Agente de optimización de acceso condicional de Microsoft Entra

El agente de optimización del acceso condicional le ayuda a garantizar que todos los usuarios, las aplicaciones y las identidades de agente están protegidos por directivas de acceso condicional. El agente puede recomendar nuevas directivas y actualizar las directivas existentes, en función de los procedimientos recomendados alineados con Zero Trust y los aprendizajes de Microsoft. El agente también crea informes de revisión de directivas (versión preliminar), que proporcionan información sobre picos o caídas que podrían indicar una configuración incorrecta de la directiva.

El agente de optimización de acceso condicional evalúa directivas como requerir autenticación multifactor (MFA), aplicar controles basados en dispositivos (cumplimiento de dispositivos, directivas de protección de aplicaciones y dispositivos unidos a un dominio) y bloquear la autenticación heredada y el flujo de código del dispositivo. El agente también evalúa todas las directivas habilitadas existentes para proponer la consolidación potencial de directivas similares. Cuando el agente identifica una sugerencia, puede hacer que el agente actualice la directiva asociada con una corrección de un solo clic.

Importante

Las integraciones de ServiceNow y Microsoft Teams en el agente de optimización de acceso condicional se encuentran actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes de la versión. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.

Prerrequisitos

• Debe tener al menos la licencia de Microsoft Entra ID P1 .
• Debe disponer de unidades de cálculo de seguridad (SCU) disponibles.
  • En promedio, cada ejecución de agente consume menos de una SCU.
• Debe tener el rol de Microsoft Entra adecuado.
  • El administrador de seguridad es necesario para activar el agente la primera vez.
  • Los roles Lector de seguridad y Lector global pueden ver el agente y las sugerencias, pero no pueden realizar ninguna acción.
  • Los roles Administrador de acceso condicional y Administrador de seguridad pueden ver el agente y tomar medidas sobre las sugerencias.
  • Puede asignar a los administradores de acceso condicional acceso a Security Copilot, lo que también les permite usar el agente.
  • Para obtener más información, consulte Asignación de acceso a Copilot de seguridad.
• Los controles basados en dispositivos requieren licencias de Microsoft Intune.
• Revise Privacidad y seguridad de datos en Microsoft Security Copilot.

Limitaciones

• Evite usar una cuenta para configurar el agente que requiere la activación de roles con Privileged Identity Management (PIM). El uso de una cuenta que no tenga permisos permanentes podría provocar errores de autenticación para el agente.
• Una vez iniciados los agentes, no se pueden detener ni pausar. Pueden tardar unos minutos en ejecutarse.
• Para la consolidación de directivas, cada ejecución de agente solo examina cuatro pares de directivas similares.
• Se recomienda ejecutar el agente desde el Centro de administración de Microsoft Entra.
• El escaneo está limitado a un período de 24 horas.
• Las sugerencias del agente no se pueden personalizar ni invalidar.
• El agente puede revisar hasta 300 usuarios y 150 aplicaciones en una sola ejecución.

Cómo funciona

El agente de optimización de acceso condicional escanea su inquilino para los nuevos usuarios, aplicaciones e identidades de agente de las últimas 24 horas y determina si se aplican las políticas de acceso condicional. Si el agente encuentra usuarios, aplicaciones o identidades de agente que no están protegidas por directivas de acceso condicional, proporciona los pasos siguientes sugeridos, como activar o modificar una directiva de acceso condicional. Puede revisar la sugerencia, cómo identificó el agente la solución y qué se incluiría en la directiva.

Cada vez que se ejecuta el agente, se llevan a cabo los pasos siguientes. Estos pasos de escaneo iniciales no consumen ningún SCUs.

1. El agente examina todas las directivas de acceso condicional del inquilino.
2. El agente comprueba si hay brechas en las directivas y si se puede combinar alguna directiva.
3. El agente revisa las sugerencias anteriores para no sugerir nuevamente la misma política.

Si el agente identifica algo que no se sugirió anteriormente, realiza los pasos siguientes. Estos pasos de acción del agente consumen SCUs.

1. El agente identifica una brecha en la política o un par de políticas que pueden ser consolidadas.
2. El agente evalúa las instrucciones personalizadas proporcionadas.
3. El agente crea una nueva directiva en modo de solo informe o proporciona la sugerencia para modificar una directiva, incluida cualquier lógica proporcionada por las instrucciones personalizadas.

Nota:

Security Copilot requiere que al menos se aprovisione una SCU en el tenant, pero esa SCU se factura cada mes incluso si no se consume ninguna SCU. Desactivar el agente no detiene la facturación mensual de la SCU.

Las sugerencias de directiva identificadas por el agente incluyen:

• Requerir MFA: el agente identifica a los usuarios que no están cubiertos por una directiva de acceso condicional que requiere MFA y pueden actualizar la directiva.
• Requerir controles basados en dispositivos: el agente puede aplicar controles basados en dispositivos, como el cumplimiento de dispositivos, las directivas de protección de aplicaciones y los dispositivos unidos a un dominio.
• Bloquear la autenticación heredada: las cuentas de usuario con autenticación heredada no pueden iniciar sesión.
• Bloquear flujo de código de dispositivo: el agente busca una directiva que bloquea la autenticación de flujo de código del dispositivo.
• Usuarios de riesgo: el agente sugiere una directiva para requerir un cambio de contraseña seguro para los usuarios de alto riesgo. Requiere la licencia de identidad de Microsoft Entra (ID P2).
• Inicios de sesión de alto riesgo: el agente sugiere implementar una directiva que requiera autenticación multifactor para los inicios de sesión de alto riesgo. Requiere la licencia P2 de Microsoft Entra ID.
• Agentes de riesgo: el agente sugiere una política para bloquear la autenticación de inicios de sesión de alto riesgo. Requiere la licencia Microsoft Entra ID P2.
• Consolidación de políticas: el agente examina la política e identifica la configuración superpuesta. Por ejemplo, si tiene más de una directiva que tiene los mismos controles de concesión, el agente sugiere consolidar esas directivas en una.
• Análisis profundo: el agente examina las directivas que corresponden a escenarios clave para identificar las directivas atípicas que tienen más de un número recomendado de excepciones (lo que provoca brechas inesperadas en la cobertura) o ninguna excepción (lo que provoca un posible bloqueo).

Importante

El agente no realiza ningún cambio en las directivas existentes a menos que un administrador apruebe explícitamente la sugerencia.

Todas las nuevas políticas sugeridas por el agente se crean en modo solo de informe.

Se pueden consolidar dos directivas si difieren en no más de dos condiciones o controles.

Cómo empezar

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. En la nueva página principal, seleccione Ir a los agentes en la tarjeta de notificación del agente.

   • También puede seleccionar Agentes en el menú de navegación izquierdo.

   

3. Seleccione Ver detalles en el icono Agente de optimización de acceso condicional.

   

4. Seleccione Iniciar agente para comenzar la primera ejecución. Evite usar una cuenta con un rol activado a través de PIM.

   

Cuando se carga la página de información general del agente, las sugerencias aparecen en el cuadro Sugerencias recientes . Si se identificó una sugerencia, puede revisar la directiva, determinar el impacto de la directiva y aplicar los cambios si es necesario. Para obtener más información, consulte Revisar y aprobar sugerencias del agente de acceso condicional.

Configuración

Una vez habilitado el agente, puede ajustar algunas opciones de configuración. Después de realizar los cambios, seleccione el botón Guardar situado en la parte inferior de la página. Puede acceder a la configuración desde dos lugares en el Centro de administración de Microsoft Entra:

• Desde Agentes>Agente de optimización de acceso condicional>Configuraciones.
• En Acceso condicional>, seleccione la tarjeta Agente de optimización de acceso condicional bajo Resumen de directivas>Configuración.

Trigger

El agente está configurado para ejecutarse cada 24 horas en función de cuándo está configurado inicialmente. Puede cambiar cuándo se ejecuta el agente alternando la opción Desencadenador de desactivada a activada cuando desee que se ejecute.

Objetos de Microsoft Entra para supervisar

Utiliza las casillas de verificación bajo los objetos Entra de Microsoft para supervisar para especificar qué debe supervisar el agente al hacer recomendaciones de política. De forma predeterminada, el agente busca tanto usuarios nuevos como aplicaciones en tu entorno en las últimas 24 horas.

Funcionalidades del agente

De forma predeterminada, el agente de optimización de acceso condicional puede crear nuevas directivas en modo de solo informe. Puede cambiar esta configuración para que un administrador deba aprobar la nueva directiva antes de crearla. La directiva se sigue creando en modo solo informe, pero solo después de la aprobación del administrador. Después de revisar el impacto de la política, puede activarla directamente desde la experiencia del agente o desde Acceso condicional.

Notifications

Como parte de una funcionalidad de versión preliminar, el agente de optimización del acceso condicional puede enviar notificaciones a través de Microsoft Teams a un conjunto seleccionado de destinatarios. Con la aplicación agente de acceso condicional en Microsoft Teams, los destinatarios reciben notificaciones directamente en su chat de Teams cuando el agente muestra una nueva sugerencia.

Para agregar la aplicación del agente a Microsoft Teams:

1. En Microsoft Teams, seleccione Aplicaciones en el menú de navegación izquierdo y busque y seleccione el agente de acceso condicional.

   

2. Seleccione el botón Agregar y, a continuación, seleccione el botón Abrir para abrir la aplicación.

3. Para un acceso más fácil a la aplicación, haga clic con el botón derecho sobre el icono de la aplicación en el menú de navegación izquierdo y seleccione Anclar.

Para configurar las notificaciones en la configuración del agente de optimización de acceso condicional:

1. En la configuración del agente de optimización de acceso condicional, seleccione el vínculo Seleccionar usuarios y grupos .

2. Seleccione los usuarios o grupos que desea recibir notificaciones y, a continuación, seleccione el botón Seleccionar .

   

3. En la parte inferior de la página Configuración principal, seleccione el botón Guardar .

Puede seleccionar hasta 10 destinatarios para recibir notificaciones. Puede seleccionar un grupo para recibir las notificaciones, pero la pertenencia de ese grupo no puede superar los 10 usuarios. Si selecciona un grupo que tiene menos de 10 usuarios, pero más se agregan más adelante, el grupo ya no recibe notificaciones. Del mismo modo, las notificaciones solo se pueden enviar a cinco objetos, como una combinación de usuarios o grupos individuales. Para dejar de recibir notificaciones, elimine su objeto de usuario o el grupo al que pertenece de la lista de destinatarios.

En este momento, la comunicación del agente es unidireccional, por lo que puede recibir notificaciones pero no puede responder a ellas en Microsoft Teams. Para realizar acciones sobre una sugerencia, seleccione Revisar sugerencia en el chat para abrir el agente de optimización del acceso condicional en el Centro de administración de Microsoft Entra.

Lanzamiento por fases

Cuando el agente crea una nueva directiva en modo de solo informe, la directiva se implementa en fases, por lo que puede supervisar el efecto de la nueva directiva. La implementación por fases está activada de forma predeterminada.

Puede cambiar el número de días entre cada fase arrastrando el control deslizante o escribiendo un número en el cuadro de texto. El número de días entre cada fase es el mismo para todas las fases. Asegúrese de que está iniciando la implementación por fases con tiempo suficiente para supervisar el impacto antes de que se inicie la siguiente fase, por lo que el lanzamiento no se inicia durante un fin de semana o festivo, en caso de que tenga que pausar el lanzamiento.

Identidad y permisos

Hay varios puntos clave que se deben tener en cuenta con respecto a la identidad y los permisos del agente:

• El Agente de optimización de acceso condicional ahora admite el identificador de Microsoft Entra Agent, lo que permite que el agente se ejecute bajo su propia identidad en lugar de una identidad específica del usuario. Esto mejora la seguridad, simplifica la administración y proporciona mayor flexibilidad.

  • Las nuevas instalaciones por defecto se ejecutan bajo una identidad de agente.
  • Las instalaciones existentes pueden cambiar de ejecutarse en un contexto de usuario específico para funcionar bajo credenciales de agente en cualquier momento.
    • Este cambio no afecta a los informes o análisis.
    • Las directivas y recomendaciones existentes no se ven afectadas.
    • Los usuarios no pueden regresar al contexto de usuario.
  • Admiins con los roles Administrador de seguridad o Administrador global puede ir a Configuración del agente y, a continuación, seleccionar Crear identidad del agente para realizar el cambio.

• El administrador de seguridad tiene acceso a Security Copilot de forma predeterminada. Puede asignar administradores de acceso condicional con acceso a Security Copilot. Esta autorización también proporciona a los administradores de acceso condicional la capacidad de usar el agente. Para obtener más información, consulte Asignación de acceso a Copilot de seguridad.

• El usuario que aprueba una sugerencia para agregar usuarios a una directiva se convierte en propietario de un nuevo grupo que agrega los usuarios a una directiva.

• Los registros de auditoría de las acciones realizadas por el agente están asociados con la identidad del usuario o agente que activó el agente. Puede encontrar el nombre de la cuenta en la sección Identidad y permisos de la configuración.

  

Integración de ServiceNow (versión preliminar)

Las organizaciones que usan el complemento de ServiceNow para Security Copilot ahora pueden tener el agente de optimización de acceso condicional crear solicitudes de cambio de ServiceNow para cada nueva sugerencia que genera el agente. Esto permite a los equipos de TI y seguridad realizar un seguimiento, revisar y aprobar o rechazar sugerencias de agente dentro de los flujos de trabajo de ServiceNow existentes. En este momento, solo se admiten solicitudes de cambio (CHG).

Para usar la integración de ServiceNow, su organización debe tener configurado el complemento ServiceNow .

Cuando el complemento serviceNow está activado en la configuración del agente de optimización de acceso condicional, cada nueva sugerencia del agente crea una solicitud de cambio de ServiceNow. La solicitud de cambio incluye detalles sobre la sugerencia, como el tipo de directiva, los usuarios o grupos afectados, y la justificación de la recomendación. La integración también proporciona un bucle de comentarios: el agente supervisa el estado de la solicitud de cambio de ServiceNow y puede implementar automáticamente el cambio cuando se aprueba la solicitud de cambio.

Instrucciones personalizadas

Puede adaptar la directiva a sus necesidades mediante el campo Instrucciones personalizadas opcional. Esta configuración le permite proporcionar un mensaje al agente como parte de su ejecución. Estas instrucciones se pueden usar para:

• Incluir o excluir usuarios, grupos y roles específicos
• Excluir objetos de ser considerados por el agente o agregados a la directiva de acceso condicional
• Aplique excepciones a directivas específicas, como excluir un grupo específico de una directiva, requerir MFA o requerir directivas de administración de aplicaciones móviles.

Puede escribir el nombre o el identificador de objeto en las instrucciones personalizadas. Ambos valores se validan. Si agrega el nombre del grupo, el identificador de objeto de ese grupo se agrega automáticamente en su nombre. Instrucciones personalizadas de ejemplo:

• "Excluya a los usuarios del grupo "Break Glass" de cualquier directiva que requiera autenticación multifactor".
• Excluir usuario con el identificador de objeto dddddddd-3333-4444-5555-eeeeeeeeeeee de todas las políticas

Un escenario común que se debe tener en cuenta es si la organización tiene muchos usuarios invitados que no quiere que el agente sugiera agregar a las directivas de acceso condicional estándar. Si el agente se ejecuta y ve nuevos usuarios invitados que no están cubiertos por directivas recomendadas, las SKU se consumen para sugerir que cubran a los usuarios invitados por directivas que no son necesarias. Para evitar que el agente considere a los usuarios invitados:

1. Cree un grupo dinámico denominado "Invitados" donde (user.userType -eq "guest").
2. Agregue una instrucción personalizada en función de sus necesidades.
   • "Excluya el grupo "Invitados" de la consideración del agente".
   • "Excluir el grupo "Invitados" de cualquier directiva de administración de aplicaciones móviles".

Para obtener más información sobre cómo usar instrucciones personalizadas, consulte el vídeo siguiente.

Tenga en cuenta que parte del contenido del vídeo, como los elementos de la interfaz de usuario, está sujeto a cambios, ya que el agente se actualiza con frecuencia.

Integración de Intune

El Agente de optimización de acceso condicional se integra con Microsoft Intune para supervisar el cumplimiento de dispositivos y las directivas de protección de aplicaciones configuradas en Intune e identificar posibles brechas en la aplicación del acceso condicional. Este enfoque proactivo y automatizado garantiza que las directivas de acceso condicional permanezcan alineadas con los objetivos de seguridad y los requisitos de cumplimiento de la organización. Las sugerencias del agente son las mismas que las otras sugerencias de directiva, salvo que Intune proporciona parte de la señal al agente.

Las sugerencias del agente para escenarios de Intune abarcan plataformas y grupos de usuarios específicos (iOS o Android). Por ejemplo, el agente identifica una directiva de protección de aplicaciones de Intune activa que tiene como destino el grupo "Finanzas", pero determina que no hay una directiva de acceso condicional suficiente que aplique la protección de aplicaciones. El agente crea una directiva de solo informe que requiere que los usuarios accedan solo a los recursos a través de aplicaciones compatibles en dispositivos iOS.

Para identificar el cumplimiento de dispositivos de Intune y las directivas de protección de aplicaciones, el agente debe ejecutarse como Administrador Global o Administrador de Acceso Condicional y Lector Global. El Administrador de Acceso Condicional no es suficiente solo para que el agente genere sugerencias de Intune.

Integración de Acceso Global Seguro

Microsoft Entra Internet Access y Microsoft Entra Private Access (conocido colectivamente como Acceso seguro global) se integran con el Agente de optimización de acceso condicional para proporcionar sugerencias específicas de las directivas de acceso de red de su organización. La sugerencia, Activar una nueva directiva para aplicar los requisitos de acceso de red de Global Secure Access, le ayuda a alinear sus directivas de Global Secure Access que incluyen ubicaciones de red y aplicaciones protegidas.

Con esta integración, el agente identifica usuarios o grupos que no están cubiertos por una directiva de acceso condicional para requerir acceso a los recursos corporativos solo a través de canales de acceso seguro global aprobados. Esta directiva requiere que los usuarios se conecten a los recursos corporativos mediante la red de acceso seguro global seguro de la organización antes de acceder a los datos y las aplicaciones corporativas. Se pide a los usuarios que se conecten desde redes no administradas o que no sean de confianza que usen el cliente de Acceso seguro global o la puerta de enlace web. Puede revisar los registros de inicio de sesión para comprobar las conexiones compatibles.

Quitar agente

Si ya no desea usar el agente de optimización de acceso condicional, seleccione Quitar agente en la parte superior de la ventana del agente. Los datos existentes (actividad del agente, sugerencias y métricas) se quitan, pero las directivas creadas o actualizadas en función de las sugerencias del agente permanecen intactas. Las sugerencias aplicadas anteriormente permanecen sin cambios para poder seguir usando las directivas creadas o modificadas por el agente.

Proporcionar comentarios

Use el botón Enviar comentarios de Microsoft en la parte superior de la ventana del agente para proporcionar comentarios a Microsoft sobre el agente.

FAQs

¿Cuándo debo usar el agente de optimización de acceso condicional frente al chat de Copilot?

Ambas características proporcionan información diferente sobre las directivas de acceso condicional. En la tabla siguiente se proporciona una comparación de las dos características:

Scenario	Agente de optimización de acceso condicional	Chat de Copiloto
Escenarios genéricos
Utilización de la configuración específica del inquilino	✅
Razonamiento avanzado	✅
Información a petición		✅
Solución de problemas interactiva		✅
Evaluación continua de directivas	✅
Sugerencias de mejora automatizadas	✅
Obtención de instrucciones sobre las mejores prácticas y la configuración de CA.	✅	✅
Escenarios específicos
Identificación proactiva de usuarios o aplicaciones no protegidos	✅
Exigir MFA y otros controles de línea base para todos los usuarios	✅
Supervisión y optimización continuas de las políticas de Certificación de Autenticación (CA)	✅
Cambios de directiva con un solo clic	✅
Revise las asignaciones y directivas de CA existentes (¿Se aplican directivas a Alice?)	✅	✅
Solución de problemas de acceso de un usuario (¿Por qué se le ha pedido a Alice MFA?)		✅

He activado el agente pero veo "Error" en el estado de la actividad. ¿Qué pasa?

Es posible que el agente se haya habilitado con una cuenta que requiera la activación de roles con Privileged Identity Management (PIM). Por lo tanto, cuando el agente intentó ejecutarse, se produjo un error porque la cuenta no tenía los permisos necesarios en ese momento. Se le pedirá que vuelva a autenticarse si ha expirado el permiso PIM.

Para resolver este problema, quite el agente y vuelva a habilitar el agente con una cuenta de usuario que tenga permisos permanentes para el acceso de Security Copilot. Para obtener más información, consulte Asignación de acceso a Copilot de seguridad.

Contenido relacionado

• Revisión y aprobación de sugerencias del agente
• Plantillas de directiva de acceso condicional
• Más información sobre Microsoft Security Copilot