Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El agente de optimización de Acceso condicional de Microsoft Entra le ayuda a asegurarse de que todos los usuarios, aplicaciones e identidades de agente están protegidos por directivas de acceso condicional. El agente puede recomendar nuevas directivas y actualizar las directivas existentes, en función de los procedimientos recomendados alineados con Confianza cero y los aprendizajes de Microsoft. El agente también crea informes de revisión de directivas (versión preliminar), que proporcionan información sobre picos o caídas que podrían indicar una configuración incorrecta de directiva.
El Agente de optimización de acceso condicional evalúa directivas como:
- Requerir autenticación multifactor (MFA).
- Aplicar controles basados en dispositivos (cumplimiento de dispositivos, directivas de protección de aplicaciones y dispositivos unidos a un dominio).
- Bloquear la autenticación heredada y el flujo de código del dispositivo.
El agente también evalúa todas las directivas habilitadas existentes para proponer la consolidación potencial de directivas similares. Cuando el agente identifica una sugerencia, puede hacer que el agente actualice la directiva asociada con la corrección con un solo clic.
Importante
La integración de ServiceNow, la funcionalidad de carga de archivos y las ejecuciones basadas en actividades en el Agente de optimización de acceso condicional se encuentran actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que podría modificarse sustancialmente antes de la versión. Microsoft no ofrece ninguna garantía, expresada o implícita, con respecto a la información proporcionada aquí.
Prerrequisitos
- Debe tener al menos la licencia de Microsoft Entra ID P1 .
- Debe tener disponibles unidades de cómputo de seguridad (SCUs). En promedio, cada ejecución de agente consume menos de una SCU.
- Debe tener el rol de Microsoft Entra adecuado.
- Se requiere un rol administrador de seguridad para activar el agente la primera vez.
- Los roles Lector de seguridad y Lector global pueden ver el agente y las sugerencias, pero no pueden realizar ninguna acción.
- Los roles Administrador de acceso condicional y Administrador de seguridad pueden ver el agente y tomar medidas sobre las sugerencias.
- Puede asignar Administradores de acceso condicional con acceso Microsoft Security Copilot, lo que proporciona a los administradores de acceso condicional la capacidad de usar el agente.
- Para obtener más información sobre los roles, consulte Assign Security Copilot access.
- Los controles basados en dispositivos requieren licencias de Microsoft Intune.
- Revise Privacidad y seguridad de datos en Microsoft Security Copilot.
Limitaciones
- Una vez iniciado el agente, no se puede detener ni pausar la ejecución. Pueden tardar unos minutos en ejecutarse.
- Para la consolidación de directivas, cada ejecución del agente evalúa 40 pares de directivas similares.
- Se recomienda ejecutar el agente desde el Centro de administración de Microsoft Entra.
- El escaneo se limita a un periodo de 24 horas.
- No puede personalizar ni invalidar sugerencias del agente.
- El agente puede revisar hasta 300 usuarios y 150 aplicaciones en una sola ejecución.
Cómo funciona
El Agente de optimización del acceso condicional examina su inquilinato en busca de nuevos usuarios, aplicaciones e identidades de agentes incorporados en las últimas 24 horas y determina si las directivas de acceso condicional son aplicables. Si el agente encuentra usuarios, aplicaciones o identidades de agente que no cubren las directivas de acceso condicional, proporciona los pasos siguientes sugeridos.
Un paso siguiente podría estar activando o modificando una directiva de acceso condicional. Puede revisar la sugerencia, cómo identificó el agente la solución y qué incluiría la política.
Cada vez que se ejecuta el agente, se llevan a cabo los pasos siguientes. Estos pasos iniciales de escaneo no consumen ninguna SCU.
- El agente examina todas las directivas de acceso condicional del inquilino.
- El agente comprueba si hay brechas en las directivas y si se puede combinar alguna directiva.
- El agente revisa las sugerencias anteriores para que no vuelva a sugerir la misma directiva.
Si el agente identifica algo que no sugirió anteriormente, realiza los pasos siguientes. Estos pasos de acción del agente consumen SCUs.
- El agente identifica una brecha en la política o un par de políticas que pueden ser consolidadas.
- El agente evalúa las instrucciones personalizadas que proporcionó.
- El agente crea una nueva directiva en modo de solo informe o proporciona la sugerencia para modificar una directiva, incluida cualquier lógica de las instrucciones personalizadas.
Nota:
Security Copilot requiere que haya al menos una SCU aprovisionada en su tenant. Esa SCU se factura cada mes, incluso si no consume ninguna SCU. Desactivar el agente no detiene la facturación mensual de la SCU.
Las sugerencias de directiva del agente incluyen:
- Requerir MFA: el agente identifica a los usuarios que no están cubiertos por una directiva de acceso condicional que requiere MFA y pueden actualizar la directiva.
- Requerir controles basados en dispositivos: el agente puede aplicar controles basados en dispositivos, como el cumplimiento de dispositivos, las directivas de protección de aplicaciones y los dispositivos unidos a un dominio.
- Bloquear la autenticación heredada: las cuentas de usuario con autenticación heredada no pueden iniciar sesión.
- Bloquear flujo de código de dispositivo: el agente busca una directiva que bloquea el flujo de código del dispositivo.
- Usuarios de riesgo: el agente sugiere una directiva para requerir un cambio de contraseña seguro para los usuarios de alto riesgo. Requiere una licencia Microsoft Entra ID P2.
- Inicios de sesión de riesgo: El agente sugiere una directiva para exigir autenticación multifactor en los inicios de sesión de alto riesgo. Requiere una licencia de Microsoft Entra ID P2.
- Agentes de riesgo: El agente sugiere una directiva para bloquear la autenticación en inicios de sesión de alto riesgo. Requiere una licencia Microsoft Entra ID P2.
- Consolidación de políticas: el agente examina la política e identifica la configuración superpuesta. Por ejemplo, si tiene más de una directiva que tiene los mismos controles de concesión, el agente sugiere consolidar esas directivas en una.
- Análisis profundo: el agente evalúa las directivas que corresponden a escenarios clave para identificar directivas atípicas que tienen más de un número recomendado de excepciones (lo que conduce a brechas inesperadas en la cobertura) o ninguna excepción (lo que provoca un posible bloqueo).
- Análisis profundo de brechas de MFA: el agente examina todas las directivas de acceso condicional habilitadas en el inquilino para identificar a los usuarios que no están cubiertos por ninguna directiva de MFA. Este análisis incluye a los usuarios excluidos de las directivas de línea de base, omitidos en la pertenencia a grupos o que quedan fuera por lagunas entre directivas superpuestas. A diferencia de los escaneos estándar, este análisis evalúa toda la configuración del tenant y no se limita a las últimas 24 horas.
- Acceso con privilegios mínimos para identidades de agente (versión preliminar): El agente identifica las identidades de agente con permisos de Microsoft Graph no utilizados o excesivos. A continuación, recomienda la aplicación de privilegios mínimos, como quitar permisos sin usar o reemplazar permisos amplios por otros más específicos.
Importante
El agente no realiza ningún cambio en las directivas existentes a menos que un administrador apruebe explícitamente la sugerencia.
Todas las nuevas políticas que sugiere el agente se crean en modo de solo informe.
Se pueden consolidar dos directivas si difieren en no más de dos condiciones o controles.
Cómo empezar
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
En la nueva página principal, seleccione Ir a Agentes en la tarjeta de notificación de agentes.
También puede seleccionar Agentes en el menú de la izquierda.
En el icono Agente de optimización de acceso condicional , seleccione Ver detalles.
Seleccione Iniciar agente para comenzar la primera ejecución.
En la pestaña Información general del agente, las sugerencias aparecen en el cuadro Sugerencias recientes . Después, puede revisar la directiva, determinar el impacto de la directiva y aplicar los cambios si es necesario. Para obtener más información, consulte Revisión y aplicación de sugerencias del Agente de optimización de acceso condicional.
Configuración
El agente incluye varias configuraciones eficaces para expandir las funcionalidades a la vez que las convierte en únicas para su organización. Puede configurar las siguientes funcionalidades en la pestaña Configuración . Para obtener más información, consulte Configuración del Agente de optimización de acceso condicional.
- Permitir que el agente se ejecute automáticamente cada 24 horas.
- Habilite las ejecuciones basadas en actividades para desencadenar el agente cuando se produzcan cambios de inquilino pertinentes (versión preliminar).
- Establezca el agente para comprobar si hay cambios en los usuarios y las aplicaciones.
- Permitir que el agente cree políticas en modo de informe solamente.
- Permitir que el agente envíe notificaciones a través de Microsoft Teams.
- Permitir que el agente cree planes de lanzamiento por fases.
- Permitir que el agente cree campañas de adopción de claves de paso.
- Habilita la integración con ServiceNow para la creación automática de tickets.
- Proporcione orígenes de conocimiento al agente para sugerencias específicas de la organización.
- Consulte el panel de información analítica para realizar un seguimiento de las mejoras de Confianza cero impulsadas por agentes en la postura de seguridad (versión preliminar).
Integraciones integradas
El Agente de optimización de acceso condicional puede realizar sugerencias de directiva para organizaciones que usan Intune para la administración de dispositivos y acceso seguro global para el acceso a la red.
Integración de Intune
El Agente de optimización de acceso condicional se integra con Intune para:
- Supervise el cumplimiento de dispositivos y las directivas de protección de aplicaciones configuradas en Intune.
- Identificar posibles brechas en la aplicación del acceso condicional.
Este enfoque proactivo y automatizado garantiza que las directivas de acceso condicional permanezcan alineadas con los objetivos de seguridad y los requisitos de cumplimiento de la organización. Las sugerencias del agente son las mismas que las otras sugerencias de políticas, con la excepción de que Intune proporciona una parte de la señal al agente.
Las sugerencias del agente para escenarios de Intune abarcan plataformas y grupos de usuarios específicos (iOS o Android). Por ejemplo, el agente identifica una directiva de Intune activa para la protección de aplicaciones que tiene como destino el grupo Finance, pero determina que ninguna directiva de acceso condicional suficiente aplica la protección de aplicaciones. El agente crea una directiva de solo informe que requiere que los usuarios accedan solo a los recursos a través de aplicaciones compatibles en dispositivos iOS.
Para identificar las directivas de cumplimiento de dispositivos y de protección de aplicaciones de Intune, el agente debe ejecutarse con el rol de administrador global o de administrador de acceso condicional y lector global. El rol de Administrador de acceso condicional no es suficiente por sí mismo para que el agente genere sugerencias de Intune.
Integración de Acceso Global Seguro
Acceso a Internet de Microsoft Entra y Acceso privado de Microsoft Entra (conocido colectivamente como Acceso seguro global) se integran con el Agente de optimización de acceso condicional para proporcionar sugerencias específicas de las directivas de acceso de red de su organización. La sugerencia Activar la nueva directiva para aplicar los requisitos de acceso a la red de Acceso Seguro Global le ayuda a adaptar las directivas de Acceso Seguro Global que incluyen ubicaciones de red y aplicaciones protegidas.
Con esta integración, el agente identifica usuarios o grupos que no están cubiertos por una directiva de acceso condicional para requerir acceso a los recursos corporativos solo a través de canales de acceso seguro global aprobados. Esta directiva requiere que los usuarios se conecten a los recursos corporativos mediante la red de acceso seguro global seguro de la organización antes de acceder a los datos y las aplicaciones corporativas. A los usuarios que se conectan desde redes no administradas o que no son de confianza se les pide que usen el cliente de Acceso seguro global o la puerta de enlace web. Puede revisar los registros de inicio de sesión para comprobar las conexiones compatibles.
Eliminación del agente
Si ya no desea usar el Agente de optimización de acceso condicional, seleccione Quitar agente en la parte superior de la ventana del agente. Se quitan los datos existentes (actividad del agente, sugerencias y métricas), pero las directivas creadas o actualizadas en función de las sugerencias del agente permanecen intactas. Las sugerencias aplicadas anteriormente permanecen sin cambios, por lo que puede seguir usando las directivas que el agente creó o modificó.
Proporcionar comentarios
Para proporcionar comentarios a Microsoft sobre el agente, use el botón Give Microsoft comentarios situado en la parte superior de la ventana del agente.
FAQs
¿Cuándo debo usar el Agente de optimización de acceso condicional frente a Copilot Chat?
El Agente de optimización de acceso condicional y Microsoft Copilot Chat proporcionan información diferente sobre las directivas de acceso condicional. En la tabla siguiente se comparan las dos características.
| Scenario | Agente de optimización de acceso condicional | Chat de Copiloto |
|---|---|---|
| Escenarios genéricos | ||
| Configuración específica del inquilino | ✅ | |
| Razonamiento avanzado | ✅ | |
| Información a petición | ✅ | |
| Solución de problemas interactiva | ✅ | |
| Evaluación continua de directivas | ✅ | |
| Sugerencias de mejora automatizadas | ✅ | |
| Instrucciones sobre los procedimientos recomendados y la configuración de la entidad de certificación (CA) | ✅ | ✅ |
| Escenarios específicos | ||
| Identificación proactiva de usuarios o aplicaciones no protegidos | ✅ | |
| Aplicación de MFA y otros controles de línea base para todos los usuarios | ✅ | |
| Supervisión y optimización continuas de las políticas de Certificación de Autenticación (CA) | ✅ | |
| Cambios de directiva con un solo clic | ✅ | |
| Revisión de las asignaciones y directivas de CA existentes ("¿Se aplican las directivas a Alice?") | ✅ | ✅ |
| Solucionar problemas de acceso de un usuario ("¿Por qué se le pidió autenticación multifactor (MFA) a Alice?") | ✅ |
He activado el agente, pero el estado de la actividad es Error. ¿Qué pasa?
Es posible que active el agente antes de Microsoft Ignite 2025 mediante una cuenta que requiera la activación de roles con Privileged Identity Management (PIM). Por lo tanto, cuando el agente intentó ejecutarse, se produjo un error porque la cuenta no tenía los permisos necesarios en ese momento. Un agente de optimización de acceso condicional que se activó después del 17 de noviembre de 2025, ya no usa la identidad del usuario que lo activó.
Puede resolver este problema migrando a Agente de Microsoft Entra ID. Seleccione Crear identidad del agente en el mensaje de banner de la página del agente o en la sección Identidad y permisos de la configuración del agente.