Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agent optymalizacji Dostęp warunkowy usługi Microsoft Entra pomaga zapewnić, że wszyscy użytkownicy, aplikacje i tożsamości agentów są chronione przez zasady dostępu warunkowego. Agent może zalecić nowe zasady i zaktualizować istniejące zasady w oparciu o najlepsze rozwiązania zgodne z programem Zero Trust i nauką firmy Microsoft. Agent tworzy również raporty przeglądu zasad (wersja zapoznawcza), które zapewniają wgląd w skoki lub spadki, które mogą wskazywać na błędną konfigurację zasad.
Agent optymalizacji dostępu warunkowego ocenia zasady, takie jak:
- Wymaganie uwierzytelniania wieloskładnikowego (MFA).
- Wymuszanie mechanizmów kontroli opartych na urządzeniach (zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny).
- Blokowanie starszego uwierzytelniania i przepływu kodu urządzenia.
Agent ocenia również wszystkie aktualne aktywne polityki, aby zaproponować potencjalną konsolidację podobnych polityk. Gdy agent zidentyfikuje sugestię, możesz zlecić mu zaktualizowanie powiązanej zasady za pomocą korygowania jednym kliknięciem.
Ważne
Integracja z usługą ServiceNow i uruchomienia oparte na aktywności w Agencie optymalizacji dostępu warunkowego są obecnie dostępne w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.
Wymagania wstępne
- Musisz mieć co najmniej licencję Microsoft Entra ID P1 .
- Musisz mieć dostępne jednostki obliczeniowe zabezpieczeń (SCU). Średnio każde uruchomienie agenta zużywa mniej niż jedną jednostkę SCU.
- Musisz mieć odpowiednią rolę Microsoft Entra.
- Rola Administrator zabezpieczeń jest wymagana do aktywowania agenta po raz pierwszy.
- Role Czytelnik zabezpieczeń i Czytelnik globalny mogą wyświetlać agenta i wszelkie sugestie, ale nie mogą podejmować żadnych działań.
- Role Administrator dostępu warunkowego i Administrator zabezpieczeń mogą wyświetlać agenta i podejmować działania dotyczące sugestii.
- Możesz przyznać użytkownikom z rolą Administratorzy dostępu warunkowego dostęp do Microsoft Security Copilot, co umożliwi administratorom dostępu warunkowego korzystanie z agenta.
- Aby uzyskać więcej informacji o rolach, zobacz Przypisywanie dostępu do rozwiązania Security Copilot.
- Kontrolki oparte na urządzeniach wymagają licencji usługi Microsoft Intune.
- Zapoznaj się z artykułem Ochrona prywatności i bezpieczeństwo danych w rozwiązaniu Microsoft Security Copilot.
Ograniczenia
- Po uruchomieniu agenta nie można zatrzymać ani wstrzymać działania. Uruchomienie może potrwać kilka minut.
- Podczas konsolidacji zasad każde uruchomienie agenta ocenia 40 podobnych par zasad.
- Zalecamy uruchomienie agenta z poziomu centrum administracyjnego firmy Microsoft Entra.
- Skanowanie jest ograniczone do 24-godzinnego okresu.
- Nie można dostosowywać ani zastępować sugestii agenta.
- Agent może przeglądać maksymalnie 300 użytkowników i 150 aplikacji w jednym uruchomieniu.
Jak to działa
Agent optymalizacji dostępu warunkowego skanuje dzierżawcę pod kątem nowych użytkowników, aplikacji i tożsamości agenta dodanych w ciągu ostatnich 24 godzin oraz określa, czy zasady dostępu warunkowego mają zastosowanie. Jeśli agent znajdzie użytkowników, aplikacje lub tożsamości agentów, których zasady dostępu warunkowego nie obejmują, zawiera sugerowane następne kroki.
Następnym krokiem może być włączenie lub zmodyfikowanie zasad dostępu warunkowego. Możesz przejrzeć sugestię, sposób, w jaki agent zidentyfikował rozwiązanie, oraz to, co obejmowałaby zasada.
Za każdym razem, gdy agent działa, wykonuje następujące kroki. Te początkowe kroki skanowania nie korzystają z żadnych jednostek SCU.
- Agent skanuje wszystkie zasady dostępu warunkowego w Twojej dzierżawie.
- Agent sprawdza luki w zasadach i czy można połączyć jakiekolwiek zasady.
- Agent przegląda poprzednie sugestie, aby nie sugerował ponownie tych samych zasad.
Jeśli agent zidentyfikuje coś, czego wcześniej nie sugerował, podejmuje następujące kroki. Te kroki działania agenta zużywają jednostki SCU.
- Agent identyfikuje lukę zasad lub parę zasad, które można skonsolidować.
- Agent ocenia wszelkie podane instrukcje niestandardowe.
- Agent tworzy nową politykę w trybie tylko raportowania lub przedstawia sugestię zmodyfikowania polityki, w tym wszelką logikę zawartą w instrukcjach niestandardowych.
Uwaga / Notatka
Security Copilot wymaga, aby w dzierżawie była aprowizowana co najmniej jedna jednostka SCU. To SCU jest naliczane co miesiąc, nawet jeśli nie wykorzystasz żadnych jednostek SCU. Wyłączenie agenta nie powoduje zatrzymania miesięcznych rozliczeń dla SCU.
Sugestie dotyczące zasad agenta obejmują:
- Wymagaj uwierzytelniania wieloskładnikowego: agent identyfikuje użytkowników, którzy nie są objęci zasadami dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego i mogą aktualizować zasady.
- Wymagaj kontrolek opartych na urządzeniach: agent może wymuszać mechanizmy kontroli oparte na urządzeniach, takie jak zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny.
- Blokuj starsze uwierzytelnianie: logowanie kont użytkowników ze starszym uwierzytelnianiem jest zablokowane.
- Blokuj przepływ kodu urządzenia: agent szuka zasad blokujących przepływ kodu urządzenia.
- Ryzykowni użytkownicy: agent sugeruje zasady wymagające bezpiecznej zmiany hasła dla użytkowników wysokiego ryzyka. Wymaga licencji Microsoft Entra ID P2.
- Logowania wysokiego ryzyka: Agent sugeruje zasadę wymagającą uwierzytelniania wieloskładnikowego dla logowań wysokiego ryzyka. Wymaga licencji Microsoft Entra ID P2.
- Agenci ryzyka: Agent sugeruje zasadę blokowania uwierzytelniania dla logowań wysokiego ryzyka. Wymaga licencji Microsoft Entra ID P2.
- Konsolidacja zasad: agent skanuje zasady i identyfikuje nakładające się ustawienia. Jeśli na przykład masz więcej niż jedną zasadę z tymi samymi mechanizmami kontroli udzielania, agent sugeruje skonsolidowanie tych zasad w jeden.
- Głęboka analiza: agent ocenia zasady, które odpowiadają kluczowym scenariuszom w celu identyfikowania zasad odstających, które mają więcej niż zalecaną liczbę wyjątków (co prowadzi do nieoczekiwanych luk w pokryciu) lub brak wyjątków (co prowadzi do możliwego zablokowania).
- Szczegółowa analiza luk w ochronie MFA: Ta analiza identyfikuje użytkowników, którzy nie są chronieni przez żadne zasady dostępu warunkowego wymagające uwierzytelniania wieloskładnikowego lub określonej siły uwierzytelniania. Agent ocenia zarówno włączone zasady, jak i zasady w trybie tylko do raportowania w całej dzierżawie, aby obliczyć, ilu użytkowników nie jest objętych ochroną MFA. Typowe przyczyny obejmują użytkowników wykluczonych z zasad, brak ich w wymaganych grupach lub luki między nakładającymi się zasadami. Analiza zawiera również próbkę użytkowników, których dotyczy problem, priorytetowo według ostatnich działań logowania, dzięki czemu można najpierw zbadać luki o najwyższym ryzyku.
- Dostęp z najmniejszymi uprawnieniami dla tożsamości agentów (wersja zapoznawcza): Agent identyfikuje tożsamości agentów z nieużywanymi lub nadmiernymi uprawnieniami Microsoft Graph. Następnie zaleca wymuszanie najniższych uprawnień, takie jak usuwanie nieużywanych uprawnień lub zastępowanie szerszych uprawnień bardziej szczegółowymi.
Ważne
Agent nie wprowadza żadnych zmian w istniejących zasadach, chyba że administrator jawnie zatwierdzi sugestię.
Wszystkie nowe zasady sugerowane przez agenta są tworzone w trybie tylko do raportowania.
Dwie zasady można skonsolidować, jeśli różnią się nie więcej niż dwoma warunkami lub mechanizmami kontroli.
Wprowadzenie
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.
Na nowej stronie głównej wybierz pozycję Przejdź do agentów z karty powiadomień agenta.
Możesz również wybrać agenty Security Copilot w menu po lewej stronie.
Na kafelku Agent optymalizacji dostępu warunkowego wybierz pozycję Wyświetl szczegóły.
Wybierz Uruchom agenta, aby rozpocząć pierwsze uruchomienie.
Na karcie Przegląd agenta wszelkie sugestie są wyświetlane w polu Ostatnie sugestie . Następnie możesz przejrzeć zasady, określić wpływ zasad i w razie potrzeby zastosować zmiany. Aby uzyskać więcej informacji, zobacz Przeglądanie i stosowanie sugestii z agenta optymalizacji dostępu warunkowego.
Ustawienia
Agent zawiera kilka zaawansowanych ustawień, aby rozszerzyć możliwości, jednocześnie tworząc je unikatowe dla organizacji. Następujące możliwości można skonfigurować na karcie Ustawienia . Aby uzyskać więcej informacji, zobacz Ustawienia agenta optymalizacji dostępu warunkowego.
- Zezwalaj agentowi na automatyczne uruchamianie co 24 godziny.
- Włącz uruchomienia oparte na aktywności, aby wyzwalać agenta, gdy wystąpią odpowiednie zmiany dzierżawcy (wersja zapoznawcza).
- Ustaw agenta, aby sprawdzić zmiany użytkowników i aplikacji.
- Zezwalaj agentowi na tworzenie zasad w trybie tylko do raportowania.
- Zezwalaj agentowi na wysyłanie powiadomień za pośrednictwem Microsoft Teams.
- Zezwalaj agentowi na tworzenie planów wdrażania etapowego.
- Włącz integrację z usługą ServiceNow na potrzeby automatycznego tworzenia biletów.
- Podaj źródła wiedzy agentowi pod kątem sugestii specyficznych dla organizacji.
Wbudowane integracje
Agent optymalizacji dostępu warunkowego może zawierać sugestie dotyczące zasad dla organizacji korzystających z usługi Intune na potrzeby zarządzania urządzeniami i globalnego bezpiecznego dostępu w celu uzyskania dostępu do sieci.
Integracja z usługą Intune
Agent optymalizacji dostępu warunkowego integruje się z usługą Intune w celu:
- Monitorowanie zgodności urządzeń i zasad ochrony aplikacji skonfigurowanych w usłudze Intune.
- Zidentyfikuj potencjalne luki w wymuszaniu dostępu warunkowego.
Takie proaktywne i zautomatyzowane podejście zapewnia, że zasady dostępu warunkowego pozostają zgodne z celami zabezpieczeń organizacji i wymaganiami dotyczącymi zgodności. Sugestie agenta są takie same jak inne sugestie dotyczące zasad, z tą różnicą, że usługa Intune udostępnia część sygnału agentowi.
Sugestie dotyczące konfiguracji agentów dla scenariuszy usługi Intune obejmują określone grupy użytkowników i platformy (iOS lub Android). Na przykład agent identyfikuje aktywne zasady usługi Intune na potrzeby ochrony aplikacji przeznaczone dla grupy Finanse, ale określa, że żadne wystarczające zasady dostępu warunkowego nie wymuszają ochrony aplikacji. Agent tworzy zasady tylko dla raportów, które wymagają od użytkowników dostępu do zasobów tylko za pośrednictwem zgodnych aplikacji na urządzeniach z systemem iOS.
Aby zidentyfikować zasady zgodności urządzeń oraz zasady ochrony aplikacji w usłudze Intune, agent musi działać jako Administrator globalny lub Administrator dostępu warunkowego i Czytelnik globalny. Rola administratora dostępu warunkowego nie jest wystarczająca samodzielnie, aby agent tworzył sugestie dotyczące usługi Intune.
Globalna integracja zabezpieczonego dostępu
Dostęp do Internetu Microsoft Entra i Dostęp Prywatny Microsoft Entra (zbiorczo znany jako globalny bezpieczny dostęp) integrują się z agentem optymalizacji dostępu warunkowego, aby udostępnić sugestie specyficzne dla zasad dostępu do sieci organizacji. Sugestia Włącz nowe zasady, aby wymusić wymagania dotyczące dostępu sieciowego usługi Global Secure Access pomaga dostosować zasady usługi Global Secure Access, które obejmują lokalizacje sieciowe i chronione aplikacje.
Dzięki tej integracji agent identyfikuje użytkowników lub grupy, które nie są objęte zasadami dostępu warunkowego, aby wymagać dostępu do zasobów firmy tylko za pośrednictwem zatwierdzonych globalnych kanałów bezpiecznego dostępu. Te zasady wymagają od użytkowników łączenia się z zasobami firmowymi przy użyciu bezpiecznej sieci globalnego bezpiecznego dostępu organizacji przed uzyskaniem dostępu do firmowych aplikacji i danych. Użytkownicy, którzy łączą się z niezarządzanych lub niezaufanych sieci, są monitowani o użycie klienta globalnego bezpiecznego dostępu lub bramy internetowej. Możesz przejrzeć dzienniki logowania, aby zweryfikować zgodne połączenia.
Usuwanie agenta
Jeśli nie chcesz już używać agenta optymalizacji dostępu warunkowego, wybierz pozycję Usuń agenta w górnej części okna agenta. Istniejące dane (działanie agenta, sugestie i metryki) są usuwane, ale wszystkie zasady utworzone lub zaktualizowane na podstawie sugestii agenta pozostają nienaruszone. Wcześniej zastosowane sugestie pozostają niezmienione, dzięki czemu można nadal używać zasad utworzonych lub zmodyfikowanych przez agenta.
Przekazywanie opinii
Aby przekazać opinię na temat agenta Microsoft, użyj przycisku Give Microsoft feedback w górnej części okna agenta.
FAQs
Kiedy należy używać agenta Conditional Access Optimization zamiast Copilot Chat?
Agent optymalizacji dostępu warunkowego i firma Microsoft Copilot Chat zapewniają różne szczegółowe informacje na temat zasad dostępu warunkowego. W poniższej tabeli porównaliśmy dwie funkcje.
| Scenario | Agent optymalizacji dostępu warunkowego | Czat Współpilota |
|---|---|---|
| Scenariusze ogólne | ||
| Konfiguracja specyficzna dla dzierżawcy | ✅ | |
| Zaawansowane rozumowanie | ✅ | |
| Szczegółowe informacje na żądanie | ✅ | |
| Interaktywne rozwiązywanie problemów | ✅ | |
| Ciągła ocena zasad | ✅ | |
| Sugestie dotyczące automatycznych ulepszeń | ✅ | |
| Wskazówki dotyczące najlepszych rozwiązań i konfiguracji urzędu certyfikacji | ✅ | ✅ |
| Określone scenariusze | ||
| Aktywna identyfikacja niechronionych użytkowników lub aplikacji | ✅ | |
| Wymuszanie uwierzytelniania wieloskładnikowego i innych podstawowych mechanizmów zabezpieczeń dla wszystkich użytkowników | ✅ | |
| Ciągłe monitorowanie i optymalizacja polityk urzędu certyfikacji | ✅ | |
| Zmiany zasad jednym kliknięciem | ✅ | |
| Przegląd istniejących zasad i przypisań urzędu certyfikacji ("Czy zasady dotyczą Alicji?") | ✅ | ✅ |
| Rozwiązywanie problemów z dostępem użytkownika („Dlaczego wyświetlono Alicji monit o MFA?”) | ✅ |
Aktywowano agenta, ale stan działania to Niepowodzenie. Co się dzieje?
Możliwe, że aktywowałeś(-aś) agenta przed konferencją Microsoft Ignite 2025 za pomocą konta wymagającego aktywacji roli w usłudze Privileged Identity Management (PIM). Dlatego gdy agent próbował uruchomić, zakończył się niepowodzeniem, ponieważ konto nie ma wymaganych uprawnień w tym czasie. Agent optymalizacji dostępu warunkowego aktywowany po 17 listopada 2025 r. nie korzysta już z tożsamości użytkownika, który go aktywował.
Ten problem można rozwiązać, migrując do Identyfikator agenta Microsoft Entra. Wybierz pozycję Utwórz tożsamość agenta z komunikatu baneru na stronie agenta lub w sekcji Uprawnienia ustawień agenta.