Blockieren des Zugriffs für das Benutzerkonto des Hochrisiko-Agents

Das Benutzerkonto eines agent ist ein spezieller Identitätstyp, der von Microsoft Entra-Agent-ID bereitgestellt wird. Dieser Identitätstyp soll die Lücke zwischen Agents und menschlichen Benutzerfunktionen überbrücken. Das Benutzerkonto des Agents ermöglicht KI-gestützten Anwendungen, mit Systemen und Diensten zu interagieren, die Benutzeridentitäten erfordern, während geeignete Sicherheitsgrenzen und Verwaltungssteuerelemente beibehalten werden. Es ermöglicht Organisationen, den Zugriff des Agents mit ähnlichen Funktionen wie für menschliche Benutzer zu verwalten.

Im Gegensatz zum On-Behalf-Of-Flow, bei dem ein Agent innerhalb des delegierten Kontexts eines angemeldeten Benutzers arbeitet, fungiert ein Benutzerkonto eines Agents tatsächlich als digitaler Mitarbeiter. Beispielsweise digitale Mitarbeiter, die als Teammitglieder mit eigenen Postfächern und Chat-Zugriff fungieren und als Teammitglieder an kollaborativen Workflows teilnehmen.

In diesem Modell erstellt ein Administrator ein Benutzerkonto im Verzeichnis und verknüpft es mit der Identität des Agents. Von dort aus ist es wie jedes andere Benutzerkonto. Lizenzen können zugewiesen werden, um auf Microsoft 365 Ressourcen wie Postfächer und Kalender zuzugreifen, und das Konto kann administrativen Einheiten und Sicherheitsgruppen wie einem menschlichen Benutzerkonto hinzugefügt werden.

Bedingter Zugriff funktioniert in diesem Modell anders. Das Zugriffstoken wird dem Benutzer (dem Token-Subjekt) ausgestellt, die Richtlinie wird jedoch gegen das Benutzerkonto des Agents ausgewertet. Heute können Sie dies mit einem einzigen Bereich erreichen: "Alle Agents, die als Benutzer fungieren."

Richtlinie für bedingten Zugriff erstellen

Führen Sie die folgenden Schritte aus, um eine Richtlinie für den bedingten Zugriff zu konfigurieren, die für die Benutzerkonten aller Agents gilt und den Zugriff auf jede Ressource blockiert, wenn ihre Identität gefährdet ist.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Navigieren Sie zu Entra ID>Bedingter Zugriff>Richtlinien.
3. Wählen Sie Neue Richtlinie.
4. Benennen Sie Ihre Richtlinie. Erstellen Sie einen aussagekräftigen Standard für die Namen Ihrer Richtlinien.
5. Wählen Sie unter Aufgaben'Agents' aus.
6. Wählen Sie Agenten, die als Benutzer aktiv sind und dann Benutzerkonten aller Agenten aus.
7. Wählen Sie unter "Zielressourcen" alle Ressourcen aus.
8. Wählen Sie unter "Bedingungen" das Agent-Risiko aus, das für die Durchsetzung der Richtlinie erforderlich ist.
9. Wählen Sie unter Zugriffssteuerungen>, die Option "Zugriff blockieren" aus.
10. Bestätigen Sie Ihre Einstellungen und legen Sie Richtlinie aktivieren auf Nur Berichten fest.
11. Wählen Sie "Erstellen" aus, um Ihre Richtlinie zu aktivieren.

Nachdem Sie Ihre Einstellungen mithilfe des Richtlinieneffekts oder des Modus nur für Berichte bestätigt haben, verschieben Sie den Umschalter Richtlinie aktivieren von Nur Bericht auf Ein.

Untersuchen der Richtlinienauswertung mithilfe von Anmeldeprotokollen

Administratoren können die Anmeldeprotokolle verwenden, um zu untersuchen, warum eine Richtlinie für bedingten Zugriff angewendet wurde oder nicht, wie in den Microsoft Entra Anmeldeereignissen erläutert. Diese Ereignisse werden in den Benutzeranmeldungen (nicht interaktiv) angezeigt.

Verwandte Inhalte

• Verwalten von Agentidentitäten in Ihrer Organisation – Übersicht über die Agentidentitätsverwaltung über den gesamten Lebenszyklus hinweg.
• Bedingter Zugriff für Agentidentitäten
• Vorlagenrichtlinien für bedingten Zugriff
• Bedingter Zugriff: Benutzer, Gruppen, Agents und Workloadidentitäten
• Bedingter Zugriff: Zielressourcen
• Bedingter Zugriff: Bedingungen
• Bedingter Zugriff: Gewähren
• Sicherheit für KI mit Microsoft Entra-Agent-Identität
• Microsoft Entra ID Protection und Agenten