Accesso condizionale per agenti autonomi

Usare questa guida per configurare l'accesso condizionale per gli agenti che eseguono l'autenticazione con la propria identità, senza alcun utente connesso. Il modello di accesso è noto flusso di credenziali client. Anziché agire per conto di un utente, l'agente esegue l'autenticazione con le proprie credenziali, ovvero un ID client associato a un certificato o a un'identità gestita gestita dal progetto di identità dell'agente. Questo modello di accesso si applica negli scenari seguenti:

  • Agenti autonomi che operano in modo indipendente:
    • Questi agenti vengono eseguiti in background, rispondono agli eventi o vengono eseguiti in base a una pianificazione. Un esempio tipico è un agente che genera un report giornaliero e invia il risultato a un gruppo di dipendenti. In questo scenario non è presente alcun utente e l'agente opera autonomamente.
  • Agenti che non agiscono sempre per conto di un utente:
    • A volte gli agenti operano interamente autonomamente. Ad esempio, un servizio SMS back-end non accessibile agli utenti. In questo scenario, il flusso OBO non è applicabile e l'agente accede alla risorsa di destinazione autenticando direttamente con la propria identità.
  • Agenti pubblicati sul Web per uso pubblico:
    • Questi agenti non autenticano l'utente o non supportano la delega del contesto dell'utente alle risorse downstream.

In questi scenari, l'agente è quello che richiede l'accesso e l'oggetto del token di accesso rilasciato è l'identità dell'agente anziché l'utente. Di conseguenza, l'ambito dei criteri di accesso condizionale si applica all'identità dell'agente, non a un utente.

Important

Prima di configurare un criterio di accesso condizionale, leggere l'articolo Accesso condizionale per le identità dell'agente . Illustra il flusso di autenticazione, i limiti del servizio e le limitazioni per assicurarsi di coprire tutti gli scenari e i dati e i servizi aziendali siano ben protetti.

Consentire solo a agenti specifici di accedere alle risorse

Esistono due scenari aziendali chiave in cui i criteri di accesso condizionale consentono di gestire gli agenti in modo efficace. Nel primo scenario potrebbe essere necessario assicurarsi che solo gli agenti approvati possano accedere alle risorse. A tale scopo, è possibile etichettare agenti e risorse con attributi di sicurezza personalizzati destinati ai criteri, oppure selezionarli manualmente utilizzando il selettore oggetti avanzato.

Creare criteri di accesso condizionale usando attributi di sicurezza personalizzati

L'approccio consigliato per il primo scenario consiste nel creare e assegnare attributi di sicurezza personalizzati a ogni modello di agente o agente, quindi indirizzare tali attributi con una politica di accesso condizionale. Questo approccio usa passaggi simili a quelli descritti in Filtrare le applicazioni nei criteri di accesso condizionale. È possibile assegnare attributi tra più set di attributi a un agente o a un'applicazione cloud.

Creare e assegnare attributi personalizzati

  1. Creare gli attributi di sicurezza personalizzati:
    1. Creare un set di attributi denominato AgentAttributes.
    2. Creare nuovi attributi denominati AgentApprovalStatus che consentono l'assegnazione di più valori e Consenti solo l'assegnazione di valori predefiniti.
      1. Aggiungere i valori predefiniti seguenti: New, In_Review, HR_Approved, Finance_Approved, IT_Approved.
  2. Creare un altro set di attributi per raggruppare le risorse a cui gli agenti sono autorizzati ad accedere.
    1. Creare un set di attributi denominato ResourceAttributes.
    2. Creare nuovi attributi denominati Department che consentono l'assegnazione di più valori e Consenti l'assegnazione di valori predefiniti.
      1. Aggiungere i valori predefiniti seguenti: Finance, HR, IT, Marketing, Sales.
  3. Assegnare il valore appropriato alle risorse a cui l'agente è autorizzato ad accedere. Ad esempio, potrebbe essere necessario che solo gli agenti HR_Approved siano in grado di accedere alle risorse con tag HR.

Creare criteri di accesso condizionale

Dopo aver completato i passaggi precedenti, creare un criterio di accesso condizionale usando attributi di sicurezza personalizzati per bloccare tutte le identità dell'agente ad eccezione di quelle esaminate e approvate dall'organizzazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'accesso condizionale e un lettore di assegnazione di attributi.
  2. Passare a Entra ID>Accesso Condizionale>Politiche.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. Definire uno standard significativo per i nomi delle policy.
  5. In Assegnazioni selezionare Utenti, agenti (anteprima) o identità del carico di lavoro.
    1. In Che cosa si applica questo criterio?, selezionare Agenti (anteprima).
      1. In Includi selezionare Tutte le identità dell'agente (anteprima).
      2. Sotto Escludi:
        1. Selezionare Seleziona identità agente in base agli attributi.
        2. Impostare Configura su .
        3. Selezionare l'attributo creato in precedenza denominato AgentApprovalStatus.
        4. Impostare Operatore su Contiene.
        5. Impostare Valore su HR_Approved.
        6. Selezionare Fine.
  6. In Risorse di destinazioneselezionare le opzioni seguenti:
    1. Selezionare i criteri applicati alle risorse (in precedenza app cloud).
      1. Includi tutte le risorse (in precedenza "Tutte le app cloud")
  7. In Controlli di accesso>Concedi:
    1. Selezionare Blocca.
    2. Selezionare Seleziona.
  8. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  9. Selezionare Crea per creare la politica.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a .

Impedire alle identità degli agenti ad alto rischio di accedere alle risorse dell'organizzazione

Nel secondo scenario, le organizzazioni possono creare criteri di accesso condizionale per bloccare le identità degli agenti ad alto rischio basate su signals da Microsoft Entra ID Protection. Per informazioni dettagliate sui tipi di rilevamento dei rischi e sulle azioni di risposta per gli agenti, vedere Identity Protection per gli agenti.

La procedura seguente consente di creare criteri di accesso condizionale per impedire a tutte le identità degli agenti ad alto rischio di accedere alle risorse dell'organizzazione.

  1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .
  2. Passare a Entra ID>Accesso Condizionale>Politiche.
  3. Selezionare Nuovi criteri.
  4. Dai un nome alla tua politica. Definire uno standard significativo per i nomi delle policy.
  5. In Assegnazioni selezionare Utenti, agenti (anteprima) o identità del carico di lavoro.
    1. In Che cosa si applica questo criterio?, selezionare Agenti (anteprima).
      1. In Includi selezionare Tutte le identità dell'agente (anteprima).
  6. In Risorse di destinazioneselezionare le opzioni seguenti:
    1. Selezionare i criteri applicati alle risorse (in precedenza app cloud).
    2. Includi tutte le risorse (in precedenza "Tutte le app cloud").
  7. In Condizioni>Rischio agente (anteprima) impostare Configura su .
    1. In Configurare i livelli di rischio dell'agente necessari per applicare i criteri selezionare Alto. Queste indicazioni si basano sulle raccomandazioni Microsoft e potrebbero essere diverse per ogni organizzazione.
  8. Sotto Controlli di accesso>Concedi.
    1. Selezionare Blocca.
    2. Selezionare Seleziona.
  9. Confermate le impostazioni e impostate Abilita politica su Solo segnalazione.
  10. Selezionare Crea per abilitare la politica.

Dopo aver confermato le impostazioni usando l'impatto dei criteri o la modalità solo report, spostare l'interruttore Abilita criterio da Solo report a .

Analisi della valutazione dei criteri tramite i log di accesso

Gli amministratori possono usare i log di accesso per esaminare il motivo per cui un criterio di accesso condizionale ha fatto o non è stato applicato come spiegato in Eventi di accesso a Microsoft Entra. Questi eventi vengono visualizzati negli accessi del servizio principale. È anche possibile filtrare quando il tipo di agente è l'identità dell'agente.

Contenuti correlati

  • Last updated on