Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dite addio alla ricerca dispendiosa in termini di tempo e l'incertezza delle decisioni affrettate. L'agente di verifica di accesso funziona per i revisori raccogliendo automaticamente informazioni dettagliate e generando raccomandazioni. Guida quindi i revisori attraverso il processo di revisione in Microsoft Teams con il linguaggio naturale, con semplici riepiloghi e decisioni proposte, in modo da poter effettuare la chiamata finale con fiducia e chiarezza.
Prerequisiti
- È necessario disporre delle licenze microsoft Entra ID Governance o Microsoft Entra Suite.
- È necessario eseguire l'onboarding in Security Copilot con almeno un'unità di calcolo della sicurezza (SCU) di cui è stato effettuato il provisioning.
- Completare una revisione degli accessi che include 20 decisioni consuma in media 4,5 SCU. Ciò include l'agente che raccoglie informazioni dettagliate e genera raccomandazioni e la conversazione in linguaggio naturale del revisore in Microsoft Teams con l'agente. Il consumo di SCU può variare in base alla lunghezza della conversazione tra il revisore e l'agente.
- Gli amministratori devono avere almeno tutti i ruoli seguenti per configurare e gestire l'agente nell'interfaccia di amministrazione di Microsoft Entra:
- Affinché i revisori usino l'agente di verifica di accesso, devono avere accesso a Microsoft Teams e devono disporre di una verifica di accesso attiva assegnata. Devono anche avere almeno il ruolo Collaboratore Copilot di sicurezza assegnato.
- Esaminare privacy e sicurezza dei dati in Microsoft Security Copilot
Limitazioni
- Una volta avviati gli agenti, non possono essere arrestati o sospesi. L'esecuzione potrebbe richiedere alcuni minuti.
- È consigliabile eseguire l'agente dall'interfaccia di amministrazione di Microsoft Entra.
Scenari Supportati
Le tabelle seguenti illustrano il supporto corrente dell'agente di revisione di Access in base agli scenari di revisione:
| Scenario | Sostenuto |
|---|---|
| risorse | |
| Teams e gruppi | ✅ |
| Assegnazione di pacchetti di accesso | ✅ |
| Assegnazione dell'applicazione | ✅ |
| Ruoli delle risorse di Azure | ❌ |
| Ruoli di Microsoft Entra | ❌ |
| Gruppi gestiti da Privileged Identity Management | ❌ |
| Dimensione | |
| Fino a 35 decisioni (per revisione, non revisore) | ✅ |
| >35 decisioni per revisione | ❌ |
| Fasi | |
| Fase singola | ✅ |
| Più fasi | ❌ |
| Revisori | |
| Specifico | ✅ |
| Proprietari del gruppo | ✅ |
| Managers | ✅ |
| Auto-recensioni | ❌ |
| Lingue | |
| English | ✅ |
| Altri linguaggi | ❌ |
Come funziona
L'agente di verifica di accesso analizza in modo proattivo le verifiche di accesso attive nel tenant contrassegnate per l'elaborazione da parte dell'agente. L'agente analizza quindi le revisioni identificate raccogliendo informazioni dettagliate aggiuntive e genera un suggerimento (approvazione/negazione) e un riepilogo della giustificazione per ogni decisione. Dopo che l'agente analizza le raccomandazioni e i riepiloghi di giustificazione corrispondenti, è in grado di guidare i revisori, in linguaggio naturale, tramite il processo di revisione in Microsoft Teams. I revisori sono autorizzati a completare le proprie revisioni tramite l'esperienza di chat in linguaggio naturale in Microsoft Teams. Poiché l'agente li guida attraverso la revisione, è possibile esaminare il ragionamento dell'agente dietro le raccomandazioni, porre domande nel contesto della revisione stessa e infine prendere la propria decisione informata.
La raccomandazione degli agenti (approvare/negare) per ogni decisione si basa su un meccanismo di assegnazione dei punteggi deterministico basato su più segnali. I segnali usati per la raccomandazione vengono quindi usati per fornire un riepilogo di giustificazione descrittivo per l'utente finale basato su un modello di linguaggio di grandi dimensioni (LLM). La successiva esperienza di chat in linguaggio naturale in Microsoft Teams è facilitata dal modello linguistico di grandi dimensioni con raccomandazioni generate in precedenza e riepiloghi di giustificazione come contesto disponibile.
L'agente considera i segnali seguenti:
- Inattività dell'utente: se l'utente ha eseguito l'accesso
- Affiliazione da utente a gruppo: se l'utente ha un'affiliazione bassa con altri utenti che hanno questo accesso
- Account abilitato: se l'account dell'utente è abilitato (proprietà accountEnabled)
- Stato dell'occupazione: se l'impiego dell'utente è terminato (proprietà employeeLeaveDateTime)
- Cronologia del flusso di lavoro del ciclo di vita: se l'utente ha eseguito un flusso di lavoro mover negli ultimi 30 giorni
- Decisioni delle recensioni precedenti: per le revisioni ricorrenti, le decisioni delle iterazioni di revisione precedenti vengono considerate
- Cronologia delle richieste di accesso: per le verifiche di assegnazione dei pacchetti di accesso, la cronologia delle richieste e delle approvazioni viene considerata
Annotazioni
Il riepilogo della giustificazione include informazioni da questi segnali ed è disponibile per il revisore durante il processo di revisione anche se alcune di queste informazioni non sono disponibili per i revisori al di fuori del processo di revisione.
Gli amministratori possono esaminare le raccomandazioni (approvare/negare) e i riepiloghi delle motivazioni. Per informazioni dettagliate, vedere Log e metriche dell'agente di verifica di Access (anteprima). Si noti che le raccomandazioni dell'agente possono differire dalle raccomandazioni visualizzate nel portale di Accesso personale e nell'esperienza di verifica di accesso nell'interfaccia di amministrazione di Microsoft Entra.
Come iniziare
Configurazione dell'agente di verifica di accesso
Con un account con almeno tutti i ruoli seguenti, accedere all'interfaccia di amministrazione di Microsoft Entra:
Nella nuova home page selezionare Vai agli agenti dalla scheda di notifica dell'agente.
- È anche possibile selezionare Agenti dal menu di spostamento a sinistra.
- È anche possibile selezionare Agenti dal menu di spostamento a sinistra.
Selezionare Visualizza dettagli nel riquadro Access Review Agent .
Selezionare Avvia agente per iniziare la prima esecuzione.
- Evitare di usare un account con un ruolo attivato tramite PIM.
- Nell'angolo superiore destro viene visualizzato un messaggio che indica che l'agente avvia la prima esecuzione.
- Il completamento della prima esecuzione potrebbe richiedere alcuni minuti.
Abilitare l'agente di verifica di accesso per le verifiche di accesso esistenti
Dopo l'avvio dell'agente di verifica di accesso, è necessario contrassegnare le verifiche di accesso da elaborare dall'agente di verifica di accesso. Access Review Agent è in grado di elaborare sia verifiche di accesso nuove che esistenti. Le sezioni seguenti illustrano come contrassegnare la verifica di accesso da elaborare dall'agente di verifica di accesso.
Abilitare l'agente di verifica di accesso per i gruppi esistenti e le verifiche di accesso alle applicazioni
Per aggiornare una verifica di accesso esistente da elaborare dall'agente di verifica di accesso, seguire questa procedura:
Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di Identity Governance.
Passa a Governance ID>Revisioni degli accessi.
Selezionare la verifica di accesso che si vuole che l'agente supporti.
Nella pagina di panoramica della verifica di accesso selezionare Impostazioni in Gestisci se si tratta di una revisione occasionale o Impostazioni in Serie se si tratta di una revisione ricorrente.
In Impostazioni avanzate selezionare la casella nell'impostazione che indica Access Review Agent (anteprima).
Seleziona Salva.
Abilitare l'agente di verifica di accesso per le verifiche di assegnazione dei pacchetti di accesso esistenti
Per aggiornare una verifica di accesso esistente da elaborare dall'agente di verifica di accesso, seguire questa procedura:
Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di Identity Governance.
Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.
Selezionare il pacchetto di accesso che si vuole che l'agente supporti.
Nella pagina di panoramica del pacchetto di accesso selezionare Criteri, quindi selezionare i criteri da aggiornare e selezionare Modifica.
Nella pagina modifica criteri selezionare Ciclo di vita.
Nella scheda ciclo di vita selezionare Advanced Access Review settings (Impostazioni di verifica avanzata di accesso) e selezionare la casella Abilita nell'impostazione dell'agente di verifica di accesso (anteprima).
Seleziona Salva.
Verificare che i revisori possano usare l'agente di verifica di accesso
I revisori accedono all'agente di verifica di accesso tramite un'app di Microsoft Teams. Se le impostazioni delle app a livello di organizzazione di Microsoft Teams dell'organizzazione consentono alle applicazioni Microsoft di non è necessaria alcuna azione. Se l'organizzazione ha disabilitato le app Microsoft nelle impostazioni dell'app a livello di organizzazione di Microsoft Teams, l'amministratore di Microsoft Teams dell'organizzazione deve approvare esplicitamente l'app.
È inoltre necessario assicurarsi che tutti i revisori abbiano almeno il ruolo Collaboratore copilot di sicurezza in modo che possano usare l'agente per completare le proprie revisioni. Ciò è necessario perché la conversazione in linguaggio naturale in Microsoft Teams sta aprendo una sessione di Microsoft Security Copilot dietro le quinte. I revisori partecipanti accedono all'esperienza agente tramite Microsoft Teams, ma con l'assegnazione di ruolo a cui avranno diritto di accedere al portale di Security Copilot o all'esperienza Security Copilot in altri portali amministrativi di Microsoft Security. Se i revisori accedono a Security Copilot all'esterno di Microsoft Teams, l'accesso ai dati con Security Copilot è comunque soggetto alle autorizzazioni utente predefinite.
Uso dell'agente di verifica di accesso come revisore
Con l'avvio dell'agente di verifica di accesso, i revisori hanno assegnato autorizzazioni appropriate e con l'app disponibile, i revisori sono ora pronti per completare le loro recensioni con l'aiuto dell'agente. È possibile accedere direttamente all'agente di verifica di accesso all'interno di Microsoft Teams (collegamento diretto). Le notifiche di posta elettronica di verifica di accesso inviate ai revisori includeranno anche un collegamento diretto a Microsoft Teams.
Aprire l'applicazione Microsoft Teams che ha eseguito l'accesso come utente assegnato come revisore.
Selezionare il collegamento Access Review Agent (Agente di verifica di accesso ) per aprire l'agente
Nella pagina App cercare Access Review Agent e selezionare Aggiungi.
Dopo aver aggiunto l'agente, selezionare Apri.
Quando si apre, è possibile selezionare il prompt disponibile per avviare la chat con l'agente
Settings
Dopo aver abilitato l'agente, è possibile modificare alcune impostazioni. È possibile accedere alle impostazioni eseguendo le operazioni seguenti nell'interfaccia di amministrazione di Microsoft Entra:
- Dalleimpostazioni>>.
Attivatore
L'agente è configurato per l'esecuzione ogni 24 ore in base alla configurazione iniziale. È possibile eseguirla in un momento specifico attivando o disattivando l'impostazione Trigger e quindi riattivandola quando si vuole eseguirla.
Annotazioni
Se i revisori rispondono immediatamente alle notifiche di posta elettronica di verifica dell'accesso, l'agente potrebbe non aver ancora elaborato la verifica. Solo dopo l'esecuzione dell'agente è in grado di assistere le verifiche di accesso in Microsoft Teams. Se si risponde prima che l'agente elabori la revisione, l'agente risponde con il messaggio seguente al revisore in Microsoft Teams: "Non vedo revisioni in sospeso che posso aiutarti con in questo momento. Poiché le mie funzionalità sono ancora in espansione, è consigliabile controllare il portale di accesso personale per verificare se sono presenti altre recensioni in sospeso".
Rimozione dell'agente
Se non si vuole più usare Access Review Agent, selezionare Rimuovi agente nella parte superiore della finestra dell'agente. Le metriche e le attività dell'agente esistenti vengono rimosse, ma le raccomandazioni e le motivazioni per le revisioni già elaborate vengono mantenute dall'agente in Microsoft Teams e continuano a essere in grado di assistere i revisori con queste revisioni. Per completare la rimozione, è anche necessario annullare il flag delle verifiche di accesso contrassegnate in precedenza per essere elaborate dall'agente.
Disabilitare l'agente di verifica di accesso per i gruppi esistenti e le verifiche di accesso alle applicazioni
Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di Identity Governance.
Passare a Governance ID>Verifiche di Accesso.
Selezionare la verifica di accesso con il supporto dell'agente abilitato.
Nella pagina di panoramica della verifica di accesso selezionare Impostazioni in Gestisci se si tratta di una revisione occasionale o Impostazioni in Serie se si tratta di una revisione ricorrente.
In Impostazioni avanzate deselezionare la casella nell'impostazione che indica Access Review Agent (anteprima).Under Advanced Settings, uncheck the box on the setting that that says Access Review Agent (Preview).
Seleziona Salva.
Disabilitare l'agente di verifica di accesso per le verifiche di assegnazione dei pacchetti di accesso esistenti
Accedi al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore di Identity Governance.
Vai a ID Governance>Gestione delle autorizzazioni>Pacchetto di accesso.
Selezionare il pacchetto di accesso che si vuole che l'agente supporti.
Nella pagina di panoramica del pacchetto di accesso selezionare Criteri, quindi selezionare i criteri da aggiornare e selezionare Modifica.
Nella pagina modifica criteri selezionare Ciclo di vita.
Nella scheda ciclo di vita selezionare la casella Disabilita nell'impostazione dell'agente di verifica di accesso (anteprima).
Seleziona Salva.
Revocare l'accesso copilota alla sicurezza
Potrebbe essere necessario revocare l'accesso collaboratore copilota di sicurezza dei revisori se non sono necessari altri scenari per accedere a Security Copilot.
Identità e autorizzazioni
Quando l'agente è attivato, viene creata un'identità univoca dell'agente. Per altre informazioni, vedere Gestire le identità dell'agente.
L'agente usa questa identità per scansionare il tenant alla ricerca di revisioni di accesso attivo, raccogliere ulteriori informazioni e salvare le sue raccomandazioni e giustificazioni per il revisore. Per altre informazioni, vedere: Funzionamento
Permissions
- Ottenere i dettagli per le verifiche di accesso
- Leggere i dettagli e la cronologia del flusso di lavoro del ciclo di vita per utenti, gruppi, app e pacchetti di accesso
- Salvare le raccomandazioni e le motivazioni della verifica di accesso
Le decisioni finali, inviate tramite la conversazione di Microsoft Teams, usano l'identità del revisore.
Nella pagina delle impostazioni dell'agente viene visualizzata l'identità attualmente assegnata all'agente: 
Se l'agente è stato configurato in precedenza usando l'identità di un amministratore, è necessario eseguirne la migrazione a un'identità dell'agente dedicata. Completare questa migrazione selezionando l'opzione "Crea identità agente" disponibile nel banner blu della pagina di panoramica dell'agente o nella pagina delle impostazioni dell'agente.
Fornire commenti e suggerimenti
Usare il pulsante Invia commenti e suggerimenti Microsoft nella parte superiore della finestra dell'agente per inviare commenti e suggerimenti a Microsoft sull'agente.
FAQs
Perché l'agente in Microsoft Teams risponde con "Sembra che l'agente di verifica di accesso non sia ancora stato abilitato per l'organizzazione o abbia riscontrato problemi imprevisti. Per assistenza, contattare il reparto IT. Nel frattempo, è possibile completare le revisioni in sospeso nel portale di Accesso personale'?
Se l'agente risponde con questo messaggio, è probabile che la configurazione dell'agente, ad esempio l'avvio dell'agente, l'assegnazione di revisori accesso copilot di sicurezza e l'abilitazione dell'agente per le verifiche esistenti, non venga completata.
Perché l'agente in Microsoft Teams risponde con "Le cose sono un po ' occupato al momento e non è stato possibile elaborare la richiesta in questo momento. Potresti riprovare un po'? In caso di fretta, il portale di Accesso personale è sempre disponibile.'?
L'agente risponde con questo messaggio se il tenant non ha effettuato il provisioning e la capacità di Copilot per la sicurezza in eccedenza.