Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O agente de otimização de Acesso Condicional ajuda-o a garantir que todos os utilizadores, aplicações e identidades de agentes estão protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar políticas existentes, com base em práticas recomendadas alinhadas com o Zero Trust e os aprendizados da Microsoft. O agente também cria relatórios de análise de política (Pré-visualização), que oferecem percepções sobre picos ou quedas que podem indicar uma configuração incorreta de política.
O agente de otimização de Acesso Condicional avalia políticas como exigir autenticação multifator (MFA), impor controles baseados em dispositivos (conformidade de dispositivos, políticas de proteção de aplicativos e dispositivos ingressados no domínio) e bloquear a autenticação herdada e o fluxo de código do dispositivo. O agente também avalia todas as políticas habilitadas existentes para propor a potencial consolidação de políticas semelhantes. Quando o agente identifica uma sugestão, pode fazer com que o agente atualize a política associada com uma correção de um clique.
Importante
A integração do ServiceNow no agente de otimização de Acesso Condicional está atualmente em pré-visualização. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Pré-requisitos
- Você deve ter pelo menos a licença Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- Em média, cada agente executado consome menos de uma SCU.
- Você deve ter a função apropriada do Microsoft Entra.
- O administrador de segurança é obrigado a ativar o agente pela primeira vez.
- As funções Leitor de Segurança e Leitor Global podem visualizar o agente e quaisquer sugestões, mas não podem tomar nenhuma ação.
- As funções de Administrador de Acesso Condicional e Administrador de Segurança podem visualizar o agente e tomar medidas de acordo com as sugestões.
- Você pode atribuir Administradores de Acesso Condicional com acesso ao Copiloto de Segurança, o que dá aos Administradores de Acesso Condicional a capacidade de usar o agente também.
- Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.
- Os controlos baseados em dispositivos requerem licenças do Microsoft Intune.
- Consulte Privacidade e segurança de dados no Microsoft Security Copilot.
Limitações
- Depois que os agentes são iniciados, eles não podem ser interrompidos ou pausados. Pode demorar alguns minutos a executar.
- Para consolidação de políticas, cada execução de agente examina apenas quatro pares de políticas semelhantes.
- Recomendamos executar o agente a partir do centro de administração do Microsoft Entra.
- A digitalização é limitada a um período de 24 horas.
- As sugestões do agente não podem ser personalizadas ou substituídas.
- O agente pode revisar até 300 usuários e 150 aplicativos em uma única execução.
Como funciona
O agente de otimização de Acesso Condicional analisa o seu locatário para identificar novos utilizadores, aplicações e identidades de agentes das últimas 24 horas e determina se as Políticas de Acesso Condicional são aplicáveis. Se o agente encontrar utilizadores, aplicações ou identidades de agentes que não estejam protegidas por políticas de Acesso Condicional, fornece passos seguintes sugeridos, como ativar ou modificar uma política de Acesso Condicional. Você pode analisar a sugestão, como o agente identificou a solução e o que seria incluído na política.
Cada vez que o agente é executado, ele realiza as seguintes etapas. Essas etapas iniciais de verificação não consomem nenhum SCUs.
- O agente verifica todas as políticas de Acesso Condicional em seu locatário.
- O agente verifica se há lacunas na política e se alguma política pode ser combinada.
- O agente analisa as sugestões anteriores para não sugerir a mesma política novamente.
Se o agente identificar algo que não foi sugerido anteriormente, ele toma as etapas a seguir. Essas etapas de ação do agente consomem SCUs.
- O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
- O agente avalia todas as instruções personalizadas fornecidas.
- O agente cria uma nova política no modo somente relatório ou fornece a sugestão de modificar uma política, incluindo qualquer lógica fornecida pelas instruções personalizadas.
Observação
O Security Copilot exige que pelo menos uma SCU (Unidade de Configuração de Segurança) seja provisionada na sua instância, mas essa SCU é faturada mensalmente, mesmo que não consuma nenhuma SCU. Desligar o agente não interrompe o faturamento mensal da SCU.
As sugestões de políticas identificadas pelo agente incluem:
- Exigir MFA: o agente identifica os usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
- Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivos, como conformidade de dispositivos, políticas de proteção de aplicativos e dispositivos associados a domínios.
- Bloquear autenticação herdada: as contas de utilizador com autenticação herdada são impedidas de iniciar sessão.
- Bloquear fluxo de código de dispositivo: o agente procura uma política de bloqueio de autenticação de fluxo de código de dispositivo.
- Usuários arriscados: o agente sugere uma política para exigir a alteração segura da senha para usuários de alto risco. Requer licença Microsoft Entra ID P2.
- Entradas arriscadas: o agente sugere uma política para exigir autenticação multifator para entradas de alto risco. Requer licença Microsoft Entra ID P2.
- Agentes de risco: O agente sugere uma política para bloquear a autenticação para logins de alto risco. Requer licença Microsoft Entra ID P2.
- Consolidação de políticas: o agente verifica sua política e identifica configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugere consolidar essas políticas em uma.
- Análise profunda: o agente analisa as apólices que correspondem aos principais cenários para identificar apólices atípicas que têm mais do que um número recomendado de exceções (levando a lacunas inesperadas na cobertura) ou nenhuma exceção (levando a um possível bloqueio).
Importante
O agente não faz alterações nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.
Todas as novas políticas sugeridas pelo agente são criadas no modo somente relatório.
Duas políticas podem ser consolidadas se não diferirem por mais do que duas condições ou controlos.
Como Começar
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Na nova página inicial, selecione Ir para agentes no cartão de notificação do agente.
- Você também pode selecionar Agentes no menu de navegação à esquerda.
Selecione Exibir detalhes no bloco Agente de Otimização de Acesso Condicional.
Selecione Iniciar agente para iniciar sua primeira execução.
Quando a página de visão geral do agente é carregada, todas as sugestões aparecem na caixa Sugestões recentes . Se uma sugestão for identificada, você poderá revisar a política, determinar o impacto da política e aplicar as alterações, se necessário. Para obter mais informações, consulte Rever e aprovar sugestões de agente de Acesso Condicional.
Configurações
O agente inclui várias definições poderosas para expandir as capacidades, tornando-as únicas para a sua organização. As seguintes capacidades podem ser configuradas a partir do separador Definições . Para mais informações, consulte Definições do Agente de Otimização de Acesso Condicional.
- Permitir que o agente funcione automaticamente, a cada 24 horas
- Defina o agente para verificar alterações aos utilizadores e aplicações
- Permitir que o agente crie políticas apenas com relatórios
- Permitir que o agente envie notificações através do Microsoft Teams
- Permitir que o agente crie planos de implementação faseados
- Permitir a integração com o ServiceNow para criação automática de bilhetes
- Forneça fontes de conhecimento ao agente para sugestões específicas da organização
Integrações incorporadas
O Agente de Otimização de Acesso Condicional pode fazer sugestões de políticas para organizações que utilizam o Intune para gestão de dispositivos e o Global Secure Access para acesso à rede.
Integração com o Intune
O Agente de Otimização de Acesso Condicional integra-se com o Microsoft Intune para monitorizar a conformidade do dispositivo e as políticas de proteção de aplicações configuradas no Intune e identificar potenciais lacunas na imposição do Acesso Condicional. Essa abordagem proativa e automatizada garante que as políticas de Acesso Condicional permaneçam alinhadas com as metas de segurança organizacionais e os requisitos de conformidade. As sugestões do agente são as mesmas que as outras sugestões de política, exceto que o Intune fornece parte do sinal ao agente.
As sugestões de agentes para cenários do Intune abrangem grupos de utilizadores e plataformas específicos (iOS ou Android). Por exemplo, o agente identifica uma política ativa de proteção de aplicativos do Intune direcionada ao grupo "Finanças", mas determina que não há uma política de Acesso Condicional suficiente que imponha a proteção do aplicativo. O agente cria uma política somente de relatório que exige que os usuários acessem recursos somente por meio de aplicativos compatíveis em dispositivos iOS.
Para identificar a conformidade do dispositivo do Intune e as políticas de proteção de aplicativos, o agente deve estar a atuar como Administrador Global ou Administrador de Acesso Condicional e Leitor Global. O papel de Administrador de Acesso Condicional não é suficiente, por si só, para que o agente produza sugestões no Intune.
Integração de Acesso Seguro Global
O Microsoft Entra Internet Access e o Microsoft Entra Private Access (coletivamente conhecidos como Global Secure Access) integram-se ao Agente de Otimização de Acesso Condicional para fornecer sugestões específicas para as políticas de acesso à rede da sua organização. A sugestão, Ativar nova política para impor os requisitos de acesso à rede Global Secure Access, ajuda você a alinhar suas políticas de Acesso Seguro Global que incluem locais de rede e aplicativos protegidos.
Com essa integração, o agente identifica usuários ou grupos que não são cobertos por uma política de Acesso Condicional para exigir acesso a recursos corporativos somente por meio de canais de Acesso Seguro Global aprovados. Essa política exige que os usuários se conectem a recursos corporativos usando a rede segura de Acesso Seguro Global da organização antes de acessar aplicativos e dados corporativos. Os usuários que se conectam a partir de redes não gerenciadas ou não confiáveis são solicitados a usar o cliente de Acesso Seguro Global ou o gateway da Web. Pode rever os registos de início de sessão para verificar as ligações compatíveis.
Remover agente
Se você não quiser mais usar o agente de otimização de Acesso Condicional, selecione Remover agente na parte superior da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas todas as políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente permanecem inalteradas para que você possa continuar a usar as políticas criadas ou modificadas pelo agente.
Fornecer comentários
Use o botão Dar comentários à Microsoft na parte superior da janela do agente para fornecer comentários à Microsoft sobre o agente.
FAQs
Quando devo usar o Agente de Otimização de Acesso Condicional vs o Copilot Chat?
Ambos os recursos fornecem informações diferentes sobre suas políticas de Acesso Condicional. A tabela a seguir fornece uma comparação dos dois recursos:
| Scenario | Agente de otimização de acesso condicional | Bate-papo do copiloto |
|---|---|---|
| Cenários genéricos | ||
| Utilize a configuração específica do locatário | ✅ | |
| Raciocínio avançado | ✅ | |
| Informações sob demanda | ✅ | |
| Solução de problemas interativa | ✅ | |
| Avaliação contínua das políticas | ✅ | |
| Sugestões de melhoria automatizadas | ✅ | |
| Obtenha orientação sobre as práticas recomendadas e a configuração da autoridade de certificação | ✅ | ✅ |
| Cenários específicos | ||
| Identifique usuários ou aplicativos desprotegidos de forma proativa | ✅ | |
| Impor MFA e outros controles de linha de base para todos os usuários | ✅ | |
| Monitoramento contínuo e otimização das políticas de CA | ✅ | |
| Alterações na política com um clique | ✅ | |
| Rever as políticas e atribuições de AC existentes (As políticas aplicam-se a Alice?) | ✅ | ✅ |
| Solucionar problemas de acesso de um usuário (Por que Alice foi solicitada para MFA?) | ✅ |
Ativei o agente, mas vejo "Falha" no status da atividade. O que está a acontecer?
É possível que o agente estivesse ativado antes do Microsoft Ignite 2025 com uma conta que exigia ativação de função através do Privileged Identity Management (PIM). Então, quando o agente tentou executar, falhou porque a conta não tinha as permissões necessárias naquele momento. Agentes de Otimização de Acesso Condicional que foram ativados após 17 de novembro de 2025 deixam de usar a identidade do utilizador que ativou o agente.
Pode resolver este problema migrando para usar o Microsoft Entra Agent ID. Selecione Criar identidade de agente a partir da mensagem banner na página do agente ou da secção Identidade e permissões das definições do agente.