Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Агент оптимизации условного доступа помогает обеспечить защиту всех пользователей, приложений и удостоверений агента политиками условного доступа. Агент может рекомендовать новые политики и обновлять существующие политики на основе рекомендаций, согласованных с нулевым доверием и обучением Майкрософт. Агент также создает отчеты о проверке политики (предварительная версия), которые предоставляют аналитические сведения о пиках или спадах, которые могут указывать на неправильное настройку политики.
Агент оптимизации условного доступа оценивает политики, такие как требование многофакторной проверки подлинности (MFA), применение элементов управления на основе устройств (соответствие устройств, политики защиты приложений и устройства, присоединенные к домену), а также блокировка устаревшей проверки подлинности и потока кода устройства. Агент также оценивает все существующие включенные политики, чтобы выявить потенциальную консолидацию аналогичных политик. Когда агент идентифицирует предложение, агент может обновить связанную политику одним щелчком мыши.
Это важно
Интеграция ServiceNow с агентом оптимизации условного доступа в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Предпосылки
- У вас должна быть по крайней мере лицензия Microsoft Entra ID P1 .
- Необходимо иметь доступные вычислительные единицы безопасности (SCU).
- В среднем каждый запуск агента потребляет менее одного SCU.
- У вас должна быть соответствующая роль Microsoft Entra.
- Администратор безопасности требуется для активации агента в первый раз.
- Роли средства чтения безопасности и глобального читателя могут просматривать агент и любые предложения, но не могут выполнять никаких действий.
- Роли администратора условного доступа и администратора безопасности могут просматривать агента и принимать меры по предложенным рекомендациям.
- Администраторов условного доступа можно назначить, предоставив им доступ к системе Security Copilot, что дает администраторам возможность также использовать агента.
- Дополнительные сведения см. в разделе "Назначение доступа к Security Copilot".
- Для элементов управления на основе устройств требуются лицензии Microsoft Intune.
- Ознакомьтесь с безопасностью конфиденциальности и данных в Microsoft Security Copilot.
Ограничения
- После запуска агентов их нельзя остановить или приостановить. Выполнение может занять несколько минут.
- Для консолидации политик каждый агент рассматривает только четыре аналогичные пары политик.
- Мы рекомендуем запустить агент из Центра администрирования Microsoft Entra.
- Сканирование ограничено 24-часовым периодом.
- Предложения агента не могут быть настроены или переопределены.
- Агент может просматривать до 300 пользователей и 150 приложений в одном запуске.
Принцип работы
Агент оптимизации условного доступа сканирует арендатора на наличие новых пользователей, приложений и идентификаторов агентов за последние 24 часа и определяет, можно ли применить политики условного доступа. Если агент находит пользователей, приложения или удостоверения агента, которые не защищены политиками условного доступа, он предлагает следующие действия, например включение или изменение политики условного доступа. Вы можете просмотреть предложение, как агент определил решение и что будет включено в политику.
Каждый раз, когда агент запускается, он выполняет следующие действия. Эти начальные шаги сканирования не используют какие-либо SCU.
- Агент сканирует все политики условного доступа в вашем тенанте.
- Агент проверяет наличие пробелов в политике и может ли быть объединена любая политика.
- Агент проверяет предыдущие предложения, поэтому он не будет предлагать ту же политику снова.
Если агент идентифицирует то, что ранее не было предложено, он выполняет следующие действия. Эти действия агента используют SCU.
- Агент определяет разрыв политики или пару политик, которые можно объединить.
- Агент оценивает все предоставленные пользовательские инструкции.
- Агент создает новую политику в режиме только для отчета или предоставляет предложение изменить политику, включая любую логику, предоставляемую пользовательскими инструкциями.
Замечание
Для работы Security Copilot в клиенте должен быть подготовлен по крайней мере один SCU, но за этот SCU выставляется счет каждый месяц, даже если вы не используете какие-либо SCU. Отключение агента не прекращает ежемесячное выставление счетов для SCU.
Предложения политики, определенные агентом, включают:
- Требовать многофакторную проверку подлинности: агент определяет пользователей, которые не охватываются политикой условного доступа, требующей MFA, и может обновить политику.
- Требовать элементы управления на основе устройств: агент может применять элементы управления на основе устройств, такие как соответствие устройств, политики защиты приложений и присоединенные к домену устройства.
- Блокировать устаревшую проверку подлинности: учетные записи пользователей с устаревшей проверкой подлинности заблокированы для входа.
- Блокировать поток кода устройства: агент ищет политику блокировки проверки подлинности потока кода устройства.
- Рискованные пользователи: агент предлагает политику, требуя безопасного изменения пароля для пользователей с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные входы. Агент предлагает политику для многофакторной проверки подлинности для входа с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные агенты: агент предлагает политику блокировки проверки подлинности для входа с высоким риском. Требуется лицензия Microsoft Entra ID P2.
- Консолидация политик: агент сканирует политику и определяет перекрывающиеся параметры. Например, если у вас несколько политик с одинаковыми элементами управления предоставлением, агент предлагает объединить эти политики в одну.
- Глубокий анализ. Агент рассматривает политики, соответствующие ключевым сценариям, чтобы определить более чем рекомендуемое количество исключений (что приводит к непредвиденным пробелам в охвате) или без исключений (что приводит к возможной блокировке).
Это важно
Агент не вносит никаких изменений в существующие политики, если администратор явно не утвердит предложение.
Все новые политики, предлагаемые агентом, создаются в режиме только для отчетов.
Две политики можно объединить, если они отличаются не более чем двумя условиями или элементами управления.
Начало работы
Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора безопасности.
На новой домашней странице выберите "Перейти к агентам" из карточки уведомлений агента.
- Вы также можете выбрать агенты в меню навигации слева.
Выберите "Просмотреть сведения" на плитке агента оптимизации условного доступа.
Снимок экрана плитки агента условного доступа с выделенной кнопкой "просмотр подробностей".
Выберите «Запустить агент», чтобы начать первый запуск.
Когда страница обзора агента загружается, все предложения отображаются в поле "Последние предложения ". Если было определено предложение, вы можете просмотреть политику, определить влияние политики и применить изменения при необходимости. Дополнительные сведения см. в статье "Просмотр и утверждение предложений агента условного доступа".
Удаление агента
Если вы больше не хотите использовать агент оптимизации условного доступа, выберите "Удалить агент" в верхней части окна агента. Существующие данные (действие агента, предложения и метрики) удаляются, но все политики, созданные или обновленные на основе предложений агента, остаются неизменными. Ранее примененные предложения остаются неизменными, чтобы можно было продолжать использовать политики, созданные или измененные агентом.
Предоставление отзывов
Нажмите кнопку "Отправить отзыв Майкрософт" в верхней части окна агента, чтобы предоставить отзыв корпорации Майкрософт об агенте.
FAQs
Когда следует использовать агент оптимизации условного доступа и чат Copilot?
Обе функции предоставляют различные аналитические сведения о политиках условного доступа. В следующей таблице представлено сравнение двух функций:
| Scenario | Агент оптимизации условного доступа | Копилот Чат |
|---|---|---|
| Универсальные сценарии | ||
| Использование конфигурации для конкретного клиента | ✅ | |
| Продвинутое мышление | ✅ | |
| Аналитика по запросу | ✅ | |
| Интерактивное устранение неполадок | ✅ | |
| Непрерывная оценка политики | ✅ | |
| Автоматизированные предложения по улучшению | ✅ | |
| Ознакомьтесь с лучшими практиками и настройками удостоверяющего центра. | ✅ | ✅ |
| Конкретные сценарии | ||
| Упреждающее определение незащищенных пользователей или приложений | ✅ | |
| Принудительное применение MFA и других базовых элементов управления для всех пользователей | ✅ | |
| Непрерывный мониторинг и оптимизация политик ЦС | ✅ | |
| Изменения политики с одним щелчком | ✅ | |
| Просмотрите существующие политики и назначения ЦС (применяются ли политики к Алисе?) | ✅ | ✅ |
| Устранение неполадок с доступом пользователя (Почему Алиса запрашивала многофакторную проверку подлинности?) | ✅ |
Я активировал агент, но вижу сообщение "Сбой" в статусе активности. Что происходит?
Возможно, агент был включен до Microsoft Ignite 2025 с учетной записью, требующей активации ролей с помощью управления привилегированными пользователями (PIM). Когда агент попытался запуститься, возникла ошибка, так как учетная запись в тот момент не имела необходимых разрешений. Агенты оптимизации условного доступа, включенные после 17 ноября 2025 г., больше не используют удостоверение пользователя, активившего агент.
Вы можете устранить эту проблему, перейдя на использование идентификатора агента Microsoft Entra. Выберите "Создать удостоверение агента " из баннерного сообщения на странице агента или в разделе "Удостоверение и разрешения " параметров агента.