Параметры агента управления идентификационными рисками (предварительная версия)

Агент управления рисками удостоверений в защите идентификаторов Microsoft Entra предоставляет упреждающие возможности управления рисками, анализируя поведение пользователей и предлагая действия для снижения потенциальных рисков идентификации. Вы можете настроить параметры для удовлетворения потребностей вашей организации, таких как частота его выполнения и уведомления по электронной почте.

Доступ к параметрам агента

После включения агента можно настроить несколько параметров. Чтобы просмотреть и настроить параметры, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора безопасности.
2. Перейдите к Защита идентификаторов>Рискованные пользователи.
3. Выбрав представление агента , выберите многоточие в правом верхнем углу и выберите параметры.
4. На странице агента выберите вкладку "Параметры ". Параметры упорядочены в элементы управления, связь и память.
5. После внесения изменений нажмите кнопку "Сохранить " в нижней части страницы.

Вы также можете получить доступ к параметрам из библиотеки агента Microsoft Entra. Выберите агенты из навигации слева, выберите агент управления рисками удостоверений и перейдите на вкладку "Параметры ".

Элементы управления

В разделе "Элементы управления" представлены роли и разрешения, необходимые для запуска агента. Вы также можете настроить активацию агента и область действия агента.

Триггер

По умолчанию агент постоянно отслеживает вашего арендатора, но вы также можете изменить частоту или настроить только ручной запуск. Если агент настроен на ежедневное выполнение или вручную, агент может отправлять уведомления по электронной почте выбранным получателям после каждого запуска.

Имеются следующие варианты:

• Непрерывный мониторинг: агент проверяет наличие новых рискованных пользователей каждые 5 минут и автоматически проверяет их.
• Ежедневный триггер: агент выполняется автоматически каждые 24 часа.
• Ручное выполнение: агент выполняется только при запуске вручную.

Разрешения и доступ на основе ролей

Агенту требуются определенные разрешения для чтения обнаружения рисков, журнала рисков, журналов входа и аудита и сведений о пользователях. Эти разрешения предоставляются с помощью роли администратора безопасности .

Scope

По умолчанию агент исследует последних 100 рискованных пользователей за последние 90 дней. Вы можете управлять областью сканирования агента, изменив несколько параметров.

• Выберите параметр "Выбрать пользователей и группы" , чтобы найти и выбрать пользователей и группы, которые нужно проверить агентом.
• Задайте максимальное количество последних рискованных пользователей для сканирования в пределах 1–100.
• Выберите уровни риска, которые необходимо включить в проверку. По умолчанию выбраны все уровни риска.
• Задайте определенный интервал времени для области охвата.
  • Последние 7 дней
  • Последние 14 дней
  • Последние 30 дней
  • Настраиваемый интервал времени до 90 дней

Сообщения

Агент управления рисками идентификации может отправлять уведомления по электронной почте выбранным получателям. Уведомления по умолчанию не включены.

1. Установите переключатель Уведомления электронной почты в положение Вкл.
2. Выберите ссылку "Нет пользователей" в заголовке "Дополнительные получатели ", чтобы найти и добавить других получателей.

Memory

Агент управления рисками удостоверений использует вашу обратную связь для уточнения своих рекомендаций со временем. Если вы помечаете ложное срабатывание как "подтверждено безопасным", агент запоминает эту информацию для будущих запусков. В этом списке отображается история данных, введённых вами и вашей командой.