Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El agente de optimización del acceso condicional le ayuda a garantizar que todos los usuarios, las aplicaciones y las identidades de agente están protegidos por directivas de acceso condicional. El agente puede recomendar nuevas directivas y actualizar las directivas existentes, en función de los procedimientos recomendados alineados con Zero Trust y los aprendizajes de Microsoft. El agente también crea informes de revisión de directivas (versión preliminar), que proporcionan información sobre picos o caídas que podrían indicar una configuración incorrecta de la directiva.
El agente de optimización de acceso condicional evalúa directivas como requerir autenticación multifactor (MFA), aplicar controles basados en dispositivos (cumplimiento de dispositivos, directivas de protección de aplicaciones y dispositivos unidos a un dominio) y bloquear la autenticación heredada y el flujo de código del dispositivo. El agente también evalúa todas las directivas habilitadas existentes para proponer la consolidación potencial de directivas similares. Cuando el agente identifica una sugerencia, puede hacer que el agente actualice la directiva asociada con una corrección de un solo clic.
Importante
La integración de ServiceNow en el agente de optimización de acceso condicional se encuentra actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes de la versión. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.
Prerrequisitos
- Debe tener al menos la licencia de Microsoft Entra ID P1 .
- Debe disponer de unidades de cálculo de seguridad (SCU) disponibles.
- En promedio, cada ejecución de agente consume menos de una SCU.
- Debe tener el rol de Microsoft Entra adecuado.
- El administrador de seguridad es necesario para activar el agente la primera vez.
- Los roles Lector de seguridad y Lector global pueden ver el agente y las sugerencias, pero no pueden realizar ninguna acción.
- Los roles Administrador de acceso condicional y Administrador de seguridad pueden ver el agente y tomar medidas sobre las sugerencias.
- Puede asignar a los administradores de acceso condicional acceso a Security Copilot, lo que también les permite usar el agente.
- Para obtener más información, consulte Asignación de acceso a Copilot de seguridad.
- Los controles basados en dispositivos requieren licencias de Microsoft Intune.
- Revise Privacidad y seguridad de datos en Microsoft Security Copilot.
Limitaciones
- Una vez iniciados los agentes, no se pueden detener ni pausar. Pueden tardar unos minutos en ejecutarse.
- Para la consolidación de directivas, cada ejecución de agente solo examina cuatro pares de directivas similares.
- Se recomienda ejecutar el agente desde el Centro de administración de Microsoft Entra.
- El escaneo está limitado a un período de 24 horas.
- Las sugerencias del agente no se pueden personalizar ni invalidar.
- El agente puede revisar hasta 300 usuarios y 150 aplicaciones en una sola ejecución.
Cómo funciona
El agente de optimización de acceso condicional escanea su inquilino para los nuevos usuarios, aplicaciones e identidades de agente de las últimas 24 horas y determina si se aplican las políticas de acceso condicional. Si el agente encuentra usuarios, aplicaciones o identidades de agente que no están protegidas por directivas de acceso condicional, proporciona los pasos siguientes sugeridos, como activar o modificar una directiva de acceso condicional. Puede revisar la sugerencia, cómo identificó el agente la solución y qué se incluiría en la directiva.
Cada vez que se ejecuta el agente, se llevan a cabo los pasos siguientes. Estos pasos de escaneo iniciales no consumen ningún SCUs.
- El agente examina todas las directivas de acceso condicional del inquilino.
- El agente comprueba si hay brechas en las directivas y si se puede combinar alguna directiva.
- El agente revisa las sugerencias anteriores para no sugerir nuevamente la misma política.
Si el agente identifica algo que no se sugirió anteriormente, realiza los pasos siguientes. Estos pasos de acción del agente consumen SCUs.
- El agente identifica una brecha en la política o un par de políticas que pueden ser consolidadas.
- El agente evalúa las instrucciones personalizadas proporcionadas.
- El agente crea una nueva directiva en modo de solo informe o proporciona la sugerencia para modificar una directiva, incluida cualquier lógica proporcionada por las instrucciones personalizadas.
Nota:
Security Copilot requiere que se aprovisione al menos una SCU en el arrendatario, pero esa SCU se cobra cada mes incluso si no consume ninguna SCU. Desactivar el agente no detiene la facturación mensual de la SCU.
Las sugerencias de directiva identificadas por el agente incluyen:
- Requerir MFA: el agente identifica a los usuarios que no están cubiertos por una directiva de acceso condicional que requiere MFA y pueden actualizar la directiva.
- Requerir controles basados en dispositivos: el agente puede aplicar controles basados en dispositivos, como el cumplimiento de dispositivos, las directivas de protección de aplicaciones y los dispositivos unidos a un dominio.
- Bloquear la autenticación heredada: las cuentas de usuario con autenticación heredada no pueden iniciar sesión.
- Bloquear flujo de código de dispositivo: el agente busca una directiva que bloquea la autenticación de flujo de código del dispositivo.
- Usuarios de riesgo: el agente sugiere una directiva para requerir un cambio de contraseña seguro para los usuarios de alto riesgo. Requiere la licencia de identidad de Microsoft Entra (ID P2).
- Inicios de sesión de alto riesgo: el agente sugiere implementar una directiva que requiera autenticación multifactor para los inicios de sesión de alto riesgo. Requiere la licencia P2 de Microsoft Entra ID.
- Agentes de riesgo: el agente sugiere una política para bloquear la autenticación de inicios de sesión de alto riesgo. Requiere la licencia Microsoft Entra ID P2.
- Consolidación de políticas: el agente examina la política e identifica la configuración superpuesta. Por ejemplo, si tiene más de una directiva que tiene los mismos controles de concesión, el agente sugiere consolidar esas directivas en una.
- Análisis profundo: el agente examina las directivas que corresponden a escenarios clave para identificar las directivas atípicas que tienen más de un número recomendado de excepciones (lo que provoca brechas inesperadas en la cobertura) o ninguna excepción (lo que provoca un posible bloqueo).
Importante
El agente no realiza ningún cambio en las directivas existentes a menos que un administrador apruebe explícitamente la sugerencia.
Todas las nuevas políticas sugeridas por el agente se crean en modo solo de informe.
Se pueden consolidar dos directivas si difieren en no más de dos condiciones o controles.
Cómo empezar
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
En la nueva página principal, seleccione Ir a los agentes en la tarjeta de notificación del agente.
- También puede seleccionar Agentes en el menú de navegación izquierdo.
Seleccione Ver detalles en el icono Agente de optimización de acceso condicional.
Seleccione Iniciar agente para comenzar la primera ejecución.
Cuando se carga la página de información general del agente, las sugerencias aparecen en el cuadro Sugerencias recientes . Si se identificó una sugerencia, puede revisar la directiva, determinar el impacto de la directiva y aplicar los cambios si es necesario. Para obtener más información, consulte Revisar y aprobar sugerencias del agente de acceso condicional.
Configuración
El agente incluye varias configuraciones eficaces para expandir las funcionalidades a la vez que las convierte en únicas para su organización. Las siguientes funcionalidades se pueden configurar en la pestaña Configuración . Para obtener más información, consulte Configuración del Agente de optimización de acceso condicional.
- Permitir que el agente se ejecute automáticamente, cada 24 horas
- Establezca el agente para comprobar si hay cambios en los usuarios y las aplicaciones.
- Permitir que el agente cree directivas en modo de solo informe
- Permitir que el agente envíe notificaciones a través de Microsoft Teams
- Permitir que el agente cree planes de lanzamiento por fases
- Habilitación de la integración con ServiceNow para la creación automática de tickets
- Proporcionar orígenes de conocimiento al agente para sugerencias específicas de la organización
Integraciones predefinidas
El Agente de optimización de acceso condicional puede realizar sugerencias de directiva para organizaciones que usan Intune para la administración de dispositivos y acceso seguro global para el acceso a la red.
Integración de Intune
El Agente de optimización de acceso condicional se integra con Microsoft Intune para supervisar el cumplimiento de dispositivos y las directivas de protección de aplicaciones configuradas en Intune e identificar posibles brechas en la aplicación del acceso condicional. Este enfoque proactivo y automatizado garantiza que las directivas de acceso condicional permanezcan alineadas con los objetivos de seguridad y los requisitos de cumplimiento de la organización. Las sugerencias del agente son las mismas que las otras sugerencias de políticas, con la excepción de que Intune proporciona una parte de la señal al agente.
Las sugerencias del agente para escenarios de Intune abarcan plataformas y grupos de usuarios específicos (iOS o Android). Por ejemplo, el agente identifica una directiva de protección de aplicaciones de Intune activa que tiene como destino el grupo "Finanzas", pero determina que no hay una directiva de acceso condicional suficiente que aplique la protección de aplicaciones. El agente crea una directiva de solo informe que requiere que los usuarios accedan solo a los recursos a través de aplicaciones compatibles en dispositivos iOS.
Para identificar el cumplimiento de dispositivos de Intune y las directivas de protección de aplicaciones, el agente debe ejecutarse como Administrador Global o Administrador de Acceso Condicional y Lector Global. El Administrador de Acceso Condicional no es suficiente solo para que el agente genere sugerencias de Intune.
Integración de Acceso Global Seguro
Microsoft Entra Internet Access y Microsoft Entra Private Access (conocido colectivamente como Acceso seguro global) se integran con el Agente de optimización de acceso condicional para proporcionar sugerencias específicas de las directivas de acceso de red de su organización. La sugerencia, Activar una nueva directiva para aplicar los requisitos de acceso de red de Global Secure Access, le ayuda a alinear sus directivas de Global Secure Access que incluyen ubicaciones de red y aplicaciones protegidas.
Con esta integración, el agente identifica usuarios o grupos que no están cubiertos por una directiva de acceso condicional para requerir acceso a los recursos corporativos solo a través de canales de acceso seguro global aprobados. Esta directiva requiere que los usuarios se conecten a los recursos corporativos mediante la red de acceso seguro global seguro de la organización antes de acceder a los datos y las aplicaciones corporativas. Se pide a los usuarios que se conecten desde redes no administradas o que no sean de confianza que usen el cliente de Acceso seguro global o la puerta de enlace web. Puede revisar los registros de inicio de sesión para comprobar las conexiones compatibles.
Quitar agente
Si ya no desea usar el agente de optimización de acceso condicional, seleccione Quitar agente en la parte superior de la ventana del agente. Los datos existentes (actividad del agente, sugerencias y métricas) se quitan, pero las directivas creadas o actualizadas en función de las sugerencias del agente permanecen intactas. Las sugerencias aplicadas anteriormente permanecen sin cambios para poder seguir usando las directivas creadas o modificadas por el agente.
Proporcionar comentarios
Use el botón Enviar comentarios de Microsoft en la parte superior de la ventana del agente para proporcionar comentarios a Microsoft sobre el agente.
FAQs
¿Cuándo debo usar el agente de optimización de acceso condicional frente al chat de Copilot?
Ambas características proporcionan información diferente sobre las directivas de acceso condicional. En la tabla siguiente se proporciona una comparación de las dos características:
| Scenario | Agente de optimización de acceso condicional | Chat de Copiloto |
|---|---|---|
| Escenarios genéricos | ||
| Utilización de la configuración específica del inquilino | ✅ | |
| Razonamiento avanzado | ✅ | |
| Información a petición | ✅ | |
| Solución de problemas interactiva | ✅ | |
| Evaluación continua de directivas | ✅ | |
| Sugerencias de mejora automatizadas | ✅ | |
| Obtención de instrucciones sobre las mejores prácticas y la configuración de CA. | ✅ | ✅ |
| Escenarios específicos | ||
| Identificación proactiva de usuarios o aplicaciones no protegidos | ✅ | |
| Exigir MFA y otros controles de línea base para todos los usuarios | ✅ | |
| Supervisión y optimización continuas de las políticas de Certificación de Autenticación (CA) | ✅ | |
| Cambios de directiva con un solo clic | ✅ | |
| Revise las asignaciones y directivas de CA existentes (¿Se aplican directivas a Alice?) | ✅ | ✅ |
| Solución de problemas de acceso de un usuario (¿Por qué se le ha pedido a Alice MFA?) | ✅ |
He activado el agente pero veo "Error" en el estado de la actividad. ¿Qué pasa?
Es posible que el agente se habilitó antes de Microsoft Ignite 2025 con una cuenta que requería la activación de roles con Privileged Identity Management (PIM). Por lo tanto, cuando el agente intentó ejecutarse, se produjo un error porque la cuenta no tenía los permisos necesarios en ese momento. Los agentes de optimización de acceso condicional que se activaron después del 17 de noviembre de 2025 ya no usan la identidad del usuario que activó el agente.
Puede resolver este problema migrando para usar el identificador de Microsoft Entra Agent. Seleccione Crear identidad del agente en el mensaje de banner de la página del agente o en la sección Identidad y permisos de la configuración del agente.