Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O agente de otimização de acesso condicional ajuda a garantir que todos os usuários, aplicativos e identidades de agente sejam protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar as políticas existentes, com base nas práticas recomendadas alinhadas com a Confiança Zero e os aprendizados da Microsoft. O agente também cria relatórios de revisão de política (versão prévia), que fornecem insights sobre picos ou quedas que podem indicar uma configuração incorreta da política.
O agente de otimização de acesso condicional avalia políticas como exigir MFA (autenticação multifator), impor controles baseados em dispositivo (conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio) e bloquear a autenticação herdada e o fluxo de código do dispositivo. O agente também avalia todas as políticas habilitadas existentes para propor uma possível consolidação de políticas semelhantes. Quando o agente identifica uma sugestão, você pode fazer com que o agente atualize a política associada com um só clique de correção.
Importante
A integração do ServiceNow no agente de otimização de acesso condicional está atualmente em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Pré-requisitos
- Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- Em média, cada execução de agente consome menos de uma SCU.
- Você deve ter a função apropriada do Microsoft Entra.
- O Administrador de Segurança é necessário para ativar o agente na primeira vez.
- As funções Leitor de Segurança e Leitor Global podem exibir o agente e qualquer sugestão, mas não podem executar nenhuma ação.
- As funções Administrador de Acesso Condicional e Administrador de Segurança podem exibir o agente e tomar medidas sobre as sugestões.
- Você pode atribuir Administradores de Acesso Condicional com acesso ao Copilot da Segurança, para fornecer aos Administradores de Acesso Condicional a capacidade de usar também o agente.
- Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.
- Os controles baseados em dispositivo exigem licenças do Microsoft Intune.
- Examine a privacidade e a segurança de dados no Microsoft Security Copilot.
Limitações
- Depois que os agentes são iniciados, eles não podem ser parados ou pausados. Pode levar alguns minutos para ser executado.
- Para a consolidação de políticas, cada execução de agente analisa apenas quatro pares de política semelhantes.
- É recomendável executar o agente no Centro de administração do Microsoft Entra.
- A verificação é limitada a um período de 24 horas.
- As sugestões do agente não podem ser personalizadas ou substituídas.
- O agente pode examinar até 300 usuários e 150 aplicativos em uma única execução.
Como funciona
O agente de otimização de acesso condicional verifica seu ambiente em busca de novos usuários, aplicativos e identidades de agente nas últimas 24 horas e determina se as políticas de acesso condicional são aplicáveis. Se o agente encontrar usuários, aplicativos ou identidades de agente que não estão protegidas por políticas de Acesso Condicional, ele fornecerá as próximas etapas sugeridas, como ativar ou modificar uma política de Acesso Condicional. Você pode examinar a sugestão, como o agente identificou a solução e o que seria incluído na política.
Sempre que o agente é executado, ele realiza as etapas a seguir. Essas etapas de verificação inicial não consomem SCUs.
- O agente verifica todas as políticas de Acesso Condicional em seu locatário.
- O agente verifica se há lacunas de política e se alguma política pode ser combinada.
- O agente revisa as sugestões anteriores para que não sugira a mesma política novamente.
Se o agente identificar algo que não foi sugerido anteriormente, ele tomará as etapas a seguir. Essas etapas de ação do agente consomem SCUs.
- O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
- O agente avalia as instruções personalizadas fornecidas.
- O agente cria uma nova política no modo somente relatório ou fornece a sugestão para modificar uma política, incluindo qualquer lógica fornecida pelas instruções personalizadas.
Observação
O Security Copilot requer que pelo menos um SCU seja provisionado em seu locatário, mas esse SCU é cobrado a cada mês, mesmo que você não consuma scus. Desativar o agente não interrompe a cobrança mensal do SCU.
As sugestões de política identificadas pelo agente incluem:
- Exigir MFA: o agente identifica usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
- Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivo, como conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio.
- Bloquear autenticação herdada: contas de usuário com autenticação herdada são impedidas de entrar.
- Bloquear o fluxo de código do dispositivo: o agente procura uma política bloqueando a autenticação de fluxo de código do dispositivo.
- Usuários arriscados: o agente sugere uma política para exigir alteração de senha segura para usuários de alto risco. Requer uma licença Microsoft Entra ID P2.
- Entradas arriscadas: o agente sugere uma política para exigir autenticação multifator para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
- Agentes arriscados: o agente sugere uma política para bloquear a autenticação para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
- Consolidação da política: o agente examina sua política e identifica as configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugerirá a consolidação dessas políticas em uma só.
- Análise profunda: o agente analisa políticas que correspondem a cenários-chave para identificar políticas discrepantes que têm um número de exceções superior ao recomendado (levando a lacunas inesperadas na cobertura) ou nenhuma exceção (levando a um possível impedimento).
Importante
O agente não faz nenhuma alteração nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.
Todas as novas políticas sugeridas pelo agente são criadas no modo somente relatório.
Duas políticas poderão ser consolidadas se forem diferentes por não mais do que duas condições ou controles.
Como começar
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Na nova página inicial, selecione Ir para agentes no cartão de notificações do agente.
- Você também pode selecionar Agentes no menu de navegação à esquerda.
Selecione Exibir detalhes no bloco do Agente de Otimização de Acesso Condicional.
Selecione Iniciar agente para iniciar sua primeira execução.
Quando a página de visão geral do agente é carregada, todas as sugestões aparecem na caixa Sugestões recentes . Se uma sugestão foi identificada, você pode examinar a política, determinar o impacto da política e aplicar as alterações, se necessário. Para obter mais informações, consulte Examinar e aprovar sugestões do agente de Acesso Condicional.
Configurações
O agente inclui várias configurações avançadas para expandir os recursos, tornando-os exclusivos para sua organização. Os recursos a seguir podem ser configurados na guia Configurações . Para obter mais informações, consulte as configurações do Agente de Otimização de Acesso Condicional.
- Permitir que o agente seja executado automaticamente a cada 24 horas
- Definir o agente para verificar se há alterações em usuários e aplicativos
- Permitir que o agente crie políticas no modo somente relatório
- Permitir que o agente envie notificações por meio do Microsoft Teams
- Permitir que o agente crie planos de distribuição em fases
- Habilitar a integração com o ServiceNow para criação automática de tíquetes
- Fornecer fontes de conhecimento ao agente para sugestões específicas da organização
Integrações incorporadas
O Agente de Otimização de Acesso Condicional pode fazer sugestões de políticas para organizações que usam o Intune para gerenciamento de dispositivos e o Acesso Seguro Global para acesso à rede.
Integração do Intune
O Agente de Otimização de Acesso Condicional integra-se ao Microsoft Intune para monitorar a conformidade do dispositivo e as políticas de proteção de aplicativos configuradas no Intune e identificar possíveis lacunas na imposição do Acesso Condicional. Essa abordagem proativa e automatizada garante que as políticas de Acesso Condicional permaneçam alinhadas com os requisitos de conformidade e metas de segurança organizacional. As sugestões do agente são as mesmas que as outras sugestões de política, exceto que o Intune fornece parte do sinal para o agente.
As sugestões de agente para cenários do Intune abrangem grupos de usuários e plataformas específicas (iOS ou Android). Por exemplo, o agente identifica uma política de proteção de aplicativo ativa do Intune direcionada ao grupo "Finanças", mas determina que não há uma política de Acesso Condicional suficiente que imponha a proteção do aplicativo. O agente cria uma política somente de relatório que exige que os usuários acessem recursos somente por meio de aplicativos em conformidade em dispositivos iOS.
Para identificar a conformidade do dispositivo do Intune e as políticas de proteção de aplicativo, o agente deve estar em execução como Administrador Global ou Administrador de Acesso Condicional e Leitor Global. O "Conditional Access Administrator" não é suficiente sozinho para o agente gerar sugestões no Intune.
Integração global do Acesso Seguro
O Microsoft Entra Internet Access e o Microsoft Entra Private Access (coletivamente conhecido como Acesso Seguro Global) integram-se ao Agente de Otimização de Acesso Condicional para fornecer sugestões específicas às políticas de acesso à rede da sua organização. A sugestão , Ativar uma nova política para impor os requisitos de acesso à rede do Acesso Seguro Global, ajuda você a alinhar suas políticas de Acesso Seguro Global que incluem locais de rede e aplicativos protegidos.
Com essa integração, o agente identifica usuários ou grupos que não são cobertos por uma política de Acesso Condicional para exigir acesso aos recursos corporativos somente por meio de canais de Acesso Seguro Global aprovados. Essa política exige que os usuários se conectem a recursos corporativos usando a rede segura de Acesso Seguro Global da organização antes de acessar aplicativos e dados corporativos. Os usuários que se conectam de redes não gerenciadas ou não confiáveis são solicitados a usar o cliente de Acesso Seguro Global ou o gateway da Web. Você pode examinar os logs de entrada para verificar conexões compatíveis.
Remover agente
Se você não quiser mais usar o agente de otimização de acesso condicional, selecione Remover agente na parte superior da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas todas as políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente permanecem inalteradas para que você possa continuar a usar as políticas criadas ou modificadas pelo agente.
Fornecendo comentários
Use o botão Fornecer comentários da Microsoft na parte superior da janela do agente para fornecer comentários à Microsoft sobre o agente.
FAQs
Quando devo usar o Chat do Agente de Otimização de Acesso Condicional vs Copilot?
Ambos os recursos fornecem insights diferentes sobre suas políticas de Acesso Condicional. A tabela a seguir fornece uma comparação dos dois recursos:
| Scenario | Agente de Otimização de Acesso Condicional | Bate-papo do Copiloto |
|---|---|---|
| Cenários genéricos | ||
| Utilizar a configuração específica do locatário | ✅ | |
| Raciocínio avançado | ✅ | |
| Insights sob demanda | ✅ | |
| Solução de problemas interativa | ✅ | |
| Avaliação de política contínua | ✅ | |
| Sugestões de melhoria automatizadas | ✅ | |
| Obtenha orientações sobre práticas recomendadas e configuração de Autoridade Certificadora. | ✅ | ✅ |
| Cenários específicos | ||
| Identificar usuários ou aplicativos desprotegidos proativamente | ✅ | |
| Aplicar MFA e outros controles básicos para todos os usuários | ✅ | |
| Monitoramento contínuo e otimização de políticas de CA | ✅ | |
| Alterações de política com um clique | ✅ | |
| Examinar as políticas e atribuições de AC existentes (as políticas se aplicam a Alice?) | ✅ | ✅ |
| Solucionar problemas de acesso de um usuário (por que a MFA foi solicitada para Alice?) | ✅ |
Ativei o agente, mas vejo "Falha" no status da atividade. O que está a acontecer?
É possível que o agente tenha sido habilitado antes do Microsoft Ignite 2025 com uma conta que exigia ativação de função com PIM (Privileged Identity Management). Portanto, quando o agente tentou executar, ele falhou porque a conta não tinha as permissões necessárias naquele momento. Os Agentes de Otimização de Acesso Condicional que foram ativados após 17 de novembro de 2025 não usam mais a identidade do usuário que ativou o agente.
Você pode resolver esse problema migrando para usar a ID do Agente do Microsoft Entra. Selecione Criar identidade do agente a partir da mensagem na faixa na página do agente ou da seção Identidade e permissões das configurações do agente.