Panoramica dell'agente di revisione delle modifiche

Nell'anteprima pubblica, l'agente di revisione delle modifiche Microsoft Intune usa l'intelligenza artificiale generativa di Microsoft Security Copilot per valutare le richieste di approvazione multi Amministrazione per gli script di PowerShell nei dispositivi Windows. Fornisce raccomandazioni basate sui rischi e informazioni contestuali per aiutare gli amministratori a comprendere il comportamento degli script e i rischi associati. Queste informazioni dettagliate consentono agli amministratori Intune di prendere decisioni informate più rapidamente sull'approvazione o la negazione delle richieste.

Per generare queste raccomandazioni, l'agente aggrega i segnali da più origini:

• Gestione delle vulnerabilità di Microsoft Defender : per informazioni dettagliate sulle minacce
• Microsoft -Entra ID - per il rischio di identità
• Microsoft Intune - per richieste di approvazione multi Amministrazione e contesto cronologico di richieste simili

L'agente analizza questi segnali per valutare il rischio potenziale associato a ogni richiesta e quindi fornisce informazioni utili per supportare una gestione delle modifiche sicura ed efficiente.

Prerequisiti

Requisiti del cloud

L'agente è supportato solo nel cloud pubblico. Non è supportato nei cloud per enti pubblici.

Requisiti di licenza

Per usare Security Copilot agenti in Microsoft Intune, l'organizzazione deve soddisfare requisiti di licenza specifici.

Licenze necessarie:

• sottoscrizione Microsoft Intune (piano 1)
• Microsoft Entra ID P2
• Gestione delle vulnerabilità di Microsoft Defender
• Microsoft Security Copilot con unità di calcolo di sicurezza sufficienti

Requisiti dei plug-in

I plug-in consentono agli agenti Security Copilot di connettersi con i servizi Microsoft ed eseguire azioni specializzate.

L'agente di revisione delle modifiche richiede i plug-in seguenti:

• Microsoft Intune
• Microsoft Entra
• Microsoft Defender XDR
• Microsoft Threat Intelligence

Altre informazioni sui plug-in.

Requisiti e scenari della piattaforma

L'agente supporta la valutazione e le raccomandazioni per le piattaforme e gli scenari seguenti:

• Windows
• Script di PowerShell in Intune

Requisiti dei ruoli

I requisiti del ruolo variano in base alla configurazione o all'uso dell'agente e alle azioni specifiche eseguite.

---

Per abilitare e configurare l'agente di revisione modifiche, usare un account con i ruoli seguenti:

Ruoli entra:

• Amministratore Intune
• Ruolo con autorizzazioni di lettura per la sicurezza
• Utente rischioso di Entra/Identity (lettura): questa autorizzazione è mappata all'autorizzazione Controllo degli accessi in base al ruolo unificata Comportamento di sicurezza/Rischio di identità/Utenti rischiosi (lettura).

Ruoli di Defender - I ruoli del controllo degli accessi in base al ruolo di Defender dipendono dall'implementazione Defender XDR:

• Controllo degli accessi in base al ruolo unificato: assegnare il lettore di sicurezza Microsoft Entra ID all'account di identità dell'agente. Questo ruolo consente l'accesso in sola lettura ai dati Gestione delle vulnerabilità di Defender e applica automaticamente l'ambito del gruppo di dispositivi.

• Controllo degli accessi in base al ruolo granulare: assegnare un ruolo controllo degli accessi in base al ruolo personalizzato con autorizzazioni equivalenti al ruolo lettore di sicurezza controllo degli accessi in base al ruolo unificato. Ad esempio:

  • Visualizzare i dati : Gestione delle vulnerabilità di Defender: questa autorizzazione è mappata all'autorizzazione Controllo degli accessi in base al ruolo unificata Comportamento di sicurezza/Gestione della postura/Gestione delle vulnerabilità (lettura).

  Per informazioni dettagliate sul mapping delle autorizzazioni al ruolo lettore di sicurezza controllo degli accessi in base al ruolo unificato, vedere Microsoft Entra Accesso ai ruoli globali nell'articolo Mapping Microsoft Defender XDR controllo degli accessi in base al ruolo unificato nella documentazione di Defender.

  Verificare che l'ambito dell'identità dell'agente sia Microsoft Defender per includere tutti i gruppi di dispositivi pertinenti. L'agente non può accedere o creare report su dispositivi esterni all'ambito assegnato.

Security Copilot ruoli:

• Proprietario copilot

---

Per usare l'agente ed eseguire azioni di offboarding, usare un account con i ruoli seguenti:

Intune ruoli:

• Operatore di sola lettura o ruolo personalizzato con autorizzazioni equivalenti.

Ruoli entra:

• Ruolo con autorizzazioni di lettura per la sicurezza

Ruoli di Defender

• L'uso dell'agente richiede lo stesso accesso dell'abilitazione e della configurazione dell'agente.

Security Copilot ruoli:

• Collaboratore copilot

Funzionamento dell'agente

L'agente di revisione delle modifiche funziona usando un'identità dell'account Intune admins ed è eseguito manualmente all'avvio di un amministratore.

A livello generale, l'agente esegue i passaggi seguenti ogni volta che viene eseguito:

1. Aggregazione del segnale : l'agente inizia aggregando i segnali dalle origini seguenti:

   • Gestione delle vulnerabilità di Microsoft Defender : per informazioni dettagliate sulle minacce
   • Microsoft Entra ID - per il rischio di identità
   • Microsoft Intune - per richieste di approvazione multi Amministrazione e contesto cronologico di richieste simili

2. Valutazione: l'agente valuta Windows PowerShell script per le richieste di approvazione multi Amministrazione usando la logica predefinita incorporata nella configurazione dell'agente.

3. Raccomandazioni : l'agente esamina e quindi fornisce raccomandazioni per un massimo di 10 richieste per esecuzione.

   I suggerimenti sono solo suggerimenti . L'approvazione o il rifiuto di una richiesta rimane di un amministratore Intune.

   La prima colonna dell'elenco di raccomandazioni presenta i passaggi successivi suggeriti, che visualizzano l'azione consigliata seguita dal nome della richiesta. Le azioni possibili includono:

   • Approvare - Richiesta a basso rischio; probabilmente sicuro da approvare.
   • Rifiuta - Richiesta ad alto rischio; non deve essere approvato.
   • Richiede altre informazioni: il rischio non è stato valutato completamente. Questa richiesta richiede un'ulteriore revisione.

   Ogni raccomandazione include dettagli di supporto che illustrano:

   • La logica alla base della raccomandazione dell'agente.
   • Operazioni che lo script deve eseguire o eseguire.
   • Elenco dettagliato dei fattori esaminati dall'agente come parte del processo.

Identità dell'agente

L'agente viene eseguito con l'identità e le autorizzazioni dell'account amministratore Intune usato durante l'installazione. Le azioni dell'agente sono limitate alle autorizzazioni di tale account e l'identità viene aggiornata a ogni esecuzione. Se l'agente non viene eseguito per 90 giorni consecutivi, l'autenticazione scade e le esecuzioni successive non riescono fino al rinnovo. Per mantenere la funzionalità, rinnovare l'identità dell'agente prima del limite di 90 giorni.

Considerazioni operative

Prima di configurare e avviare l'agente per la prima volta, esaminare le considerazioni seguenti:

• Un amministratore deve avviare manualmente l'agente. Una volta avviato, non è possibile arrestarlo o sospenderlo.
• L'agente può essere avviato solo dall'interfaccia di amministrazione Microsoft Intune.
• I dettagli della sessione nel portale Microsoft Security Copilot sono visibili solo all'utente che ha configurato l'agente.
• L'agente esamina e fornisce quindi consigli per un massimo di 10 richieste per esecuzione.
• È supportata una sola istanza dell'agente per ogni contesto tenant/utente.

Configurare l'agente

L'agente opera con l'identità e le autorizzazioni dell'account amministratore Intune usato durante l'installazione. Le operazioni sono limitate alle autorizzazioni di tale account e l'identità viene aggiornata a ogni esecuzione. Eventuali modifiche alle autorizzazioni dell'account influiscono sulle funzionalità dell'agente durante l'esecuzione successiva.

Per configurare l'agente di revisione delle modifiche:

1. Nell'interfaccia di amministrazione Microsoft Intune passare ad Agentedi revisione modificheagenti>.

2. In Panoramica selezionare Configura agente per aprire il riquadro Configura agente di revisione modifiche .

3. Nel riquadro Configura agente di revisione modifiche sono elencate le autorizzazioni necessarie e vengono fornite informazioni dettagliate sui requisiti di installazione. Quando vengono soddisfatti i requisiti, selezionare Avvia agente.

   

L'agente opera fino a quando non completa la valutazione e visualizza i risultati nella scheda Panoramica. Al termine dell'esecuzione, l'agente è pronto per l'uso.

Per altre informazioni sull'uso dell'agente, vedere Usare l'agente di revisione delle modifiche.

Rimuovere l'agente

Quando si rimuove un agente, tutti i dati associati generati, inclusi i suggerimenti e le attività, vengono eliminati. I suggerimenti applicati in precedenza rimangono invariati.

Procedura per rimuovere un'istanza dell'agente:

1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Agenti.
2. Selezionare l'istanza dell'agente da rimuovere.
3. Selezionare Rimuovi agente e confermare la rimozione.

Dopo la rimozione:

• Il riquadro dell'agente torna allo stato originale.
• Un amministratore può reinstallare l'agente in un secondo momento ripetendo il processo di installazione.

Contribuire a plasmare il futuro degli agenti Intune

Partecipa al forum di feedback degli agenti di Intune per condividere informazioni dettagliate e influenzare le funzionalità future in Microsoft Intune.

Iscriversi e altre informazioni: https://aka.ms/IntuneAgentsForum

Contenuto correlato

• Usare l'agente di revisione delle modifiche