Agente de otimização de acesso condicional do Microsoft Entra

O agente de otimização de acesso condicional ajuda a garantir que todos os usuários, aplicativos e identidades de agente sejam protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar as políticas existentes, com base nas práticas recomendadas alinhadas com a Confiança Zero e os aprendizados da Microsoft. O agente também cria relatórios de revisão de política (versão prévia), que fornecem insights sobre picos ou quedas que podem indicar uma configuração incorreta da política.

O agente de otimização de acesso condicional avalia políticas como exigir MFA (autenticação multifator), impor controles baseados em dispositivo (conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio) e bloquear a autenticação herdada e o fluxo de código do dispositivo. O agente também avalia todas as políticas habilitadas existentes para propor uma possível consolidação de políticas semelhantes. Quando o agente identifica uma sugestão, você pode fazer com que o agente atualize a política associada com um só clique de correção.

Importante

As integrações do ServiceNow e do Microsoft Teams no agente de otimização de acesso condicional estão atualmente em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.

Pré-requisitos

• Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
• Você deve ter unidades de computação de segurança (SCU) disponíveis.
  • Em média, cada execução de agente consome menos de uma SCU.
• Você deve ter a função apropriada do Microsoft Entra.
  • O Administrador de Segurança é necessário para ativar o agente na primeira vez.
  • As funções Leitor de Segurança e Leitor Global podem exibir o agente e qualquer sugestão, mas não podem executar nenhuma ação.
  • As funções Administrador de Acesso Condicional e Administrador de Segurança podem exibir o agente e tomar medidas sobre as sugestões.
  • Você pode atribuir Administradores de Acesso Condicional com acesso ao Copilot da Segurança, para fornecer aos Administradores de Acesso Condicional a capacidade de usar também o agente.
  • Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.
• Os controles baseados em dispositivo exigem licenças do Microsoft Intune.
• Examine a privacidade e a segurança de dados no Microsoft Security Copilot.

Limitações

• Evite usar uma conta para configurar o agente que requer ativação de função com o PIM (Privileged Identity Management). Usar uma conta que não tenha permissões permanentes pode causar falhas de autenticação para o agente.
• Depois que os agentes são iniciados, eles não podem ser parados ou pausados. Pode levar alguns minutos para ser executado.
• Para a consolidação de políticas, cada execução de agente analisa apenas quatro pares de política semelhantes.
• É recomendável executar o agente no Centro de administração do Microsoft Entra.
• A verificação é limitada a um período de 24 horas.
• As sugestões do agente não podem ser personalizadas ou substituídas.
• O agente pode examinar até 300 usuários e 150 aplicativos em uma única execução.

Como funciona

O agente de otimização de acesso condicional verifica seu ambiente em busca de novos usuários, aplicativos e identidades de agente nas últimas 24 horas e determina se as políticas de acesso condicional são aplicáveis. Se o agente encontrar usuários, aplicativos ou identidades de agente que não estão protegidas por políticas de Acesso Condicional, ele fornecerá as próximas etapas sugeridas, como ativar ou modificar uma política de Acesso Condicional. Você pode examinar a sugestão, como o agente identificou a solução e o que seria incluído na política.

Sempre que o agente é executado, ele realiza as etapas a seguir. Essas etapas de verificação inicial não consomem SCUs.

1. O agente verifica todas as políticas de Acesso Condicional em seu locatário.
2. O agente verifica se há lacunas de política e se alguma política pode ser combinada.
3. O agente revisa as sugestões anteriores para que não sugira a mesma política novamente.

Se o agente identificar algo que não foi sugerido anteriormente, ele tomará as etapas a seguir. Essas etapas de ação do agente consomem SCUs.

1. O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
2. O agente avalia as instruções personalizadas fornecidas.
3. O agente cria uma nova política no modo somente relatório ou fornece a sugestão para modificar uma política, incluindo qualquer lógica fornecida pelas instruções personalizadas.

Observação

O Security Copilot requer que pelo menos uma SCU seja provisionada no seu tenant, mas essa SCU é cobrada a cada mês, mesmo que você não consuma nenhuma SCU. Desativar o agente não interrompe a cobrança mensal do SCU.

As sugestões de política identificadas pelo agente incluem:

• Exigir MFA: o agente identifica usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
• Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivo, como conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio.
• Bloquear autenticação herdada: contas de usuário com autenticação herdada são impedidas de entrar.
• Bloquear o fluxo de código do dispositivo: o agente procura uma política bloqueando a autenticação de fluxo de código do dispositivo.
• Usuários arriscados: o agente sugere uma política para exigir alteração de senha segura para usuários de alto risco. Requer uma licença Microsoft Entra ID P2.
• Entradas arriscadas: o agente sugere uma política para exigir autenticação multifator para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
• Agentes arriscados: o agente sugere uma política para bloquear a autenticação para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
• Consolidação da política: o agente examina sua política e identifica as configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugerirá a consolidação dessas políticas em uma só.
• Análise profunda: o agente analisa políticas que correspondem a cenários-chave para identificar políticas excedidas que têm mais do que um número recomendado de exceções (levando a lacunas inesperadas na cobertura) ou nenhuma exceção (levando a um possível bloqueio).

Importante

O agente não faz nenhuma alteração nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.

Todas as novas políticas sugeridas pelo agente são criadas no modo somente relatório.

Duas políticas poderão ser consolidadas se forem diferentes por não mais do que duas condições ou controles.

Como começar

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

2. Na nova página inicial, selecione Ir para agentes no cartão de notificações do agente.

   • Você também pode selecionar Agentes no menu de navegação à esquerda.

   

3. Selecione Exibir detalhes no bloco do Agente de Otimização de Acesso Condicional.

   

4. Selecione Iniciar agente para iniciar sua primeira execução. Evite usar uma conta com uma função ativada por meio do PIM.

   

Quando a página de visão geral do agente é carregada, todas as sugestões aparecem na caixa Sugestões recentes . Se uma sugestão foi identificada, você pode examinar a política, determinar o impacto da política e aplicar as alterações, se necessário. Para obter mais informações, consulte Examinar e aprovar sugestões do agente de Acesso Condicional.

Configurações

Depois que o agente estiver habilitado, você poderá ajustar algumas configurações. Depois de fazer alterações, selecione o botão Salvar na parte inferior da página. Você pode acessar as configurações de dois locais no Centro de administração do Microsoft Entra:

• Agentes>Agente de otimização de acesso condicional>Configurações.
• No Acesso Condicional>, selecione o cartão do agente de otimização de acesso condicional em Resumo de política>Configurações.

Trigger

O agente é configurado para ser executado a cada 24 horas com base em quando ele é configurado inicialmente. Você pode alterar quando o agente é executado desligando e depois ligando novamente a configuração de gatilho quando quiser que ele seja executado.

Objetos do Microsoft Entra para monitorar

Use as caixas de seleção sob objetos do Microsoft Entra para monitorar para especificar o que o agente deve monitorar ao fazer recomendações de política. Por padrão, o agente procura por novos usuários e aplicativos em seu locatário no período de 24 horas anterior.

Capacidades do agente

Por padrão, o agente de otimização de acesso condicional pode criar novas políticas no modo somente relatório. Você pode alterar essa configuração para que um administrador deva aprovar a nova política antes de ser criada. A política ainda é criada no modo somente relatório, mas somente após a aprovação do administrador. Depois de examinar o impacto da política, você pode ativar a política diretamente a partir da interface do agente ou do Acesso Condicional.

Notifications

Como parte de uma funcionalidade de visualização, o agente de otimização de acesso condicional pode enviar notificações por meio do Microsoft Teams para um conjunto selecionado de destinatários. Com o aplicativo agente de Acesso Condicional no Microsoft Teams, os destinatários recebem notificações diretamente no chat do Teams quando o agente apresenta uma nova sugestão.

Para adicionar o aplicativo agente ao Microsoft Teams:

1. No Microsoft Teams, selecione Aplicativos no menu de navegação esquerdo e pesquise e selecione o agente de Acesso Condicional.

   

2. Selecione o botão Adicionar e, em seguida, selecione o botão Abrir para abrir o aplicativo.

3. Para facilitar o acesso ao aplicativo, clique com o botão direito do mouse no ícone do aplicativo no menu de navegação esquerdo e selecione Fixar.

Para configurar notificações nas configurações do agente de otimização de acesso condicional:

1. Nas configurações do agente de otimização de acesso condicional, selecione o link Selecionar usuários e grupos .

2. Selecione os usuários ou grupos que você deseja receber notificações e selecione o botão Selecionar.

   

3. Na parte inferior da página Configurações principal, selecione o botão Salvar .

Você pode selecionar até 10 destinatários para receber notificações. Você pode selecionar um grupo para receber as notificações, mas a associação desse grupo não pode exceder 10 usuários. Se você selecionar um grupo que tenha menos de 10 usuários, mas que mais sejam adicionados posteriormente, o grupo não receberá mais notificações. Da mesma forma, as notificações só podem ser enviadas para cinco objetos, como uma combinação de usuários ou grupos individuais. Para parar de receber notificações, remova o objeto de usuário ou o grupo no qual você está incluído na lista do destinatário.

No momento, a comunicação do agente é uma direção, portanto, você pode receber notificações, mas não pode responder a elas no Microsoft Teams. Para executar uma ação em uma sugestão, selecione Revisar sugestão no chat para abrir o agente de otimização de acesso condicional no Centro de administração do Microsoft Entra.

Distribuição em fases

Quando o agente cria uma nova política no modo somente relatório, a política é distribuída em fases, para que você possa monitorar o efeito da nova política. A distribuição em fases está ativada por padrão.

Você pode alterar o número de dias entre cada fase arrastando o controle deslizante ou inserindo um número na caixa de texto. O número de dias entre cada fase é o mesmo para todas as fases. Verifique se você está iniciando a distribuição em fases com tempo suficiente para monitorar o impacto antes do início da próxima fase e, portanto, a distribuição não começa em um fim de semana ou feriado, caso você precise pausar a distribuição.

Identidade e permissões

Há vários pontos-chave a serem considerados em relação à identidade e permissões do agente:

• O Agente de Otimização de Acesso Condicional agora dá suporte à ID do Agente do Microsoft Entra, permitindo que o agente seja executado sob sua própria identidade, em vez de uma identidade de usuário específica. Isso melhora a segurança, simplifica o gerenciamento e proporciona maior flexibilidade.

  • As novas instalações são configuradas por padrão para serem executadas sob uma identidade de agente.
  • As instalações existentes podem mudar de execução em um contexto de usuário específico para serem executadas em uma identidade de agente a qualquer momento.
    • Essa alteração não afeta relatórios ou análises.
    • As políticas e recomendações existentes permanecem não afetadas.
    • Os clientes não podem voltar para o contexto do usuário.
  • Os Admins com as funções de Administrador de Segurança ou Administrador Global podem navegar até as configurações do Agente e, em seguida, selecionar Criar identidade do agente para efetuar a mudança.

• O Administrador de Segurança tem acesso ao Security Copilot por padrão. Você pode atribuir administradores de acesso condicional com acesso ao Security Copilot. Essa autorização fornece aos administradores de acesso condicional a capacidade de usar o agente também. Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.

• O usuário que aprova uma sugestão para adicionar usuários a uma política torna-se proprietário de um novo grupo que adiciona os usuários a uma política.

• Os logs de auditoria das ações executadas pelo agente são associados à identidade do usuário ou agente que habilitou o agente. Você pode encontrar o nome da conta na seção Identidade e permissões das configurações.

  

Integração do ServiceNow (versão prévia)

As organizações que usam o plug-in do ServiceNow para o Security Copilot agora podem fazer com que o agente de otimização de acesso condicional crie solicitações de alteração do ServiceNow para cada nova sugestão gerada pelo agente. Isso permite que as equipes de TI e segurança acompanhem, examinem e aprovem ou rejeitem sugestões de agente nos fluxos de trabalho existentes do ServiceNow. Neste momento, somente solicitações de alteração (CHG) têm suporte.

Para usar a integração do ServiceNow, sua organização deve ter o plug-in do ServiceNow configurado.

Quando o plug-in do ServiceNow é ativado nas configurações do agente de otimização de acesso condicional, cada nova sugestão do agente cria uma solicitação de alteração do ServiceNow. A solicitação de alteração inclui detalhes sobre a sugestão, como o tipo de política, os usuários ou grupos afetados e a lógica por trás da recomendação. A integração também fornece um ciclo de feedback: o agente monitora o estado da solicitação de mudança do ServiceNow e pode implementar automaticamente a mudança quando a solicitação de mudança é aprovada.

Instruções personalizadas

Você pode adaptar a política às suas necessidades usando o campo Instruções Personalizadas opcionais. Essa configuração permite que você forneça um prompt ao agente como parte de sua execução. Estas instruções podem ser usadas para:

• Incluir ou excluir usuários, grupos e funções específicos
• Excluir objetos de serem considerados pelo agente ou adicionados à política de Acesso Condicional
• Aplique exceções a políticas específicas, como excluir um grupo específico de uma política, exigir MFA ou exigir políticas de gerenciamento de aplicativos móveis.

Você pode inserir o nome ou a ID do objeto nas instruções personalizadas. Ambos os valores são validados. Se você adicionar o nome do grupo, a ID do objeto desse grupo será adicionada automaticamente em seu nome. Exemplo de instruções personalizadas:

• Exclua os usuários do grupo "Break Glass" de qualquer política que exija autenticação multifator.
• Excluir usuário com ID de Objeto dddddddd-3333-4444-5555-eeeeeeeeeeee de todas as políticas

Um cenário comum a ser considerado é se sua organização tem muitos usuários convidados que você não deseja que o agente sugira adicionar às suas políticas de Acesso Condicional padrão. Se o agente for executado e vir novos usuários convidados que não são cobertos por políticas recomendadas, as SCUs serão consumidas para sugerir a cobertura desses usuários convidados por políticas que não são necessárias. Para impedir que usuários convidados sejam considerados pelo agente:

1. Crie um grupo dinâmico chamado "Convidados" em que (user.userType -eq "guest").
2. Adicione uma instrução personalizada, com base em suas necessidades.
   • "Exclua o grupo "Convidados" da consideração do agente."
   • "Exclua o grupo "Convidados" de quaisquer políticas de gerenciamento de aplicativos móveis."

Para obter mais informações sobre como usar instruções personalizadas, confira o vídeo a seguir.

Observe que parte do conteúdo no vídeo, como os elementos da interface do usuário, está sujeita a alterações, pois o agente é atualizado com frequência.

Integração do Intune

O Agente de Otimização de Acesso Condicional integra-se ao Microsoft Intune para monitorar a conformidade do dispositivo e as políticas de proteção de aplicativos configuradas no Intune e identificar possíveis lacunas na imposição do Acesso Condicional. Essa abordagem proativa e automatizada garante que as políticas de Acesso Condicional permaneçam alinhadas com os requisitos de conformidade e metas de segurança organizacional. As sugestões do agente são as mesmas que as outras sugestões de política, exceto que o Intune fornece parte do sinal para o agente.

As sugestões de agente para cenários do Intune abrangem grupos de usuários e plataformas específicas (iOS ou Android). Por exemplo, o agente identifica uma política de proteção de aplicativo ativa do Intune direcionada ao grupo "Finanças", mas determina que não há uma política de Acesso Condicional suficiente que imponha a proteção do aplicativo. O agente cria uma política somente de relatório que exige que os usuários acessem recursos somente por meio de aplicativos em conformidade em dispositivos iOS.

Para identificar a conformidade do dispositivo do Intune e as políticas de proteção de aplicativo, o agente deve estar em execução como Administrador Global ou Administrador de Acesso Condicional e Leitor Global. O "Conditional Access Administrator" não é suficiente sozinho para o agente gerar sugestões no Intune.

Integração global do Acesso Seguro

O Microsoft Entra Internet Access e o Microsoft Entra Private Access (coletivamente conhecido como Acesso Seguro Global) integram-se ao Agente de Otimização de Acesso Condicional para fornecer sugestões específicas às políticas de acesso à rede da sua organização. A sugestão , Ativar uma nova política para impor os requisitos de acesso à rede do Acesso Seguro Global, ajuda você a alinhar suas políticas de Acesso Seguro Global que incluem locais de rede e aplicativos protegidos.

Com essa integração, o agente identifica usuários ou grupos que não são cobertos por uma política de Acesso Condicional para exigir acesso aos recursos corporativos somente por meio de canais de Acesso Seguro Global aprovados. Essa política exige que os usuários se conectem a recursos corporativos usando a rede segura de Acesso Seguro Global da organização antes de acessar aplicativos e dados corporativos. Os usuários que se conectam de redes não gerenciadas ou não confiáveis são solicitados a usar o cliente de Acesso Seguro Global ou o gateway da Web. Você pode examinar os logs de entrada para verificar conexões compatíveis.

Remover agente

Se você não quiser mais usar o agente de otimização de acesso condicional, selecione Remover agente na parte superior da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas todas as políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente permanecem inalteradas para que você possa continuar a usar as políticas criadas ou modificadas pelo agente.

Fornecendo comentários

Use o botão Fornecer comentários da Microsoft na parte superior da janela do agente para fornecer comentários à Microsoft sobre o agente.

FAQs

Quando devo usar o agente de otimização de acesso condicional versus o Copilot Chat?

Ambos os recursos fornecem insights diferentes sobre suas políticas de Acesso Condicional. A tabela a seguir fornece uma comparação dos dois recursos:

Scenario	Agente de Otimização de Acesso Condicional	Bate-papo do Copiloto
Cenários genéricos
Utilizar a configuração específica do locatário	✅
Raciocínio avançado	✅
Insights sob demanda		✅
Solução de problemas interativa		✅
Avaliação de política contínua	✅
Sugestões de melhoria automatizadas	✅
Obtenha orientações sobre práticas recomendadas e configuração de Autoridade Certificadora.	✅	✅
Cenários específicos
Identificar usuários ou aplicativos desprotegidos proativamente	✅
Aplicar MFA e outros controles básicos para todos os usuários	✅
Monitoramento contínuo e otimização de políticas de CA	✅
Alterações de política com um clique	✅
Examinar as políticas e atribuições de AC existentes (as políticas se aplicam a Alice?)	✅	✅
Solucionar problemas de acesso de um usuário (por que a MFA foi solicitada para Alice?)		✅

Ativei o agente, mas vejo "Falha" no status da atividade. O que está a acontecer?

É possível que o agente tenha sido habilitado com uma conta que exija ativação de função com o PIM (Privileged Identity Management). Portanto, quando o agente tentou executar, ele falhou porque a conta não tinha as permissões necessárias naquele momento. Você será solicitado a reautenticar se a permissão PIM expirou.

Você pode resolver esse problema removendo o agente e, em seguida, habilitando o agente novamente com uma conta de usuário que tem permissões permanentes para acesso ao Security Copilot. Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.

Conteúdo relacionado

• Examinar e aprovar sugestões de agente
• Modelos de política de acesso condicional
• Saiba mais sobre o Microsoft Security Copilot