Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Agen pengoptimalan Akses Bersyarat membantu Anda memastikan semua pengguna, aplikasi, dan identitas agen dilindungi oleh kebijakan Akses Bersyarat. Agen dapat merekomendasikan kebijakan baru dan memperbarui kebijakan yang ada, berdasarkan praktik terbaik yang selaras dengan Zero Trust dan pembelajaran Microsoft. Agen juga membuat laporan tinjauan kebijakan (Pratinjau), yang memberikan wawasan tentang lonjakan atau turunan yang mungkin menunjukkan kesalahan konfigurasi kebijakan.
Agen pengoptimalan Akses Bersyarat mengevaluasi kebijakan seperti memerlukan autentikasi multifaktor (MFA), memberlakukan kontrol berbasis perangkat (kepatuhan perangkat, kebijakan perlindungan aplikasi, dan perangkat yang bergabung dengan domain), dan memblokir autentikasi lama dan alur kode perangkat. Agen juga mengevaluasi semua kebijakan yang diaktifkan yang ada untuk mengusulkan potensi konsolidasi kebijakan serupa. Saat agen mengidentifikasi saran, Anda dapat meminta agen memperbarui kebijakan terkait dengan perbaikan satu klik.
Penting
Integrasi ServiceNow di agen pengoptimalan Akses Bersyarat saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum rilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.
Prasyarat
- Anda harus memiliki setidaknya lisensi Microsoft Entra ID P1 .
- Anda harus memiliki unit komputasi keamanan (SCU) yang tersedia.
- Rata-rata, setiap agen yang dijalankan mengonsumsi kurang dari satu SCU.
- Anda harus memiliki peran yang sesuai di Microsoft Entra.
- Administrator Keamanan diperlukan untuk mengaktifkan agen untuk pertama kalinya.
- Peran Pembaca Keamanan dan Pembaca Global dapat melihat agen dan saran apa pun, tetapi tidak dapat mengambil tindakan apa pun.
- Peran Administrator Akses Bersyarat dan Administrator Keamanan dapat melihat agen dan mengambil tindakan atas saran.
- Anda dapat menetapkan Administrator Akses Bersyarat dengan akses ke Security Copilot, yang memberi Administrator Akses Bersyarat Anda kemampuan untuk menggunakan agen juga.
- Untuk informasi selengkapnya, lihat Pengaturan akses Security Copilot.
- Kontrol berbasis perangkat memerlukan lisensi Microsoft Intune.
- Tinjau Privasi dan keamanan data di Microsoft Security Copilot.
Keterbatasan
- Setelah agen dimulai, mereka tidak dapat dihentikan atau dijeda. Mungkin perlu waktu beberapa menit untuk berjalan.
- Untuk konsolidasi kebijakan, setiap agen operasi hanya melihat empat pasangan kebijakan serupa.
- Sebaiknya jalankan agen dari pusat admin Microsoft Entra.
- Pemindaian dibatasi hingga periode 24 jam.
- Saran dari agen tidak dapat disesuaikan atau diubah.
- Agen dapat meninjau hingga 300 pengguna dan 150 aplikasi dalam satu proses.
Cara kerjanya
Agen pengoptimalan Akses Bersyarat memindai penyewa Anda untuk pengguna, aplikasi, dan identitas agen baru dari 24 jam terakhir dan menentukan apakah kebijakan Akses Bersyarat berlaku. Jika agen menemukan pengguna, aplikasi, atau identitas agen yang tidak dilindungi oleh kebijakan Akses Bersyarat, agen menyediakan langkah berikutnya yang disarankan, seperti mengaktifkan atau memodifikasi kebijakan Akses Bersyarat. Anda dapat meninjau saran, bagaimana agen mengidentifikasi solusi, dan apa yang akan disertakan dalam kebijakan.
Setiap kali agen berjalan, dibutuhkan langkah-langkah berikut. Langkah-langkah pemindaian awal ini tidak menggunakan SCU apa pun.
- Agen memindai semua kebijakan Akses Bersyarat di tenant Anda.
- Agen memeriksa kesenjangan kebijakan dan apakah ada kebijakan yang dapat digabungkan.
- Agen meninjau saran sebelumnya sehingga tidak akan menyarankan kebijakan yang sama lagi.
Jika agen mengidentifikasi sesuatu yang sebelumnya tidak disarankan, agen akan mengambil langkah-langkah berikut. Langkah-langkah tindakan agen ini menggunakan SCU.
- Agen mengidentifikasi kesenjangan kebijakan atau sepasang kebijakan yang dapat dikonsolidasikan.
- Agen mengevaluasi instruksi kustom apa pun yang Anda berikan.
- Agen membuat kebijakan baru dalam mode khusus laporan atau memberikan saran untuk memodifikasi kebijakan, termasuk logika apa pun yang disediakan oleh instruksi kustom.
Nota
Security Copilot mengharuskan setidaknya satu SCU disediakan di tenant Anda, tetapi SCU tersebut tetap ditagih setiap bulan meskipun Anda tidak mengonsumsi SCU apa pun. Menonaktifkan agen tidak menghentikan penagihan bulanan untuk SCU.
Saran kebijakan yang diidentifikasi oleh agen meliputi:
- Memerlukan MFA: Agen mengidentifikasi pengguna yang tidak tercakup oleh kebijakan Akses Bersyarat yang memerlukan MFA dan dapat memperbarui kebijakan.
- Memerlukan kontrol berbasis perangkat: Agen dapat menerapkan kontrol berbasis perangkat, seperti kepatuhan perangkat, kebijakan perlindungan aplikasi, dan perangkat yang bergabung dengan domain.
- Blokir autentikasi warisan: Akun pengguna dengan autentikasi warisan diblokir agar tidak masuk.
- Blokir alur kode perangkat: Agen mencari kebijakan yang memblokir autentikasi alur kode perangkat.
- Pengguna berisiko: Agen menyarankan kebijakan untuk mewajibkan perubahan kata sandi yang aman bagi pengguna berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Proses masuk berisiko: Agen menyarankan kebijakan untuk mewajibkan autentikasi multifaktor untuk masuk berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Agen berisiko: Agen menyarankan kebijakan untuk memblokir autentikasi untuk masuk berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Konsolidasi kebijakan: Agen memindai kebijakan Anda dan mengidentifikasi pengaturan yang tumpang tindih. Misalnya, jika Anda memiliki lebih dari satu kebijakan yang memiliki kontrol pemberian yang sama, agen menyarankan untuk mengonsolidasikan kebijakan tersebut menjadi satu.
- Analisis mendalam: Agen melihat kebijakan yang sesuai dengan skenario utama untuk mengidentifikasi kebijakan outlier yang memiliki lebih dari jumlah pengecualian yang direkomendasikan (mengarah ke kesenjangan cakupan yang tidak terduga) atau tanpa pengecualian (yang mengarah ke kemungkinan penguncian).
Penting
Agen tidak membuat perubahan apa pun pada kebijakan yang ada kecuali administrator secara eksplisit menyetujui saran tersebut.
Semua kebijakan baru yang disarankan oleh agen dibuat dalam mode khusus laporan.
Dua kebijakan dapat dikonsolidasikan jika berbeda tidak lebih dari dua kondisi atau kontrol.
Memulai Langkah Pertama
Masuklah ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
Dari halaman beranda baru, pilih Pergi ke agen dari kartu notifikasi agen.
- Anda juga dapat memilih Agen dari menu navigasi kiri.
Pilih Tampilkan detail pada petak Peta Agen Pengoptimalan Akses Bersyarat.
Pilih Mulai agen untuk memulai eksekusi pertama Anda.
Saat halaman gambaran umum agen dimuat, saran apa pun muncul di kotak Saran terbaru . Jika saran diidentifikasi, Anda dapat meninjau kebijakan, menentukan dampak kebijakan, dan menerapkan perubahan jika diperlukan. Untuk informasi selengkapnya, lihat Meninjau dan menyetujui saran agen Akses Bersyarat.
Pengaturan
Agen menyertakan beberapa pengaturan yang kuat untuk memperluas kemampuan sekaligus membuatnya unik untuk organisasi Anda. Kemampuan berikut dapat dikonfigurasi dari tab Pengaturan . Untuk informasi selengkapnya, lihat Pengaturan Agen Pengoptimalan Akses Bersyarat.
- Izinkan agen berjalan secara otomatis, setiap 24 jam
- Atur agen untuk memeriksa perubahan pada pengguna dan aplikasi
- Perbolehkan agen membuat kebijakan dalam mode khusus laporan
- Mengizinkan agen mengirim pemberitahuan melalui Microsoft Teams
- Izinkan agen untuk membuat paket peluncuran bertahap
- Mengaktifkan integrasi dengan ServiceNow untuk pembuatan tiket otomatis
- Memberikan sumber pengetahuan kepada agen untuk saran khusus organisasi
Integrasi bawaan
Agen Pengoptimalan Akses Bersyarat dapat membuat saran kebijakan untuk organisasi yang menggunakan Intune untuk manajemen perangkat dan Akses Aman Global untuk akses jaringan.
Integrasi Intune
Agen Pengoptimalan Akses Bersyarat terintegrasi dengan Microsoft Intune untuk memantau kepatuhan perangkat dan kebijakan perlindungan aplikasi yang dikonfigurasi di Intune dan mengidentifikasi potensi kesenjangan dalam penegakan Akses Bersyarat. Pendekatan proaktif dan otomatis ini memastikan bahwa kebijakan Akses Bersyarat tetap selaras dengan tujuan keamanan organisasi dan persyaratan kepatuhan. Saran agen sama dengan saran kebijakan lainnya, kecuali bahwa Intune memberikan bagian dari sinyal kepada agen.
Saran agen untuk skenario Intune mencakup grup dan platform pengguna tertentu (iOS atau Android). Misalnya, agen mengidentifikasi kebijakan perlindungan aplikasi Intune aktif yang menargetkan grup "Keuangan", tetapi menentukan bahwa tidak ada kebijakan Akses Bersyarat yang cukup untuk memberlakukan perlindungan aplikasi. Agen membuat kebijakan khusus laporan yang mengharuskan pengguna mengakses sumber daya hanya melalui aplikasi yang sesuai pada perangkat iOS.
Untuk mengidentifikasi kepatuhan perangkat Intune dan kebijakan perlindungan aplikasi, agen harus berjalan sebagai Administrator Global atau Administrator Akses Bersyar dan Pembaca Global. Administrator Akses Bersyarat tidak cukup memadai bagi agen untuk memberikan rekomendasi Intune.
Integrasi Akses Aman Global
Microsoft Entra Internet Access dan Microsoft Entra Private Access (secara kolektif dikenal sebagai Akses Aman Global) terintegrasi dengan Agen Pengoptimalan Akses Bersyarat untuk memberikan saran khusus untuk kebijakan akses jaringan organisasi Anda. Saran, Aktifkan kebijakan baru untuk memberlakukan persyaratan akses jaringan Akses Aman Global, membantu Anda menyelaraskan kebijakan Akses Aman Global yang mencakup lokasi jaringan dan aplikasi yang dilindungi.
Dengan integrasi ini, agen mengidentifikasi pengguna atau grup yang tidak tercakup oleh kebijakan Akses Bersyarat untuk memerlukan akses ke sumber daya perusahaan hanya melalui saluran Akses Aman Global yang disetujui. Kebijakan ini mengharuskan pengguna untuk terhubung ke sumber daya perusahaan menggunakan jaringan Akses Aman Global yang aman organisasi sebelum mengakses aplikasi dan data perusahaan. Pengguna yang terhubung dari jaringan yang tidak dikelola atau tidak tepercaya diminta untuk menggunakan klien Akses Aman Global atau gateway web. Anda dapat meninjau log masuk untuk memverifikasi koneksi yang sesuai.
Hapus agen
Jika Anda tidak lagi ingin menggunakan agen pengoptimalan Akses Bersyarat, pilih Hapus agen dari bagian atas jendela agen. Data yang ada (aktivitas agen, saran, dan metrik) dihapus tetapi kebijakan apa pun yang dibuat atau diperbarui berdasarkan saran agen tetap utuh. Saran yang diterapkan sebelumnya tetap tidak berubah sehingga Anda dapat terus menggunakan kebijakan yang dibuat atau dimodifikasi oleh agen.
Memberikan umpan balik
Gunakan tombol Berikan umpan balik Microsoft di bagian atas jendela agen untuk memberikan umpan balik kepada Microsoft tentang agen.
FAQs
Kapan saya harus menggunakan Agen Optimisasi Akses Bersyarat vs Obrolan Copilot?
Kedua fitur tersebut dapat memberikan wawasan yang berbeda tentang kebijakan Akses Bersyarat Anda. Tabel berikut ini menyediakan perbandingan dua fitur:
| Scenario | Agen Pengoptimalan Akses Bersyarat | Obrolan Copilot |
|---|---|---|
| Skenario Generik | ||
| Manfaatkan konfigurasi yang disesuaikan untuk penyewa | ✅ | |
| Penalaran tingkat lanjut | ✅ | |
| Wawasan sesuai permintaan | ✅ | |
| Pemecahan masalah interaktif | ✅ | |
| Penilaian kebijakan berkelanjutan | ✅ | |
| Saran peningkatan otomatis | ✅ | |
| Mendapatkan panduan tentang praktik dan konfigurasi terbaik CA | ✅ | ✅ |
| Skenario Tertentu | ||
| Mengidentifikasi pengguna atau aplikasi yang tidak terlindungi secara proaktif | ✅ | |
| Menerapkan MFA dan kontrol garis besar lainnya untuk semua pengguna | ✅ | |
| Pemantauan dan pengoptimalan kebijakan CA berkelanjutan | ✅ | |
| Perubahan kebijakan satu klik | ✅ | |
| Tinjau kebijakan dan penugasan CA yang ada (Apakah kebijakan berlaku untuk Alice?) | ✅ | ✅ |
| Memecahkan masalah akses pengguna (Mengapa Alice diminta untuk MFA?) | ✅ |
Saya mengaktifkan agen tetapi melihat "Gagal" dalam status aktivitas. Apa yang terjadi?
Ada kemungkinan bahwa agen diaktifkan sebelum Microsoft Ignite 2025 dengan akun yang memerlukan aktivasi peran dengan Privileged Identity Management (PIM). Jadi ketika agen mencoba untuk menjalankan, itu gagal karena akun tidak memiliki izin yang diperlukan pada saat itu. Agen Pengoptimalan Akses Bersyarat yang diaktifkan setelah 17 November 2025 tidak lagi menggunakan identitas pengguna yang mengaktifkan agen.
Anda dapat mengatasi masalah ini dengan bermigrasi untuk menggunakan ID Agen Microsoft Entra. Pilih Buat identitas agen dari pesan banner di halaman agen atau bagian Identitas dan izin pengaturan agen.