Microsoft Entra Agent optymalizacji dostępu warunkowego

Agent optymalizacji dostępu warunkowego pomaga zapewnić, że wszyscy użytkownicy, aplikacje i tożsamości agentów są chronione przez zasady dostępu warunkowego. Agent może zalecić nowe zasady i zaktualizować istniejące zasady w oparciu o najlepsze rozwiązania zgodne z programem Zero Trust i nauką firmy Microsoft. Agent tworzy również raporty przeglądu zasad (wersja zapoznawcza), które zapewniają wgląd w skoki lub spadki, które mogą wskazywać na błędną konfigurację zasad.

Agent optymalizacji dostępu warunkowego ocenia zasady, takie jak wymaganie uwierzytelniania wieloskładnikowego (MFA), wymuszanie mechanizmów kontroli opartych na urządzeniach (zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny) oraz blokowanie starszego uwierzytelniania i przepływu kodu urządzenia. Agent ocenia również wszystkie aktualne aktywne polityki, aby zaproponować potencjalną konsolidację podobnych polityk. Gdy agent zidentyfikuje sugestię, możesz umożliwić agentowi zaktualizowanie skojarzonych zasad za pomocą funkcji naprawy jednym kliknięciem.

Ważne

Integracja usług ServiceNow i Microsoft Teams z agentem optymalizacji dostępu warunkowego jest obecnie dostępna w wersji zapoznawczej. Te informacje odnoszą się do produktu w wersji wstępnej, który może zostać znacząco zmodyfikowany przed wydaniem. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani domniemanych, w odniesieniu do podanych tutaj informacji.

Wymagania wstępne

• Musisz mieć co najmniej licencję Microsoft Entra ID P1 .
• Musisz mieć dostępne jednostki obliczeniowe zabezpieczeń (SCU).
  • Średnio każde uruchomienie agenta zużywa mniej niż jedną jednostkę SCU.
• Musisz mieć odpowiednią rolę Microsoft Entra.
  • Administrator zabezpieczeń jest wymagany do aktywowania agenta po raz pierwszy.
  • Role Czytelnik zabezpieczeń i Czytelnik globalny mogą wyświetlać agenta i wszelkie sugestie, ale nie mogą podejmować żadnych działań.
  • Role Administrator dostępu warunkowego i Administrator zabezpieczeń mogą wyświetlać agenta i podejmować działania dotyczące sugestii.
  • Administratorom dostępu warunkowego można przypisać dostęp do Security Copilot, co daje im możliwość korzystania z tego narzędzia również.
  • Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu dla Copilota Zabezpieczeń.
• Kontrolki oparte na urządzeniach wymagają licencji usługi Microsoft Intune.
• Zapoznaj się z artykułem Ochrona prywatności i bezpieczeństwo danych w rozwiązaniu Microsoft Security Copilot.

Ograniczenia

• Unikaj używania konta do konfigurowania agenta wymagającego aktywacji roli za pomocą usługi Privileged Identity Management (PIM). Użycie konta, które nie ma stałych uprawnień, może spowodować błędy uwierzytelniania agenta.
• Po uruchomieniu agentów nie można ich zatrzymać ani wstrzymać. Uruchomienie może potrwać kilka minut.
• W przypadku konsolidacji zasad każdy agent analizuje tylko cztery podobne pary zasad.
• Zalecamy uruchomienie agenta z poziomu centrum administracyjnego firmy Microsoft Entra.
• Skanowanie jest ograniczone do 24-godzinnego okresu.
• Sugestie agenta nie mogą być dostosowane ani zastępowane.
• Agent może przeglądać maksymalnie 300 użytkowników i 150 aplikacji w jednym uruchomieniu.

Jak to działa

Agent optymalizacji dostępu warunkowego skanuje dzierżawę pod kątem nowych użytkowników, aplikacji i tożsamości agentów z ostatnich 24 godzin i określa, czy mają zastosowanie zasady dostępu warunkowego. Jeśli agent znajdzie użytkowników, aplikacje lub tożsamości agentów, które nie są chronione przez zasady dostępu warunkowego, udostępnia sugerowane następne kroki, takie jak włączanie lub modyfikowanie zasad dostępu warunkowego. Możesz przejrzeć sugestię, sposób zidentyfikowania rozwiązania przez agenta i uwzględnić je w zasadach.

Za każdym razem, gdy agent działa, wykonuje następujące kroki. Te początkowe kroki skanowania nie używają żadnych jednostek SCU.

1. Agent skanuje wszystkie zasady dostępu warunkowego w Twojej dzierżawie.
2. Agent sprawdza luki w zasadach i czy można połączyć jakiekolwiek zasady.
3. Agent przegląda poprzednie sugestie, aby nie sugerował ponownie tych samych zasad.

Jeśli agent zidentyfikuje coś, co nie zostało wcześniej zasugerowane, wykonuje następujące kroki. Te kroki działania agenta zużywają jednostki SCU.

1. Agent identyfikuje lukę zasad lub parę zasad, które można skonsolidować.
2. Agent ocenia wszelkie podane instrukcje niestandardowe.
3. Agent tworzy nową zasadę w trybie tylko do raportowania lub przedstawia sugestię zmiany zasad, uwzględniając logikę dostarczoną przez niestandardowe instrukcje.

Uwaga / Notatka

Rozwiązanie Security Copilot wymaga, aby co najmniej jedna jednostka SCU została aprowizowana w Twojej dzierżawie, ale ta jednostka SCU jest rozliczana co miesiąc, nawet jeśli nie zużywasz żadnych jednostek SCU. Wyłączenie agenta nie powoduje zatrzymania miesięcznych rozliczeń dla SCU.

Sugestie dotyczące zasad zidentyfikowane przez agenta obejmują:

• Wymagaj uwierzytelniania wieloskładnikowego: agent identyfikuje użytkowników, którzy nie są objęci zasadami dostępu warunkowego, które wymagają uwierzytelniania wieloskładnikowego i mogą aktualizować zasady.
• Wymagaj kontrolek opartych na urządzeniach: agent może wymuszać mechanizmy kontroli oparte na urządzeniach, takie jak zgodność urządzeń, zasady ochrony aplikacji i urządzenia przyłączone do domeny.
• Blokuj starsze uwierzytelnianie: logowanie kont użytkowników ze starszym uwierzytelnianiem jest zablokowane.
• Blokuj przepływ kodu urządzenia: agent szuka zasad blokujących uwierzytelnianie przepływu kodu urządzenia.
• Ryzykowni użytkownicy: agent sugeruje zasady wymagające bezpiecznej zmiany hasła dla użytkowników wysokiego ryzyka. Wymaga licencji Microsoft Entra ID P2.
• Ryzykowne logowania: agent sugeruje zasady wymagające uwierzytelniania wieloskładnikowego w przypadku logowania wysokiego ryzyka. Wymaga licencji Microsoft Entra ID P2.
• Ryzykowni agenci: Agent sugeruje zasady blokowania uwierzytelniania w przypadku logowania o wysokim ryzyku. Wymaga licencji Microsoft Entra ID P2.
• Konsolidacja zasad: agent skanuje zasady i identyfikuje nakładające się ustawienia. Jeśli na przykład masz więcej niż jedną zasadę z tymi samymi mechanizmami kontroli udzielania, agent sugeruje skonsolidowanie tych zasad w jeden.
• Głęboka analiza: Agent analizuje zasady, które odpowiadają kluczowym scenariuszom w celu identyfikowania zasad odstających, które mają więcej niż zalecaną liczbę wyjątków (co prowadzi do nieoczekiwanych luk w pokryciu) lub brak wyjątków (co prowadzi do ewentualnego zablokowania).

Ważne

Agent nie wprowadza żadnych zmian w istniejących zasadach, chyba że administrator jawnie zatwierdzi sugestię.

Wszystkie nowe zasady sugerowane przez agenta są tworzone w trybie wyłącznie raportowania.

Dwie zasady można skonsolidować, jeśli różnią się nie więcej niż dwoma warunkami lub mechanizmami kontroli.

Wprowadzenie

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Na nowej stronie głównej wybierz pozycję Przejdź do agentów z karty powiadomień agenta.

   • Możesz również wybrać pozycję Agenci z menu nawigacji po lewej stronie.

   

3. Wybierz pozycję Wyświetl szczegóły na kafelku Agent optymalizacji dostępu warunkowego.

   

4. Wybierz Uruchom agenta, aby rozpocząć pierwsze uruchomienie. Unikaj korzystania z konta z rolą aktywowaną za pośrednictwem usługi PIM.

   

Gdy strona przeglądu agenta zostanie załadowana, wszelkie sugestie pojawiają się w polu Ostatnie sugestie. Jeśli sugestia została zidentyfikowana, możesz przejrzeć zasady, określić wpływ zasad i w razie potrzeby zastosować zmiany. Aby uzyskać więcej informacji, zobacz Przeglądanie i zatwierdzanie sugestii agenta dostępu warunkowego.

Ustawienia

Po włączeniu agenta można dostosować kilka ustawień. Po wprowadzeniu jakichkolwiek zmian wybierz przycisk Zapisz w dolnej części strony. Dostęp do ustawień można uzyskać z dwóch miejsc w centrum administracyjnym firmy Microsoft Entra:

• Z obszaru Agenci>Agent optymalizacji dostępu warunkowego>Ustawienia.
• W obszarze Dostęp warunkowy> wybierz kartę Agent optymalizacji dostępu warunkowego w obszarze Podsumowanie zasad>Ustawienia.

Wyzwalacz

Agent jest skonfigurowany do uruchamiania co 24 godziny na podstawie tego, kiedy jest on początkowo skonfigurowany. Możesz zmienić czas uruchamiania agenta, wyłączając ustawienie Wyzwalacz, a następnie ponownie je włączając, kiedy chcesz, aby agent się uruchomił.

Obiekty Entra firmy Microsoft do monitorowania

Użyj pól wyboru pod Obiektami Microsoft Entra do monitorowania, aby określić, co agent powinien monitorować podczas tworzenia zaleceń dotyczących zasad. Domyślnie agent szuka zarówno nowych użytkowników, jak i aplikacji w kontekście najemcy, analizując poprzedni okres 24 godzin.

Możliwości agenta

Domyślnie agent optymalizacji dostępu warunkowego może tworzyć nowe zasady w trybie tylko do raportów. To ustawienie można zmienić, aby administrator musiał zatwierdzić nowe zasady przed jego utworzeniem. Polityka jest nadal tworzona w trybie tylko raportowania, ale tylko po zatwierdzeniu przez administratora. Po przejrzeniu wpływu zasad można włączyć zasady bezpośrednio z poziomu środowiska agenta lub dostępu warunkowego.

Notifications

W ramach funkcji w wersji zapoznawczej agent optymalizacji dostępu warunkowego może wysyłać powiadomienia za pośrednictwem usługi Microsoft Teams do wybranego zestawu adresatów. Dzięki aplikacji agenta dostępu warunkowego w usłudze Microsoft Teams adresaci otrzymują powiadomienia bezpośrednio na czacie usługi Teams, gdy agent wyświetla nową sugestię.

Aby dodać aplikację agenta do usługi Microsoft Teams:

1. W aplikacji Microsoft Teams wybierz pozycję Aplikacje z menu nawigacji po lewej stronie i wyszukaj i wybierz agenta dostępu warunkowego.

   

2. Wybierz przycisk Dodaj , a następnie wybierz przycisk Otwórz , aby otworzyć aplikację.

3. Aby ułatwić dostęp do aplikacji, kliknij prawym przyciskiem myszy ikonę aplikacji w menu nawigacyjnym po lewej i wybierz Przypnij.

Aby skonfigurować powiadomienia w ustawieniach agenta optymalizacji dostępu warunkowego:

1. W ustawieniach agenta optymalizacji dostępu warunkowego wybierz link Wybierz użytkowników i grupy .

2. Wybierz użytkowników lub grupy, które chcesz otrzymywać powiadomienia, a następnie wybierz przycisk Wybierz .

   

3. W dolnej części strony Ustawienia głównej wybierz przycisk Zapisz .

Możesz wybrać maksymalnie 10 adresatów, aby otrzymywać powiadomienia. Możesz wybrać grupę, aby otrzymywać powiadomienia, ale członkostwo tej grupy nie może przekraczać 10 użytkowników. Jeśli wybierzesz grupę, która ma mniej niż 10 użytkowników, ale więcej zostanie dodanych później, grupa nie otrzyma już powiadomień. Podobnie powiadomienia mogą być wysyłane tylko do pięciu obiektów, takich jak kombinacja poszczególnych użytkowników lub grup. Aby przestać otrzymywać powiadomienia, usuń obiekt użytkownika lub grupę, do której należysz, z listy adresata.

W tej chwili komunikacja agenta jest jednokierunkowa, co oznacza, że można otrzymywać powiadomienia, ale nie można na nie odpowiadać w Microsoft Teams. Aby wykonać działania dotyczące sugestii, wybierz pozycję Przejrzyj sugestię z czatu, aby otworzyć agenta optymalizacji dostępu warunkowego w centrum administracyjnym firmy Microsoft Entra.

Wdrażanie etapowe

Gdy agent tworzy nowe zasady w trybie tylko do raportowania, zasady są wdrażane w fazach, dzięki czemu można monitorować efekt nowych zasad. Wdrożenie etapowe jest domyślnie włączone.

Liczbę dni między poszczególnymi fazami można zmienić, przeciągając suwak lub wprowadzając liczbę w polu tekstowym. Liczba dni między poszczególnymi fazami jest taka sama dla wszystkich faz. Upewnij się, że rozpoczynasz wdrażanie etapowe z wystarczającą ilością czasu, aby monitorować wpływ przed rozpoczęciem następnej fazy, więc wdrożenie nie rozpoczyna się w weekend lub wakacje, w razie potrzeby wstrzymania wdrożenia.

Tożsamość i uprawnienia

Istnieje kilka kluczowych kwestii, które należy wziąć pod uwagę w odniesieniu do tożsamości i uprawnień agenta:

• Agent optymalizacji dostępu warunkowego obsługuje teraz identyfikator agenta Entra firmy Microsoft, dzięki czemu agent może działać w ramach własnej tożsamości, a nie tożsamości określonego użytkownika. Zwiększa to bezpieczeństwo, upraszcza zarządzanie i zapewnia większą elastyczność.

  • Nowe instalacje są domyślnie uruchamiane w ramach tożsamości agenta.
  • Istniejące instalacje mogą w dowolnym momencie przełączać się z uruchamiania w określonym kontekście użytkownika na uruchamianie z tożsamością agenta.
    • Ta zmiana nie ma wpływu na raportowanie ani analizę.
    • Nie ma to wpływu na istniejące zasady i zalecenia.
    • Klienci nie mogą przełączyć się z powrotem do kontekstu użytkownika.
  • Administratorzy z rolami Administrator zabezpieczeń lub Administrator globalny mogą przejść do ustawień agenta, a następnie wybrać pozycję Utwórz tożsamość agenta, aby dokonać zmiany.

• Administrator zabezpieczeń domyślnie ma dostęp do rozwiązania Security Copilot. Można przypisać administratorów dostępu warunkowego z dostępem do funkcji Security Copilot. Ta autoryzacja zapewnia administratorom dostępu warunkowego możliwość korzystania z agenta. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu dla Copilota Zabezpieczeń.

• Użytkownik, który zatwierdza sugestię dodawania użytkowników do zasad, staje się właścicielem nowej grupy, która dodaje użytkowników do zasad.

• Dzienniki inspekcji działań wykonywanych przez agenta są powiązane z tożsamością użytkownika lub agenta, który je aktywował. Nazwę konta można znaleźć w sekcji Tożsamość i uprawnienia w ustawieniach.

  

Integracja z usługą ServiceNow (wersja zapoznawcza)

Organizacje korzystające z wtyczki ServiceNow dla rozwiązania Security Copilot mogą teraz mieć agenta optymalizacji dostępu warunkowego do tworzenia żądań zmian usługi ServiceNow dla każdej nowej sugestii wygenerowanej przez agenta. Dzięki temu zespoły IT i zespoły ds. zabezpieczeń mogą śledzić, przeglądać i odrzucać sugestie agentów w istniejących przepływach pracy usługi ServiceNow. Obecnie obsługiwane są tylko żądania zmiany (CHG).

Aby korzystać z integracji z usługą ServiceNow, organizacja musi mieć skonfigurowaną wtyczkę ServiceNow .

Po włączeniu wtyczki ServiceNow w ustawieniach agenta optymalizacji dostępu warunkowego każda nowa sugestia agenta tworzy żądanie zmiany usługi ServiceNow. Żądanie zmiany zawiera szczegółowe informacje o sugestii, takie jak typ zasad, użytkownicy lub grupy, których dotyczy problem, oraz uzasadnienie zalecenia. Integracja zapewnia również pętlę opinii: agent monitoruje stan żądania zmiany usługi ServiceNow i może automatycznie implementować zmianę po zatwierdzeniu żądania zmiany.

Instrukcje niestandardowe

Zasady można dostosować do własnych potrzeb, używając opcjonalnego pola Instrukcje niestandardowe . To ustawienie umożliwia podanie polecenia do agenta podczas jego działania. Te instrukcje mogą służyć do:

• Dołączanie lub wykluczanie określonych użytkowników, grup i ról
• Wyklucz obiekty z rozważenia przez agenta lub dodania ich do zasad dostępu warunkowego
• Zastosuj wyjątki do określonych zasad, takich jak wykluczenie określonej grupy z zasad, wymaganie uwierzytelniania wieloskładnikowego lub wymaganie zasad zarządzania aplikacjami mobilnymi.

Możesz wprowadzić nazwę lub identyfikator obiektu w instrukcjach niestandardowych. Obie wartości są weryfikowane. Jeśli dodasz nazwę grupy, identyfikator obiektu dla tej grupy zostanie automatycznie dodany w Twoim imieniu. Przykładowe instrukcje niestandardowe:

• "Wyklucz użytkowników w grupie "Break Glass" z dowolnych zasad, które wymagają uwierzytelniania wieloskładnikowego.
• Wyklucz użytkownika z identyfikatorem obiektu dddddddd-3333-4444-5555-eeeeeeeeeeee ze wszystkich zasad

Typowym scenariuszem, który należy wziąć pod uwagę, jest to, że organizacja ma wielu użytkowników-gości, których nie chcesz, aby agent zasugerował dodanie do standardowych zasad dostępu warunkowego. Jeśli agent jest uruchomiony i widzi nowych użytkowników-gości, którzy nie są objęci zalecanymi zasadami, jednostki SCU są wykorzystywane na sugerowanie objęcia tych użytkowników-gości zasadami, które nie są konieczne. Aby zapobiec uwzględnianiu użytkowników-gości przez agenta:

1. Utwórz grupę dynamiczną o nazwie "Goście", gdzie (user.userType -eq "guest").
2. Dodaj niestandardową instrukcję na podstawie Twoich potrzeb.
   • Wyklucz grupę "Goście" z rozważań agenta.
   • "Wyklucz grupę "Goście" z dowolnych zasad zarządzania aplikacjami mobilnymi.

Aby uzyskać więcej informacji na temat używania instrukcji niestandardowych, zapoznaj się z poniższym filmem wideo.

Należy pamiętać, że niektóre treści w filmie wideo, takie jak elementy interfejsu użytkownika, mogą ulec zmianie, ponieważ agent jest często aktualizowany.

Integracja z usługą Intune

Agent optymalizacji dostępu warunkowego integruje się z usługą Microsoft Intune w celu monitorowania zasad zgodności urządzeń i ochrony aplikacji skonfigurowanych w usłudze Intune i identyfikowania potencjalnych luk w wymuszaniu dostępu warunkowego. Takie proaktywne i zautomatyzowane podejście zapewnia, że zasady dostępu warunkowego pozostają zgodne z celami zabezpieczeń organizacji i wymaganiami dotyczącymi zgodności. Sugestie agenta są takie same jak inne sugestie dotyczące zasad, z tą różnicą, że usługa Intune udostępnia część sygnału agentowi.

Sugestie dotyczące agentów dla scenariuszy usługi Intune obejmują określone grupy użytkowników i platformy (iOS lub Android). Na przykład agent identyfikuje aktywne zasady ochrony aplikacji usługi Intune przeznaczone dla grupy "Finanse", ale określa, że nie ma wystarczających zasad dostępu warunkowego, które wymuszają ochronę aplikacji. Agent tworzy zasady tylko dla raportów, które wymagają od użytkowników dostępu do zasobów tylko za pośrednictwem zgodnych aplikacji na urządzeniach z systemem iOS.

Aby zidentyfikować zasady zgodności urządzeń i ochrony aplikacji w usłudze Intune, agent musi działać jako administrator globalny i administrator dostępu warunkowego oraz czytelnik globalny. Administrator dostępu warunkowego nie jest samodzielnie wystarczający, aby agent mógł wygenerować rekomendacje dotyczące usługi Intune.

Globalna integracja zabezpieczonego dostępu

Microsoft Entra Internet Access i Microsoft Entra Private Access (zbiorczo znany jako globalny bezpieczny dostęp) integrują się z agentem optymalizacji dostępu warunkowego, aby udostępnić sugestie specyficzne dla zasad dostępu do sieci organizacji. Sugestia : Włącz nowe zasady, aby wymusić wymagania dostępu do sieci Global Secure Access, pomaga dostosować zasady Global Secure Access, które obejmują lokalizacje sieciowe i chronione aplikacje.

Dzięki tej integracji agent identyfikuje użytkowników lub grupy, które nie są objęte zasadami dostępu warunkowego, aby wymagać dostępu do zasobów firmy tylko za pośrednictwem zatwierdzonych globalnych kanałów bezpiecznego dostępu. Te zasady wymagają od użytkowników łączenia się z zasobami firmowymi przy użyciu bezpiecznej sieci globalnego bezpiecznego dostępu organizacji przed uzyskaniem dostępu do aplikacji i danych firmowych. Użytkownicy łączący się z niezarządzanych lub niezaufanych sieci są monitowani o użycie klienta globalnego bezpiecznego dostępu lub bramy internetowej. Możesz przejrzeć dzienniki logowania, aby zweryfikować zgodne połączenia.

Usuwanie agenta

Jeśli nie chcesz już używać agenta optymalizacji dostępu warunkowego, wybierz pozycję Usuń agenta w górnej części okna agenta. Istniejące dane (działanie agenta, sugestie i metryki) są usuwane, ale wszystkie zasady utworzone lub zaktualizowane na podstawie sugestii agenta pozostają nienaruszone. Wcześniej zastosowane sugestie pozostają niezmienione, dzięki czemu można nadal używać zasad utworzonych lub zmodyfikowanych przez agenta.

Przekazywanie opinii

Użyj przycisku Przekaż opinię firmy Microsoft w górnej części okna agenta, aby przekazać opinię firmie Microsoft na temat agenta.

FAQs

Kiedy powinienem używać agenta optymalizacji dostępu warunkowego, a kiedy czatu Copilot?

Obie funkcje zapewniają różne szczegółowe informacje na temat zasad dostępu warunkowego. Poniższa tabela zawiera porównanie dwóch funkcji:

Scenario	Agent optymalizacji dostępu warunkowego	Czat Współpilota
Scenariusze ogólne
Wykorzystanie konfiguracji specyficznej dla najemcy	✅
Zaawansowane rozumowanie	✅
Szczegółowe informacje na żądanie		✅
Interaktywne rozwiązywanie problemów		✅
Ciągła ocena zasad	✅
Sugestie dotyczące automatycznych ulepszeń	✅
Uzyskaj wskazówki dotyczące najlepszych praktyk i konfiguracji centrum autoryzacji.	✅	✅
Konkretne scenariusze
Proaktywne identyfikowanie niechronionych użytkowników lub aplikacji	✅
Wymuś uwierzytelnianie wieloskładnikowe i inne podstawowe metody kontroli dla wszystkich użytkowników	✅
Ciągłe monitorowanie i optymalizacja polityk urzędu certyfikacji	✅
Zmiany zasad jednym kliknięciem	✅
Przejrzyj istniejące zasady i przydziały władzy certyfikacji (Czy zasady mają zastosowanie do Alicji?)	✅	✅
Rozwiązywanie problemów z dostępem użytkownika (dlaczego Alicja monitowała o uwierzytelnianie wieloskładnikowe?)		✅

Aktywowano agenta, ale w stanie działania jest wyświetlany komunikat "Niepowodzenie". Co się dzieje?

Możliwe, że agent został włączony przy użyciu konta wymagającego aktywacji roli za pomocą usługi Privileged Identity Management (PIM). Dlatego gdy agent próbował uruchomić, zakończył się niepowodzeniem, ponieważ konto nie ma wymaganych uprawnień w tym czasie. Jeśli uprawnienie USŁUGI PIM wygasło, zostanie wyświetlony monit o ponowne uwierzytelnienie.

Ten problem można rozwiązać, usuwając agenta, a następnie ponownie włączając agenta przy użyciu konta użytkownika, które ma stałe uprawnienia dostępu do rozwiązania Security Copilot. Aby uzyskać więcej informacji, zobacz Przypisywanie dostępu dla Copilota Zabezpieczeń.

Treści powiązane

• Przeglądanie i zatwierdzanie sugestii agenta
• Szablony zasad dostępu warunkowego
• Dowiedz się więcej na temat rozwiązania Microsoft Security Copilot