Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Agen pengoptimalan Akses Bersyarat membantu Anda memastikan semua pengguna, aplikasi, dan identitas agen dilindungi oleh kebijakan Akses Bersyarat. Agen dapat merekomendasikan kebijakan baru dan memperbarui kebijakan yang ada, berdasarkan praktik terbaik yang selaras dengan Zero Trust dan pembelajaran Microsoft. Agen juga membuat laporan tinjauan kebijakan (Pratinjau), yang memberikan wawasan tentang lonjakan atau turunan yang mungkin menunjukkan kesalahan konfigurasi kebijakan.
Agen pengoptimalan Akses Bersyarat mengevaluasi kebijakan seperti memerlukan autentikasi multifaktor (MFA), memberlakukan kontrol berbasis perangkat (kepatuhan perangkat, kebijakan perlindungan aplikasi, dan perangkat yang bergabung dengan domain), dan memblokir autentikasi lama dan alur kode perangkat. Agen juga mengevaluasi semua kebijakan yang diaktifkan yang ada untuk mengusulkan potensi konsolidasi kebijakan serupa. Saat agen mengidentifikasi saran, Anda dapat meminta agen memperbarui kebijakan terkait dengan perbaikan satu klik.
Penting
Integrasi ServiceNow di agen pengoptimalan Akses Bersyarat saat ini dalam PRATINJAU. Informasi ini berkaitan dengan produk prarilis yang mungkin dimodifikasi secara substansial sebelum rilis. Microsoft tidak memberikan jaminan, tersurat maupun tersirat, sehubungan dengan informasi yang diberikan di sini.
Prasyarat
- Anda harus memiliki setidaknya lisensi Microsoft Entra ID P1 .
- Anda harus memiliki unit komputasi keamanan (SCU) yang tersedia.
- Rata-rata, setiap agen yang dijalankan mengonsumsi kurang dari satu SCU.
- Anda harus memiliki peran yang sesuai di Microsoft Entra.
- Administrator Keamanan diperlukan untuk mengaktifkan agen untuk pertama kalinya.
- Peran Pembaca Keamanan dan Pembaca Global dapat melihat agen dan saran apa pun, tetapi tidak dapat mengambil tindakan apa pun.
- Peran Administrator Akses Bersyarat dan Administrator Keamanan dapat melihat agen dan mengambil tindakan atas saran.
- Anda dapat menetapkan Administrator Akses Bersyarat dengan akses ke Security Copilot, yang memberi Administrator Akses Bersyarat Anda kemampuan untuk menggunakan agen juga.
- Untuk informasi selengkapnya, lihat Pengaturan akses Security Copilot.
- Kontrol berbasis perangkat memerlukan lisensi Microsoft Intune.
- Tinjau Privasi dan keamanan data di Microsoft Security Copilot.
Keterbatasan
- Setelah agen dimulai, mereka tidak dapat dihentikan atau dijeda. Mungkin perlu waktu beberapa menit untuk berjalan.
- Untuk konsolidasi kebijakan, setiap agen operasi hanya melihat empat pasangan kebijakan serupa.
- Sebaiknya jalankan agen dari pusat admin Microsoft Entra.
- Pemindaian dibatasi hingga periode 24 jam.
- Saran dari agen tidak dapat disesuaikan atau diubah.
- Agen dapat meninjau hingga 300 pengguna dan 150 aplikasi dalam satu proses.
Cara kerjanya
Agen pengoptimalan Akses Bersyarat memindai penyewa Anda untuk pengguna, aplikasi, dan identitas agen baru dari 24 jam terakhir dan menentukan apakah kebijakan Akses Bersyarat berlaku. Jika agen menemukan pengguna, aplikasi, atau identitas agen yang tidak dilindungi oleh kebijakan Akses Bersyarat, agen menyediakan langkah berikutnya yang disarankan, seperti mengaktifkan atau memodifikasi kebijakan Akses Bersyarat. Anda dapat meninjau saran, bagaimana agen mengidentifikasi solusi, dan apa yang akan disertakan dalam kebijakan.
Setiap kali agen berjalan, dibutuhkan langkah-langkah berikut. Langkah-langkah pemindaian awal ini tidak menggunakan SCU apa pun.
- Agen memindai semua kebijakan Akses Bersyarat di tenant Anda.
- Agen memeriksa kesenjangan kebijakan dan apakah ada kebijakan yang dapat digabungkan.
- Agen meninjau saran sebelumnya sehingga tidak akan menyarankan kebijakan yang sama lagi.
Jika agen mengidentifikasi sesuatu yang sebelumnya tidak disarankan, agen akan mengambil langkah-langkah berikut. Langkah-langkah tindakan agen ini menggunakan SCU.
- Agen mengidentifikasi kesenjangan kebijakan atau sepasang kebijakan yang dapat dikonsolidasikan.
- Agen mengevaluasi instruksi kustom apa pun yang Anda berikan.
- Agen membuat kebijakan baru dalam mode khusus laporan atau memberikan saran untuk memodifikasi kebijakan, termasuk logika apa pun yang disediakan oleh instruksi kustom.
Nota
Security Copilot memerlukan setidaknya satu SCU yang sudah disediakan di tenant Anda, tetapi SCU itu ditagih setiap bulan meskipun tidak ada pemakaian. Menonaktifkan agen tidak menghentikan penagihan bulanan untuk SCU.
Saran kebijakan yang diidentifikasi oleh agen meliputi:
- Memerlukan MFA: Agen mengidentifikasi pengguna yang tidak tercakup oleh kebijakan Akses Bersyarat yang memerlukan MFA dan dapat memperbarui kebijakan.
- Memerlukan kontrol berbasis perangkat: Agen dapat menerapkan kontrol berbasis perangkat, seperti kepatuhan perangkat, kebijakan perlindungan aplikasi, dan perangkat yang bergabung dengan domain.
- Blokir autentikasi warisan: Akun pengguna dengan autentikasi warisan diblokir agar tidak masuk.
- Blokir alur kode perangkat: Agen mencari kebijakan yang memblokir autentikasi alur kode perangkat.
- Pengguna berisiko: Agen menyarankan kebijakan untuk mewajibkan perubahan kata sandi yang aman bagi pengguna berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Proses masuk berisiko: Agen menyarankan kebijakan untuk mewajibkan autentikasi multifaktor untuk masuk berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Agen berisiko: Agen menyarankan kebijakan untuk memblokir autentikasi untuk masuk berisiko tinggi. Memerlukan lisensi Microsoft Entra ID P2.
- Konsolidasi kebijakan: Agen memindai kebijakan Anda dan mengidentifikasi pengaturan yang tumpang tindih. Misalnya, jika Anda memiliki lebih dari satu kebijakan yang memiliki kontrol pemberian yang sama, agen menyarankan untuk mengonsolidasikan kebijakan tersebut menjadi satu.
- Analisis mendalam: Agen melihat kebijakan yang sesuai dengan skenario utama untuk mengidentifikasi kebijakan outlier yang memiliki lebih dari jumlah pengecualian yang direkomendasikan (mengarah ke kesenjangan cakupan yang tidak terduga) atau tanpa pengecualian (yang mengarah ke kemungkinan penguncian).
Penting
Agen tidak membuat perubahan apa pun pada kebijakan yang ada kecuali administrator secara eksplisit menyetujui saran tersebut.
Semua kebijakan baru yang disarankan oleh agen dibuat dalam mode khusus laporan.
Dua kebijakan dapat dikonsolidasikan jika berbeda tidak lebih dari dua kondisi atau kontrol.
Memulai Langkah Pertama
Masuklah ke Pusat Admin Microsoft Entra sebagai setidaknya Administrator Keamanan.
Dari halaman beranda baru, pilih Pergi ke agen dari kartu notifikasi agen.
- Anda juga dapat memilih Agen dari menu navigasi kiri.
Pilih Tampilkan detail pada petak Peta Agen Pengoptimalan Akses Bersyarat.
Pilih Mulai agen untuk memulai eksekusi pertama Anda.
Saat halaman gambaran umum agen dimuat, saran apa pun muncul di kotak Saran terbaru . Jika saran diidentifikasi, Anda dapat meninjau kebijakan, menentukan dampak kebijakan, dan menerapkan perubahan jika diperlukan. Untuk informasi selengkapnya, lihat Meninjau dan menyetujui saran agen Akses Bersyarat.
Hapus agen
Jika Anda tidak lagi ingin menggunakan agen pengoptimalan Akses Bersyarat, pilih Hapus agen dari bagian atas jendela agen. Data yang ada (aktivitas agen, saran, dan metrik) dihapus tetapi kebijakan apa pun yang dibuat atau diperbarui berdasarkan saran agen tetap utuh. Saran yang diterapkan sebelumnya tetap tidak berubah sehingga Anda dapat terus menggunakan kebijakan yang dibuat atau dimodifikasi oleh agen.
Memberikan umpan balik
Gunakan tombol Berikan umpan balik Microsoft di bagian atas jendela agen untuk memberikan umpan balik kepada Microsoft tentang agen.
FAQs
Kapan saya harus menggunakan Agen Optimisasi Akses Bersyarat vs Obrolan Copilot?
Kedua fitur tersebut dapat memberikan wawasan yang berbeda tentang kebijakan Akses Bersyarat Anda. Tabel berikut ini menyediakan perbandingan dua fitur:
| Scenario | Agen Pengoptimalan Akses Bersyarat | Obrolan Copilot |
|---|---|---|
| Skenario Generik | ||
| Manfaatkan konfigurasi yang disesuaikan untuk penyewa | ✅ | |
| Penalaran tingkat lanjut | ✅ | |
| Wawasan sesuai permintaan | ✅ | |
| Pemecahan masalah interaktif | ✅ | |
| Penilaian kebijakan berkelanjutan | ✅ | |
| Saran peningkatan otomatis | ✅ | |
| Mendapatkan panduan tentang praktik dan konfigurasi terbaik CA | ✅ | ✅ |
| Skenario Tertentu | ||
| Mengidentifikasi pengguna atau aplikasi yang tidak terlindungi secara proaktif | ✅ | |
| Menerapkan MFA dan kontrol garis besar lainnya untuk semua pengguna | ✅ | |
| Pemantauan dan pengoptimalan kebijakan CA berkelanjutan | ✅ | |
| Perubahan kebijakan satu klik | ✅ | |
| Tinjau kebijakan dan penugasan CA yang ada (Apakah kebijakan berlaku untuk Alice?) | ✅ | ✅ |
| Memecahkan masalah akses pengguna (Mengapa Alice diminta untuk MFA?) | ✅ |
Saya mengaktifkan agen tetapi melihat "Gagal" dalam status aktivitas. Apa yang terjadi?
Ada kemungkinan bahwa agen diaktifkan sebelum Microsoft Ignite 2025 dengan akun yang memerlukan aktivasi peran dengan Privileged Identity Management (PIM). Jadi ketika agen mencoba untuk menjalankan, itu gagal karena akun tidak memiliki izin yang diperlukan pada saat itu. Agen Pengoptimalan Akses Bersyarat yang diaktifkan setelah 17 November 2025 tidak lagi menggunakan identitas pengguna yang mengaktifkan agen.
Anda dapat mengatasi masalah ini dengan bermigrasi untuk menggunakan ID Agen Microsoft Entra. Pilih Buat identitas agen dari pesan banner di halaman agen atau bagian Identitas dan izin pengaturan agen.