IT 管理员和安全分析师面临越来越大的压力,在管理日益复杂的环境的同时,快速识别和响应威胁。 他们经常被警报量所淹没,难以确定哪些风险需要立即关注的优先级,并发现很难跨组织系统连接分散的数据点。 Microsoft Entra 中具有安全 Copilot 的标识风险管理代理可帮助这些专业人员调查潜在风险、了解其效果,并采取果断行动来保护组织的关键资产。
注释
标识风险管理代理当前正在部署和预览版中。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
- 必须至少有 Microsoft Entra ID P2 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 平均而言,每个代理运行消耗的 SCU 数少于一个。
- 必须具有适当的 Microsoft Entra 角色。
- 安全管理员 需要 第一次激活代理 , 并查看代理并针对建议采取措施。
- 安全读取者和全局读取者角色可以查看代理和任何建议,但不能执行任何作。
- 有关详细信息,请参阅 分配 Security Copilot 的访问权限。
- 查看 Microsoft Security Copilot 中的隐私和数据安全。
Microsoft Entra 代理 ID 是 Microsoft Agent 365 的一部分。 这两者都可通过 Microsoft 365 中的 边境计划 获得。 若要访问这些功能,必须拥有 Microsoft 365 Copilot 的许可证,并为用户启用 Frontier。
按照 Frontier 入门指南 进行操作,或使用以下步骤检查是否已启用 Frontier:
- 以计费管理员身份登录到 Microsoft 365 管理中心。
- 浏览到 Copilot>设置>用户访问>Copilot Frontier 并确保为用户启用。 如果未看到这些选项,请联系管理员以检查Microsoft 365 Copilot 许可。
已知的限制
- 每个代理的运行当前最多能够调查 100 个有风险的用户。 若要在此限制内自定义范围,请使用代理范围设置。
- 代理运行启动后,无法停止或暂停它。 完成 100 个用户的运行可能需要 10-15 分钟。
- 代理当前仅分析用户标识。 目前不支持对工作负荷标识进行代理分析。
- 代理建议需要手动管理员批准。 目前不支持自动修正。
- 代理程序分析 Microsoft Entra 的数据,例如登录日志、风险检测、有风险的用户和审核日志。
- 调查摘要和建议是 AI 生成的,可能不完整或不正确。 在实施前进行评审,并在应用更改时使用人工判断。
工作原理
如果代理标识以前未标识的新风险标识,则执行以下步骤。 初始扫描步骤不使用任何 SCU。
- 代理检查租户中当前被标识为“有风险”的新用户。
- 代理标识定义的 作用域设置中的有风险的用户。
如果代理识别出以前未建议的内容,则执行以下步骤。 这些代理动作步骤消耗 SCU。
- 调查有风险的用户:代理会检查用户的风险登录和风险检测,以分析此用户的风险。
- 生成结果和风险摘要: 代理根据调查生成调查结果,其中包括一个全面的风险摘要,解释建议并定义关键风险因素。
- 生成建议的修正作:代理建议使用调查期间收集的信息执行修正作。
- 通过聊天回答问题:IT 管理员询问与有风险的用户和风险摘要相关的代理问题。
- 将自定义说明存储在代理内存中:客户可以通过代理聊天提供代理自定义说明,代理将其存储在其内存中,并适用于将来的运行。 目前,代理内存可以存储首选修正作。
入门指南
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
浏览到 ID 保护>风险用户。
从报表顶部的横幅消息中,选择 “启动代理 ”以开始首次运行。
- 请避免使用通过 PIM 激活角色的帐户。
- 右上角出现了一个显示“代理正在启动第一次运行”的消息。
- 第一次运行可能需要几分钟才能完成。