Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Агент оптимизации условного доступа помогает обеспечить защиту всех пользователей, приложений и удостоверений агента политиками условного доступа. Агент может рекомендовать новые политики и обновлять существующие политики на основе рекомендаций, согласованных с нулевым доверием и обучением Майкрософт. Агент также создает отчеты о проверке политики (предварительная версия), которые предоставляют аналитические сведения о пиках или спадах, которые могут указывать на неправильное настройку политики.
Агент оптимизации условного доступа оценивает политики, такие как требование многофакторной проверки подлинности (MFA), применение элементов управления на основе устройств (соответствие устройств, политики защиты приложений и устройства, присоединенные к домену), а также блокировка устаревшей проверки подлинности и потока кода устройства. Агент также оценивает все существующие включенные политики, чтобы выявить потенциальную консолидацию аналогичных политик. Когда агент идентифицирует предложение, агент может обновить связанную политику одним щелчком мыши.
Это важно
Интеграция ServiceNow с агентом оптимизации условного доступа в настоящее время находится в предварительной версии. Эта информация относится к предварительному продукту, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Предпосылки
- У вас должна быть по крайней мере лицензия Microsoft Entra ID P1 .
- Необходимо иметь доступные вычислительные единицы безопасности (SCU).
- В среднем каждый запуск агента потребляет менее одного SCU.
- У вас должна быть соответствующая роль Microsoft Entra.
- Администратор безопасности требуется для активации агента в первый раз.
- Роли Читатель безопасности и Глобальный читатель могут просматривать агента и любые предложения, но не могут выполнять никаких действий.
- Роли администратора условного доступа и администратора безопасности могут просматривать агента и принимать меры по предложенным рекомендациям.
- Администраторов условного доступа можно назначить, предоставив им доступ к системе Security Copilot, что дает администраторам возможность также использовать агента.
- Дополнительные сведения см. в разделе "Назначение доступа к Security Copilot".
- Для элементов управления на основе устройств требуются лицензии Microsoft Intune.
- Ознакомьтесь с безопасностью конфиденциальности и данных в Microsoft Security Copilot.
Ограничения
- После запуска агентов их нельзя остановить или приостановить. Выполнение может занять несколько минут.
- Для консолидации политик каждый агент рассматривает только четыре аналогичные пары политик.
- Мы рекомендуем запустить агент из Центра администрирования Microsoft Entra.
- Сканирование ограничено 24-часовым периодом.
- Предложения агента не могут быть настроены или переопределены.
- Агент может просматривать до 300 пользователей и 150 приложений в одном запуске.
Принцип работы
Агент оптимизации условного доступа сканирует арендатора на наличие новых пользователей, приложений и идентификаторов агентов за последние 24 часа и определяет, можно ли применить политики условного доступа. Если агент находит пользователей, приложения или удостоверения агента, которые не защищены политиками условного доступа, он предлагает следующие действия, например включение или изменение политики условного доступа. Вы можете просмотреть предложение, как агент определил решение и что будет включено в политику.
Каждый раз, когда агент запускается, он выполняет следующие действия. Эти начальные шаги сканирования не используют какие-либо SCU.
- Агент сканирует все политики условного доступа в вашем тенанте.
- Агент проверяет наличие пробелов в политике и может ли быть объединена любая политика.
- Агент проверяет предыдущие предложения, поэтому он не будет предлагать ту же политику снова.
Если агент идентифицирует то, что ранее не было предложено, он выполняет следующие действия. Эти действия агента используют SCU.
- Агент определяет разрыв политики или пару политик, которые можно объединить.
- Агент оценивает все предоставленные пользовательские инструкции.
- Агент создает новую политику в режиме только для отчета или предоставляет предложение изменить политику, включая любую логику, предоставляемую пользовательскими инструкциями.
Замечание
Для обеспечения безопасности Copilot требуется, чтобы в клиенте была подготовлена по крайней мере одна SCU, но плата за SCU взимается каждый месяц, даже если вы не используете какие-либо SKU. Отключение агента не прекращает ежемесячное выставление счетов для SCU.
Предложения политики, определенные агентом, включают:
- Требовать многофакторную проверку подлинности: агент определяет пользователей, которые не охватываются политикой условного доступа, требующей MFA, и может обновить политику.
- Требовать элементы управления на основе устройств: агент может применять элементы управления на основе устройств, такие как соответствие устройств, политики защиты приложений и присоединенные к домену устройства.
- Блокировать устаревшую проверку подлинности: учетные записи пользователей с устаревшей проверкой подлинности заблокированы для входа.
- Блокировать поток кода устройства: агент ищет политику блокировки проверки подлинности потока кода устройства.
- Рискованные пользователи: агент предлагает политику, требуя безопасного изменения пароля для пользователей с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные входы. Агент предлагает политику для многофакторной проверки подлинности для входа с высоким уровнем риска. Требуется лицензия Microsoft Entra ID P2.
- Рискованные агенты: агент предлагает политику блокировки проверки подлинности для входа с высоким риском. Требуется лицензия Microsoft Entra ID P2.
- Консолидация политик: агент сканирует политику и определяет перекрывающиеся параметры. Например, если у вас несколько политик с одинаковыми элементами управления предоставлением, агент предлагает объединить эти политики в одну.
- Глубокий анализ: Агент рассматривает политики, которые соответствуют ключевым сценариям, чтобы выявить аномальные политики с избыточным количеством исключений (что приводит к непредвиденным пробелам в охвате) или без исключений (что приводит к возможной блокировке).
Это важно
Агент не вносит никаких изменений в существующие политики, если администратор явно не утвердит предложение.
Все новые политики, предлагаемые агентом, создаются в режиме только для отчетов.
Две политики можно объединить, если они отличаются не более чем двумя условиями или элементами управления.
Начало работы
Войдите в Центр администрирования Microsoft Entra в роли как минимум Администратора безопасности.
На новой домашней странице выберите "Перейти к агентам" из карточки уведомлений агента.
- Вы также можете выбрать агенты в меню навигации слева.
Выберите "Просмотреть сведения" на плитке агента оптимизации условного доступа.
Снимок экрана плитки агента условного доступа с выделенной кнопкой "просмотр подробностей".
Выберите «Запустить агент», чтобы начать первый запуск.
Когда страница обзора агента загружается, все предложения отображаются в поле "Последние предложения ". Если было определено предложение, вы можете просмотреть политику, определить влияние политики и применить изменения при необходимости. Дополнительные сведения см. в статье "Просмотр и утверждение предложений агента условного доступа".
Settings
Агент включает несколько мощных параметров для расширения возможностей, что делает их уникальными для вашей организации. На вкладке "Параметры " можно настроить следующие возможности. Дополнительные сведения см. в разделе "Параметры агента оптимизации условного доступа".
- Разрешить автоматический запуск агента каждые 24 часа
- Настройка агента для проверки изменений у пользователей и приложений
- Разрешить агенту создавать политики в режиме только для отчетов
- Разрешить агенту отправлять уведомления через Microsoft Teams
- Разрешить агенту создавать поэтапные планы развертывания
- Включение интеграции с ServiceNow для автоматического создания билетов
- Предоставление источников знаний агенту для предложений для конкретной организации
Встроенные интеграции
Агент оптимизации условного доступа может создавать предложения политики для организаций, использующих Intune для управления устройствами и глобального безопасного доступа для доступа к сети.
Интеграция Intune
Агент оптимизации условного доступа интегрируется с Microsoft Intune для отслеживания соответствия устройств и политик защиты приложений, настроенных в Intune и выявления потенциальных пробелов в принудительном применении условного доступа. Этот упреждающий и автоматизированный подход гарантирует, что политики условного доступа остаются в соответствии с целями безопасности организации и требованиями к соответствию требованиям. Предложения агента совпадают с другими предложениями политики, за исключением того, что Intune предоставляет часть сигнала агенту.
Предложения агента для сценариев Intune охватывают определенные группы пользователей и платформы (iOS или Android). Например, агент определяет активную политику защиты приложений Intune, предназначенную для группы "Finance", но определяет, что не существует достаточной политики условного доступа, которая обеспечивает защиту приложений. Агент создает политику только для отчетов, которая требует от пользователей доступа к ресурсам только через соответствующие приложения на устройствах iOS.
Чтобы определить соответствие устройств Intune и политики защиты приложений, агент должен быть глобальным администратором или администратором условного доступа и одновременно глобальным обозревателем. Администратор условного доступа сам по себе недостаточен для того, чтобы агент мог предлагать варианты настройки Intune.
Интеграция глобального безопасного доступа
Microsoft Entra Internet Access и Microsoft Entra Private Access (коллективно известный как глобальный безопасный доступ) интегрируются с агентом оптимизации условного доступа, чтобы предоставить предложения, относящиеся к политикам доступа к сети вашей организации. Предложение включите новую политику, чтобы применить требования к сетевому доступу для Global Secure Access помогает согласовать политики Global Secure Access, в которые входят сетевые расположения и защищенные приложения.
С помощью этой интеграции агент определяет пользователей или группы, которые не охватываются политикой условного доступа, чтобы требовать доступ к корпоративным ресурсам только через утвержденные каналы глобального безопасного доступа. Эта политика требует, чтобы пользователи подключались к корпоративным ресурсам с помощью безопасной сети глобального безопасного доступа организации перед доступом к корпоративным приложениям и данным. Пользователям, подключающимся из неуправляемых или ненадежных сетей, предлагается использовать клиент глобального безопасного доступа или веб-шлюз. Журналы входа можно просмотреть, чтобы проверить соответствующие подключения.
Удаление агента
Если вы больше не хотите использовать агент оптимизации условного доступа, выберите "Удалить агент" в верхней части окна агента. Существующие данные (действие агента, предложения и метрики) удаляются, но все политики, созданные или обновленные на основе предложений агента, остаются неизменными. Ранее примененные предложения остаются неизменными, чтобы можно было продолжать использовать политики, созданные или измененные агентом.
Предоставление отзывов
Нажмите кнопку "Отправить отзыв Майкрософт" в верхней части окна агента, чтобы предоставить отзыв корпорации Майкрософт об агенте.
FAQs
Когда следует использовать агент оптимизации условного доступа и чат Copilot?
Обе функции предоставляют различные аналитические сведения о политиках условного доступа. В следующей таблице представлено сравнение двух функций:
| Scenario | Агент оптимизации условного доступа | Копилот Чат |
|---|---|---|
| Универсальные сценарии | ||
| Использование конфигурации для конкретного клиента | ✅ | |
| Продвинутое мышление | ✅ | |
| Аналитика по запросу | ✅ | |
| Интерактивное устранение неполадок | ✅ | |
| Непрерывная оценка политики | ✅ | |
| Автоматизированные предложения по улучшению | ✅ | |
| Ознакомьтесь с лучшими практиками и настройками удостоверяющего центра. | ✅ | ✅ |
| Конкретные сценарии | ||
| Упреждающее определение незащищенных пользователей или приложений | ✅ | |
| Принудительное применение MFA и других базовых элементов управления для всех пользователей | ✅ | |
| Непрерывный мониторинг и оптимизация политик ЦС | ✅ | |
| Изменения политики с одним щелчком | ✅ | |
| Просмотрите существующие политики и назначения ЦС (применяются ли политики к Алисе?) | ✅ | ✅ |
| Устранение неполадок с доступом пользователя (Почему Алиса запрашивала многофакторную проверку подлинности?) | ✅ |
Я активировал агент, но вижу сообщение "Сбой" в статусе активности. Что происходит?
Возможно, агент был включен до Microsoft Ignite 2025 с учетной записью, требующей активации ролей с помощью управления привилегированными пользователями (PIM). Когда агент попытался запуститься, возникла ошибка, так как учетная запись в тот момент не имела необходимых разрешений. Агенты оптимизации условного доступа, включенные после 17 ноября 2025 г., больше не используют удостоверение пользователя, активившего агент.
Вы можете устранить эту проблему, перейдя на использование идентификатора агента Microsoft Entra. Выберите "Создать удостоверение агента " из баннерного сообщения на странице агента или в разделе "Удостоверение и разрешения " параметров агента.