Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Agent optimalizace podmíněného přístupu pomáhá zajistit, aby všichni uživatelé, aplikace a identity agentů byly chráněné zásadami podmíněného přístupu. Agent může doporučit nové zásady a aktualizovat stávající zásady na základě osvědčených postupů v souladu s nulovou důvěryhodností a učením Microsoftu. Agent také vytvoří sestavy kontroly zásad (Preview), které poskytují přehled o špičkách nebo poklesech, které můžou značit chybnou konfiguraci zásad.
Agent optimalizace podmíněného přístupu vyhodnocuje zásady, jako je vyžadování vícefaktorového ověřování (MFA), vynucování ovládacích prvků na základě zařízení (dodržování předpisů zařízením, zásady ochrany aplikací a zařízení připojená k doméně) a blokování starší verze ověřování a toku kódu zařízení. Agent také vyhodnotí všechny existující povolené zásady a navrhne potenciální konsolidaci podobných zásad. Když agent identifikuje návrh, můžete nechat agenta aktualizovat přidružené zásady jedním kliknutím.
Důležité
Integrace ServiceNow v agentu optimalizace podmíněného přístupu je aktuálně ve verzi PREVIEW. Tyto informace se týkají předběžného produktu, který může být před vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky, vyjádřené ani předpokládané, pokud jde o informace uvedené zde.
Požadavky
- Musíte mít aspoň licenci Microsoft Entra ID P1 .
- Musíte mít dostupné výpočetní jednotky zabezpečení (SCU).
- V průměru každé spuštění agenta spotřebovává méně než jednu SCU.
- Musíte mít odpovídající roli Microsoft Entra.
- K prvnímu aktivaci agenta se vyžaduje správce zabezpečení.
- Role Čtenář zabezpečení a Globální čtenář mohou zobrazit agenta a jakékoli návrhy, ale nemůžou provádět žádné akce.
- Role Správce podmíněného přístupu a Správce zabezpečení můžou zobrazit agenta a provádět akce s návrhy.
- Správcům podmíněného přístupu můžete přiřadit přístup k aplikaci Security Copilot, což jim umožní využívat agenta.
- Další informace naleznete v tématu Přiřazení přístupu do Security Copilot.
- Ovládací prvky založené na zařízení vyžadují licence Microsoft Intune.
- Zkontrolujte ochranu osobních údajů a zabezpečení dat ve službě Microsoft Security Copilot.
Omezení
- Po spuštění agentů není možné je zastavit ani pozastavit. Spuštění může trvat několik minut.
- V případě konsolidace zásad se každé spuštění agenta podívá jenom na čtyři podobné páry zásad.
- Doporučujeme spustit agenta z Centra pro správu Microsoft Entra.
- Skenování je omezené na 24hodinovou dobu.
- Návrhy od agenta není možné přizpůsobit ani přepsat.
- Agent může v jednom spuštění zkontrolovat až 300 uživatelů a 150 aplikací.
Jak to funguje
Agent optimalizace podmíněného přístupu zkontroluje vašeho tenanta nové uživatele, aplikace a identity agentů za posledních 24 hodin a určí, jestli jsou k dispozici zásady podmíněného přístupu. Pokud agent najde uživatele, aplikace nebo identity agenta, které nejsou chráněné zásadami podmíněného přístupu, nabídne navrhované další kroky, jako je zapnutí nebo úprava zásad podmíněného přístupu. Můžete si projít návrh, zjistit, jak agent řešení identifikoval a co by se zahrnulo do zásad.
Kdykoli se agent spustí, provede následující kroky. Tyto kroky počáteční kontroly nevyužívají žádné SCU.
- Agent prohledá všechny zásady podmíněného přístupu ve vašem tenantovi.
- Agent kontroluje mezery v zásadách a pokud lze některé zásady zkombinovat.
- Agent zkontroluje předchozí návrhy, aby znovu nenavrhl stejné zásady.
Pokud agent identifikuje něco, co se dříve nenavrhovalo, provede následující kroky. Tyto kroky akcí agenta spotřebovávají SCUs.
- Agent identifikuje mezeru v zásadách nebo dvojici zásad, které je možné konsolidovat.
- Agent vyhodnotí všechny vlastní pokyny, které jste zadali.
- Agent vytvoří novou zásadu v režimu pouze pro sestavy nebo poskytne návrh na úpravu zásady, včetně veškeré logiky obsažené v uživatelských instrukcích.
Poznámka:
Funkce Security Copilot vyžaduje, aby se ve vašem tenantovi zřídila alespoň jedna SCU, ale SCU se účtuje každý měsíc, i když žádné SCU nevyužijete. Vypnutím agenta nezastavíte měsíční fakturaci pro SCU.
Mezi návrhy zásad identifikovaných agentem patří:
- Vyžadovat vícefaktorové ověřování: Agent identifikuje uživatele, kteří nejsou pokryti zásadami podmíněného přístupu, které vyžadují vícefaktorové ověřování a můžou zásady aktualizovat.
- Vyžadovat ovládací prvky založené na zařízeních: Agent může vynutit ovládací prvky založené na zařízeních, jako je dodržování předpisů zařízením, zásady ochrany aplikací a zařízení připojená k doméně.
- Blokovat starší ověřování: Přihlášení uživatelským účtům se starší verzí ověřování se zablokuje.
- Blokovat tok kódu zařízení: Agent hledá zásady blokující ověřování toku kódu zařízení.
- Rizikoví uživatelé: Agent navrhuje zásadu, která vyžaduje bezpečnou změnu hesla pro vysoce rizikové uživatele. Vyžaduje licenci Microsoft Entra ID P2.
- Riziková přihlášení: Agent navrhuje zásadu, která vyžaduje vícefaktorové ověřování pro přihlášení s vysokým rizikem. Vyžaduje licenci Microsoft Entra ID P2.
- Rizikoví agenti: Agent navrhuje zásadu, která zablokuje ověřování u vysoce rizikových přihlášení. Vyžaduje licenci Microsoft Entra ID P2.
- Konsolidace zásad: Agent zkontroluje zásady a identifikuje překrývající se nastavení. Pokud máte například více než jednu zásadu se stejnými ověřovacími mechanismy, agent navrhne sloučit tyto zásady do jedné.
- Hloubková analýza: Agent se podívá na zásady, které odpovídají klíčovým scénářům a identifikují odlehlé zásady, které mají více než doporučený počet výjimek (což vede k neočekávaným mezerám v pokrytí) nebo bez výjimek (což vede k možnému uzamčení).
Důležité
Agent neprovádí žádné změny stávajících zásad, pokud správce návrh explicitně neschválí.
Všechny nové zásady navrhované agentem se vytvoří v režimu pouze pro hlášení.
Dvě zásady je možné konsolidovat, pokud se liší maximálně dvěma podmínkami nebo ovládacími prvky.
Začínáme
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Na nové domovské stránce vyberte z karty oznámení agenta Přejít na agenty.
- V levé navigační nabídce můžete také vybrat agenty .
Vyberte Zobrazit podrobnosti na dlaždici agenta pro optimalizaci podmíněného přístupu.
Vyberte Spustit agenta a spusťte první spuštění.
Když se stránka s přehledem agenta načte, jakékoli návrhy se zobrazí v poli Poslední návrhy. Pokud byl identifikován návrh, můžete si projít zásadu, určit dopad zásad a v případě potřeby změny použít. Další informace najdete v tématu Kontrola a schválení návrhů agenta podmíněného přístupu.
Odebrání agenta
Pokud už nechcete používat agenta pro optimalizaci podmíněného přístupu, vyberte v horní části okna volbu Odebrat agenta. Stávající data (aktivita agenta, návrhy a metriky) se odeberou, ale všechny zásady vytvořené nebo aktualizované na základě návrhů agenta zůstanou nedotčené. Dříve použité návrhy zůstávají beze změny, takže můžete dál používat zásady vytvořené nebo upravené agentem.
Poskytnutí zpětné vazby
Pomocí tlačítka Poskytnout microsoftu zpětnou vazbu v horní části okna agenta poskytněte Microsoftu zpětnou vazbu k agentovi.
FAQs
Kdy mám použít agenta optimalizace podmíněného přístupu a chat Copilot?
Obě funkce poskytují různé přehledy o zásadách podmíněného přístupu. Následující tabulka obsahuje porovnání těchto dvou funkcí:
| Scenario | Agent optimalizace podmíněného přístupu | Konverzace s Kopilotem |
|---|---|---|
| Obecné scénáře | ||
| Využití konfigurace specifické pro tenanta | ✅ | |
| Pokročilé odůvodnění | ✅ | |
| Přehledy na vyžádání | ✅ | |
| Interaktivní řešení potíží | ✅ | |
| Průběžné posuzování zásad | ✅ | |
| Návrhy automatizovaného vylepšování | ✅ | |
| Získání pokynů k osvědčeným postupům a konfiguraci certifikační autority | ✅ | ✅ |
| Konkrétní scénáře | ||
| Identifikace nechráněných uživatelů nebo aplikací proaktivně | ✅ | |
| Používání vícefaktorového ověřování a dalších základních ovládacích prvků pro všechny uživatele | ✅ | |
| Průběžné monitorování a optimalizace zásad podmíněného přístupu | ✅ | |
| Změny zásad jedním kliknutím | ✅ | |
| Přezkoumání existujících zásad podmíněného přístupu a přiřazení (Platí zásady pro Alice?) | ✅ | ✅ |
| Řešení potíží s přístupem uživatele (proč se Alice zobrazila výzva k vícefaktorové ověřování?) | ✅ |
Aktivoval(a) jsem agenta, ale ve stavu aktivity se zobrazuje chyba. Co se děje?
Je možné, že agent byl povolený před Microsoft Ignite 2025 s účtem, který vyžadoval aktivaci role pomocí Privileged Identity Management (PIM). Takže když se agent pokusil spustit, selhal, protože účet v té době neměl požadovaná oprávnění. Agenti optimalizace podmíněného přístupu, kteří byli zapnuti po 17. listopadu 2025, už nepoužívají identitu uživatele, který agent aktivoval.
Tento problém můžete vyřešit migrací na použití ID agenta Microsoft Entra. V informační zprávě na stránce agenta nebo v části Identita a oprávnění nastavení agenta vyberte Vytvořit identitu agenta.