Bloccare l'accesso per l'account utente dell'agente ad alto rischio

Un account utente di un agente è un tipo di identità specializzato fornito da Microsoft Entra Agent ID. Questo tipo di identità è progettato per colmare il divario tra gli agenti e le funzionalità utente umane. L'account utente dell'agente consente alle applicazioni basate sull'intelligenza artificiale di interagire con sistemi e servizi che richiedono identità utente, mantenendo al tempo stesso limiti di sicurezza e controlli di gestione appropriati. Consente alle organizzazioni di gestire l'accesso dell'agente usando funzionalità simili come per gli utenti umani.

A differenza del flusso on-behalf-of, in cui un agente opera all'interno del contesto delegato di un utente connesso, l'account utente di un agente è in realtà un utente che funziona come ruolo di lavoro digitale. Ad esempio, i dipendenti digitali che funzionano come membri del team, con le proprie cassette postali, l'accesso alle chat, e che partecipano a flussi di lavoro collaborativi come membri del team.

In questo modello, un amministratore crea un account utente nella directory e lo collega all'identità dell'agente. Da qui, è come qualsiasi altro account utente. Le licenze possono essere assegnate per accedere Microsoft 365 risorse, ad esempio cassette postali e calendari, e l'account può essere aggiunto alle unità amministrative e ai gruppi di sicurezza proprio come un account utente umano.

L'accesso condizionale funziona in modo diverso in questo modello. Il token di accesso viene rilasciato all'utente (soggetto del token), ma la politica viene valutata sull'utente (account utente dell'agente). Oggi è possibile indirizzare questo con un unico ambito: "tutti gli agenti che fungono da utente".

Important

Prima di configurare un criterio di accesso condizionale, leggere l'articolo Accesso condizionale per le identità dell'agente . Illustra il flusso di autenticazione, i limiti del servizio e le limitazioni per assicurarsi di coprire tutti gli scenari e i dati e i servizi aziendali siano ben protetti.

Creare criteri di accesso condizionale

Seguire questa procedura per configurare un criterio di accesso condizionale applicabile a tutti gli account utente degli agenti, bloccando l'accesso a qualsiasi risorsa quando l'identità è a rischio.

  1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
  2. Passare a Entra ID>Accesso Condizionale>Politiche.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. Definire uno standard significativo per i nomi delle policy.
  5. In Assegnazioni selezionare Agenti.
  6. Scegliere Seleziona agenti attivi come utenti e quindi selezionare Tutti gli account utente degli agenti.
  7. In Risorse di destinazione, selezionare tutte le risorse
  8. In Condizioni selezionare il rischio agente necessario per l'applicazione dei criteri.
  9. In Controlli di accesso>Consenti, selezionare Blocca l'accesso.
  10. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  11. Selezionare Crea per abilitare la politica.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a .

Analisi della valutazione dei criteri tramite i log di accesso

Gli amministratori possono usare i log di accesso per esaminare il motivo per cui un criterio di accesso condizionale ha fatto o non è stato applicato come spiegato in Eventi di accesso a Microsoft Entra. Questi eventi vengono visualizzati negli accessi utente (non interattivi).

Contenuti correlati

  • Last updated on