条件访问优化代理可帮助你确保所有用户、应用程序和代理标识都受条件访问策略的保护。 代理可以根据与 零信任 和Microsoft学习相符的最佳做法,推荐新策略和更新现有策略。 该代理还会创建策略评审报告(预览版),该报告提供有关可能指示策略配置错误的峰值或低点的见解。
条件访问优化代理评估策略,例如要求多重身份验证(MFA)、强制实施基于设备的控制(设备符合性、应用保护策略和已加入域的设备),以及阻止旧式身份验证和设备代码流。 代理还会评估所有已启用的现有策略,以建议合并类似的策略。 当代理标识出建议时,代理可以通过一键修复来更新相关策略。
重要
条件访问优化代理中的 ServiceNow 集成目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 平均而言,每个代理运行消耗的 SCU 数少于一个。
- 必须具有适当的 Microsoft Entra 角色。
- 基于设备的控件需要 Microsoft Intune 许可证。
- 查看 Microsoft Security Copilot 中的隐私和数据安全。
局限性
- 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
- 对于策略合并,每个代理仅查看四组类似的策略对。
- 建议从 Microsoft Entra 管理中心运行代理。
- 扫描的时间限制为 24 小时。
- 无法自定义或替代代理的建议。
- 代理可以在一次运行中最多查看 300 个用户和 150 个应用程序。
工作原理
条件访问优化代理从过去 24 小时内扫描租户中的新用户、应用程序和代理标识,并确定条件访问策略是否适用。 如果代理查找不受条件访问策略保护的用户、应用程序或代理标识,则会提供建议的后续步骤,例如打开或修改条件访问策略。 可以查看建议、代理如何标识解决方案以及策略中包含的内容。
每次运行代理时,都会执行以下步骤。 这些初始扫描步骤不使用任何 SCU。
- 代理会扫描您租户中的所有条件访问策略
- 代理会检查策略差距,以及是否可以组合任何策略。
- 代理会审查以前的建议,因此不会再次建议相同的策略。
如果代理识别出以前未建议的内容,则执行以下步骤。 这些代理动作步骤消耗 SCU。
- 代理会识别策略缺口或可合并的策略对
- 代理会评估你提供的任何自定义说明。
- 代理在仅报告模式下创建新的策略,或提供修改策略的建议,包括自定义说明提供的任何逻辑。
注释
安全 Copilot 要求在您的租户中至少预配一个 SCU,否则系统无法运行。即使您不消耗任何 SCU,该 SCU 也每月收取费用。 关闭代理不会停止 SCU 的每月计费。
由代理识别的政策建议包括:
- 需要 MFA:代理识别不受要求 MFA 的条件访问策略覆盖的用户,并可能更新该策略。
- 需要基于设备的控件:代理可以强制实施基于设备的控件,例如设备符合性、应用保护策略和已加入域的设备。
- 阻止旧式身份验证:阻止使用旧式身份验证的用户帐户登录。
- 阻止设备代码流:代理查找阻止设备代码流身份验证的策略。
- 有风险的用户:代理建议策略要求对高风险用户进行安全密码更改。 需要Microsoft Entra ID P2 许可证。
- 有风险的登录:代理建议策略要求对高风险登录进行多重身份验证。需要Microsoft Entra ID P2 许可证。
- 有风险的代理:代理建议策略来阻止对高风险登录进行身份验证。需要Microsoft Entra ID P2 许可证。
- 策略合并:代理扫描策略并标识重叠设置。 例如,如果有多个策略具有相同的授予控制,代理建议将这些策略合并为一个策略。
- 深入分析:代理查看与关键方案对应的策略,以确定具有多个异常(导致覆盖意外差距)或无异常(导致可能锁定)的离群策略。
重要
除非管理员明确批准建议,否则代理不会对现有策略进行任何更改。
代理建议的所有 新 策略都以仅报告模式创建。
如果两个策略的区别不超过两个条件或控件,则可以合并两个策略。
入门指南
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
在新的主页中,从代理通知卡中选择前往代理。
- 还可以从左侧导航菜单中选择 代理 。
选择“条件访问优化代理”磁贴上的 “查看详细信息 ”。
选择 “启动代理 ”以开始首次运行。 请避免使用通过 PIM 激活角色的帐户。
当代理概述页面加载时,任何建议都显示在“ 最近建议 ”框中。 如果已确定建议,可以查看策略、确定策略影响,并根据需要应用更改。 有关详细信息,请参阅 查看和批准条件访问代理建议。
删除代理
如果不想再使用条件访问优化代理,请从代理窗口顶部选择 “删除代理 ”。 将删除现有数据(代理活动、建议和指标),但根据代理建议创建或更新的任何策略保持不变。 以前应用的建议保持不变,以便继续使用代理创建或修改的策略。
提供反馈
使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。
FAQs
应在何时使用条件访问优化代理程序或 Copilot 聊天功能?
这两项功能都提供对条件访问策略的不同见解。 下表提供了两个功能的比较:
| Scenario | 条件访问优化代理 | 副驾驶聊天 |
|---|---|---|
| 泛型方案 | ||
| 利用租户特定的配置 | ✅ | |
| 高级推理 | ✅ | |
| 按需见解 | ✅ | |
| 交互式故障排除 | ✅ | |
| 持续策略评估 | ✅ | |
| 自动改进建议 | ✅ | |
| 获取有关 CA 最佳做法和配置的指南 | ✅ | ✅ |
| 特定方案 | ||
| 主动识别未受保护的用户或应用程序 | ✅ | |
| 为所有用户强制实施 MFA 和其他基线控制 | ✅ | |
| CA 策略的持续监控和优化 | ✅ | |
| 一键式策略更改 | ✅ | |
| 查看现有的 CA 策略和分配(策略是否适用于 Alice?) | ✅ | ✅ |
| 排查用户访问问题(为什么会提示 Alice 进行 MFA?) | ✅ |
我激活了代理,但在活动状态中看到“失败”。 发生了什么事情?
可能使用了需要通过 Privileged Identity Management (PIM) 激活角色的帐户启用了代理。 因此,当代理尝试运行时,它失败,因为该帐户当时没有所需的权限。
可以通过迁移到 使用 Microsoft Entra 代理 ID 来解决此问题。 从代理页上的横幅消息或代理设置的“标识和权限”部分选择“创建代理标识”。