleiben und Richtlinienüberlappungen oder Lücken verhindern. Der Conditional-Access-Optimierungs-Agent kann ein Dokument Ihrer Organisation verwenden, das diese Standards ordnet, sodass er mit Kontext mithilfe der von Ihnen erstellten Muster argumentiert.
Anstatt sich nur auf allgemeine bewährte Methoden zu verlassen, enthält der Agent die eigenen Konventionen Ihrer Organisation, z. B. wie Sie Richtlinien benennen, wie Sie Administratoren von regulären Benutzern trennen und welche Konten immer ausgeschlossen werden müssen. Dies trägt dazu bei, Empfehlungen zu erstellen, die besser widerspiegeln, wie Conditional Access in Ihrem Mandanten verwaltet wird.
Wissensdatenbanken sind besonders nützlich in Umgebungen, in denen:
- Unterschiedliche Benutzerpersonas erfordern unterschiedliche Richtliniensätze, z. B. Administratoren, Mitarbeiterbenutzer und Auftragnehmer
- Richtlinienbenennungsstandards werden erzwungen
- Breakglass-Konten müssen konsistent ausgeschlossen werden
Funktionsweise der Wissensbasis
Der allgemeine Prozess zum Einrichten und Verwenden der Wissensbasis lautet wie folgt:
Uploadleitfaden: Ein Administrator lädt ein einzelnes Word (.docx) oder PDF-Dokument hoch, das organisatorische Standards für bedingten Zugriff beschreibt.
Interpretation durch das Agentensystem: Das Agentensystem analysiert das Dokument und extrahiert Richtlinien zum bedingten Zugriff, auch wenn sie in umfassendere Governance- oder Betriebsdokumentationen eingebettet sind.
Strukturiertes Verständnis: Der Agent generiert eine Sprachzusammenfassung in natürlicher Sprache, die das Verständnis der hochgeladenen Anleitungen darstellt.
Anwendung auf zukünftige Empfehlungen: Das genehmigte Verständnis wird auf zukünftige Empfehlungen für bedingten Zugriff angewendet, die vom Agent generiert werden. Vorhandene Empfehlungen werden nicht rückwirkend geändert.
Komponenten der Knowledge Base-Datei
Eine verwendbare und effektive Wissensbasisdatei sollte detailliert, spezifisch und strukturiert sein. Die Datei sollte klare und umsetzbare Informationen enthalten, die der Agent für die Optimierung des bedingten Zugriffs verwenden kann, um fundierte Entscheidungen zu treffen.
Persona-basiertes Richtliniendesign
Beschreiben, wie verschiedene Benutzerpopulationen in Ihrer Organisation durch Richtlinien für bedingten Zugriff gesichert werden. Wenn mehrere Richtlinien dasselbe Steuerelement (z. B. MFA) erzwingen, verwendet der Agent diese Anleitung, um die richtige Richtlinie basierend auf der Persona des Benutzers auszuwählen. Beispiele sind:
- Reguläre Mitarbeiterbenutzer verwenden Basisrichtlinien
- Administratoren können in die Basisrichtlinien sowie einen dedizierten Satz von Richtlinien für ihre spezifischen Anforderungen einbezogen werden.
- Auftragnehmer unterliegen ihren eigenen Richtlinien, die von der Basislinie getrennt sind
Wenn Ihre Strategie für bedingten Zugriff bestimmte Richtlinien auf Vollzeitmitarbeiter anwendet, beschreiben Sie, wie Vollzeitmitarbeiter definiert werden. Sind diese Mitarbeiter beispielsweise mit bestimmten Benutzerattributen oder Gruppenmitgliedschaften definiert? Seien Sie explizit. Wenn Ihr auf Personen basierendes Richtliniendesign auf Rollen basiert, geben Sie die genauen integrierten Microsoft Entra ID-Rollen an. Sagen Sie beispielsweise "Administrator für bedingten Zugriff" nicht "Benutzer mit Administratorrechten".
Benennungskonventionen für Richtlinien
Geben Sie an, wie Richtlinien für bedingten Zugriff benannt werden sollen, einschließlich der erforderlichen Struktur, Sortierung und Terminologie.
Der Agent verwendet diese Anleitung, wenn:
- Erstellen neuer Richtlinien
- Zusammenführen ähnlicher Richtlinien
- Generieren von Richtlinieninbenennungsempfehlungen
Behandlung von Breakglass-Konten
Sie können definieren, welche Konten oder Gruppen Notfallzugriffsidentitäten (Breakglass) darstellen und wie sie ausgeschlossen werden müssen.
Der Agent wendet diese Anleitung an, wenn:
- Erstellen neuer Richtlinien
- Identifizieren fehlender Ausschlüsse
- Empfehlen von Updates für vorhandene Richtlinien
Hinzufügen einer Datei zur Knowledge Base
So fügen Sie der Knowledge Base eine Datei hinzu:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an.
- Navigieren Sie zu Conditional Access Optimization Agent>Einstellungen>Dateien.
- Wählen Sie die Schaltfläche Hochladen.
- Ziehen Sie entweder die Datei und legen Sie sie in den Bereich, der geöffnet wird, oder wählen Sie den Datei hochladen Bereich aus, um zu der Datei auf Ihrem Computer zu navigieren.
Der Agent verarbeitet die Datei und analysiert sie, um sicherzustellen, dass sie die erforderlichen Informationen enthält.
Empfehlungen, die von der Wissensbasis beeinflusst werden
Nachdem Sie Ihre Anleitung erfolgreich zur Knowledge Base hinzugefügt haben, kann der Agent für die Optimierung des bedingten Zugriffs Ihre Anleitungen in den folgenden Szenarien befolgen:
Grundlegende Richtlinienerstellung: Neu empfohlene Richtlinien folgen den Benennungsstandards Ihres Mandanten und schließen die richtigen Ausschlüsse ein.
Vorschläge zur Richtlinienzusammenführung: Wenn ähnliche Richtlinien konsolidiert werden, spiegelt die resultierende Richtlinie die Standards Ihrer Organisation wider.
Benutzerdrift-Behebung: Wenn neue Benutzer außerhalb der bestehenden Abdeckung liegen, wählt der Agent die passende Richtlinie basierend auf der Persona-Empfehlung aus.
Problembehebung: Empfehlungen zum Ausschließen von Notfallzugriffskonten umfassen die richtigen Benutzer oder Gruppen.
Maßnahme zur Verbesserung bei der Richtlinienbenennung: Wenn eine Richtlinie keine definierten Benennungsstandards erfüllt, empfiehlt der Agent einen Ersatz mit passendem Namen.
Wann sollten Sie die Wissensbasis verwenden?
Erwägen Sie die Verwendung der Knowledge Base, wenn Ihre Organisation:
- Verwaltet strenge Benennungsstandards für bedingten Zugriff
- Trennt Richtlinien nach Benutzerpersona oder Risikoprofil
- Überprüft richtlinien für bedingten Zugriff regelmäßig
- Bedarf von Empfehlungen zur Anpassung an interne Governanceprozesse
Umfang und Einschränkungen
Während der Vorschau weist die Knowledge Base die folgenden Einschränkungen auf:
- Ein Knowledge Base-Dokument pro Mandant
- Unterstützte Dateiformate: Word (.docx) und PDF
- Maximale Dateigröße: 5 MB
- Die Knowledge Base gilt nur für zukünftige Agent-Ausführungen.
Der Uploadvorgang schlägt möglicherweise fehl, wenn das Dokument nicht den aufgeführten Kriterien entspricht. Wenn das Dokument eine Vertraulichkeitsbezeichnung angewendet hat, schlägt der Upload möglicherweise ebenfalls fehl. Da Organisationen die Kriterien für Vertraulichkeitsbezeichnungen anpassen können, können wir keine bestimmte Vertraulichkeitsbezeichnung vorschlagen.