Microsoft Entra 條件式存取 優化代理程式協助您確保所有使用者、應用程式及代理身份都受到條件存取政策的保護。 代理程式可以根據與 零信任 和 Microsoft 學習一致的最佳做法,建議新的原則並更新現有的原則。 代理也會產生原則審查報告(預覽),協助找出可能表示原則設定錯誤的高峰或低谷。
條件存取優化代理會評估以下政策:
- 要求多重驗證(MFA)。
- 強制執行裝置相關控制措施(裝置合規、應用程式保護政策及網域連接裝置)。
- 阻擋舊有認證和裝置程式碼流。
代理程式也會評估所有已啟用的現有原則,以建議可能合併類似的原則。 當代理程式識別出建議時,你可以讓代理程式透過一鍵修正更新相關聯的原則。
這很重要
ServiceNow 整合、檔案上傳功能,以及條件存取優化代理程式中的活動導向執行目前正處於預覽階段。 這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
先決條件
- 您必須至少有 Microsoft Entra ID P1 授權。
- 你必須擁有可用的安全運算單元(SCU)。 平均而言,每個代理程式執行都會耗用少於一個 SCU。
- 您必須具有適當的 Microsoft Entra 角色。
- 首次啟用代理時需具備安全管理員角色。
- 安全閱讀器 和 全域閱讀器 角色可以 查看代理及其建議,但無法採取任何行動。
- 條件式存取系統管理員 和 安全性系統管理員 角色可以 檢視代理程式,並針對建議採取動作。
- 你可以指派條件存取管理員擁有Microsoft Security Copilot存取權限,這讓條件存取管理員能夠使用該代理程式。
- 欲了解更多角色資訊,請參見 Assign Security Copilot access。
- 裝置型控件需要 Microsoft Intune 授權。
- 檢閱 Microsoft Security Copilot 中的隱私權和資料安全性。
局限性
- 代理程式開始執行後,您無法停止或暫停此次執行。 執行可能需要幾分鐘的時間。
- 針對政策整合,每次代理程式執行都會評估 40 對相似政策。
- 建議您從 Microsoft Entra 系統管理中心執行代理程式。
- 掃描期限限制為24小時。
- 你無法自訂或覆蓋客服的建議。
- 代理程式可以在單一執行中檢閱最多300個使用者和150個應用程式。
運作方式
條件存取優化代理會掃描您的租戶,尋找過去 24 小時內的新使用者、應用程式及代理身份,並判斷是否適用條件存取政策。 如果代理發現條件存取政策未涵蓋的使用者、應用程式或代理身份,會建議下一步步驟。
下一步可能是啟用或修改條件存取政策。 你可以查看建議、客服人員如何找出解決方案,以及政策將包含哪些內容。
每次代理程式執行時,都會採取下列步驟。 這些初始掃描步驟不會消耗任何 SCU。
- 代理程式會掃描租戶中的所有條件式存取政策。
- 代理程式會檢查原則缺口,以及是否可以合併任何原則。
- 代理程式會檢視先前的建議,以免再次建議相同的政策。
如果代理程式發現了先前未曾提出的內容,它會採取以下步驟。 這些代理程式動作步驟會耗用 SCU。
- 代理程式會識別原則差距或可合併的一組原則。
- 代理人會評估你提供的任何客製化指示。
- 代理程式會在僅報告模式下建立新政策,或提供修改政策的建議,包含自訂指令中的邏輯。
備註
Security Copilot 要求你的租戶至少配置一個 SCU。 即使你沒有消耗任何 SCU,這個 SCU 也是每個月計費的。 關閉代理程式並不會停止 SCU 的每月計費。
代理程式提供的原則建議包括:
- 需要 MFA:代理程式識別不受要求 MFA 的條件式存取原則涵蓋的使用者,並且可以更新原則。
- 需要裝置型控制件:代理程式可以強制執行裝置型控制件,例如裝置合規性、應用程式保護原則和已加入網域的裝置。
- 封鎖舊版驗證:封鎖具有舊版驗證的用戶帳戶無法登入。
- 封鎖裝置程式碼流程:代理尋找能阻擋裝置程式碼流的政策。
- 風險使用者:該代理建議制定政策,要求高風險用戶安全更改密碼。 需要 Microsoft Entra ID P2 授權。
- Risky sign-in:客服建議一項政策,要求高風險登入使用多重驗證。需要 Microsoft Entra ID P2 授權。
- Risky agents:代理建議一項政策,封鎖高風險登入的認證。需要 Microsoft Entra ID P2 授權。
- 原則合併:代理程式會掃描您的原則,並識別重疊的設定。 例如,如果您有多個具有相同授權控制的政策,代理程式會建議將這些政策合併成一個。
- 深入分析:代理程式會評估與關鍵情境相對應的原則,以識別例外數量超過建議值(導致涵蓋範圍出現未預期的缺口)或完全沒有例外(可能導致遭到鎖定)的異常原則。
- 深度分析 MFA 缺口分析:代理會掃描租戶中所有啟用的條件存取政策,以識別未受任何 MFA 政策涵蓋的使用者。 此掃描涵蓋被排除在基準政策之外、在群組成員資格中被遺漏,或落在重疊政策之間漏洞中的使用者。 與標準掃描不同,此分析評估整個租戶配置,不限於過去24小時。
- 代理程式身分的最小權限存取(預覽):代理程式會識別具有未使用或權限過高之 Microsoft Graph 權限的代理程式身分。 接著建議執行最低權限,例如移除未使用的權限,或以更具體的權限取代廣泛的權限。
這很重要
除非系統管理員明確核准建議,否則代理程式不會對現有原則進行任何變更。
客服建議的所有 新 政策都是以僅報告模式建立。
如果兩個原則的差異不超過兩個條件或控件,則可以合併這些原則。
入門指南
請以至少安全管理員的身分登入Microsoft Entra 系統管理中心。
在新的首頁上,從代理人通知卡片中選取「前往代理人」。
你也可以從左側選單選擇Security Copilot agents。
在 條件存取優化代理(Conditional Access Optimization Agent )圖塊中,選擇 「檢視詳細資料」。
選取 [啟動代理程式 ] 以開始您的第一次執行。
在代理人的 「概覽 」標籤中,任何建議都會出現在 「最近建議」 框中。 接著您可以檢視原則、評估原則的影響,並在必要時套用變更。 欲了解更多資訊,請參閱 檢閱並套用條件式存取最佳化代理程式的建議。
設定
該代理包含多個強大的設定,以擴展功能同時使其對您的組織獨一無二。 你可以在 設定 標籤中設定以下功能。欲了解更多資訊,請參閱 條件存取優化代理設定。
- 讓客服人員每 24 小時自動執行一次。
- 啟用 以活動為基礎的執行,在租戶發生相關變更時觸發代理程式(預覽)。
- 設定代理程式檢查使用者和應用程式的變更。
- 允許代理在僅報告模式下建立政策。
- 允許代理程式透過 Microsoft Teams傳送通知。
- 允許代理人制定 分階段的推廣計畫。
- 啟用 與 ServiceNow 的整合 以自動建立工單。
- 向客服人員提供組織專屬建議的 知識來源 。
內建整合功能
條件存取優化代理程式能為使用 Intune 進行裝置管理及全球安全存取網路存取的組織提出政策建議。
Intune 整合
條件存取優化代理程式與 Intune 整合,以便:
- 監控裝置合規性及 Intune 中設定的應用程式保護政策。
- 識別條件存取執行中的潛在缺口。
這種主動且自動化的方法可確保條件式存取原則與組織安全性目標和合規性需求保持一致。 代理程式建議與其他原則建議相同,只是 Intune 會為代理程式提供部分訊號。
Intune 案例的代理程式建議涵蓋特定使用者群組和平臺 (iOS 或 Android) 。 例如,代理識別出一項針對財務群組的 Intune 應用程式保護政策,但判斷沒有足夠的條件存取政策強制執行應用程式保護。 代理程式會建立僅限報告的原則,要求使用者只能透過 iOS 裝置上的合規應用程式存取資源。
要識別 Intune 裝置合規性及應用程式保護政策,代理必須同時以全域管理員或條件存取管理員 及 全域讀取器身份執行。 條件存取管理員的角色本身不足以讓客服人員產生 Intune 建議。
全球安全存取整合
Microsoft Entra 因特網存取和 Microsoft Entra 私人存取 (統稱為全域安全存取) 會與條件式存取優化代理程式整合,以提供組織網路存取原則特有的建議。 建議「 開啟新政策以強制執行全球安全存取網路存取要求 」能幫助您調整包含網路位置與受保護應用程式的全球安全存取政策。
透過此整合,代理程式會識別條件式存取原則未涵蓋的使用者或群組,以要求只透過核准的全域安全存取通道存取公司資源。 此政策要求使用者在存取企業應用程式與資料前,必須透過組織安全的全球安全存取網路連接企業資源。 從未受管理或不受信任網路連線的使用者會被提示使用全球安全存取用戶端或網路閘道器。 您可以檢閱登入記錄,以驗證符合規範的連線。
毒劑移除
如果你不想再使用條件存取優化代理程式,請在代理程式視窗頂端選擇 移除代理 。 現有資料(代理活動、建議和指標)會被移除,但根據代理建議建立或更新的政策仍然完整。 先前套用的建議保持不變,因此您可以繼續使用客服人員建立或修改的政策。
提供意見反應
若要向Microsoft提供關於該代理的回饋,請使用代理視窗頂端的 Give Microsoft feedback 按鈕。
FAQs
我應該什麼時候使用條件存取優化代理(Conditional Access Optimization Agent)和 Copilot Chat?
條件存取優化代理程式(Conditional Access Optimization Agent)與 Microsoft Copilot Chat 提供不同的條件存取政策見解。 下表比較了這兩種特徵。
| Scenario | 條件式存取優化代理程式 | 協同駕駛聊天 |
|---|---|---|
| 通用劇本 | ||
| 租戶專屬配置 | ✅ | |
| 進階推理 | ✅ | |
| 隨選洞察 | ✅ | |
| 互動式疑難解答 | ✅ | |
| 持續政策評估 | ✅ | |
| 自動化改進建議 | ✅ | |
| 關於憑證授權中心(CA)最佳實務與設定的指引 | ✅ | ✅ |
| 具體情境 | ||
| 主動識別未受保護的使用者或應用程式 | ✅ | |
| 對所有使用者強制執行多重身份驗證及其他基線控制措施 | ✅ | |
| CA 原則的持續監視和優化 | ✅ | |
| 單鍵原則變更 | ✅ | |
| 檢視現有的 CA 政策與指派(「政策是否適用於 Alice?」) | ✅ | ✅ |
| 排解使用者存取問題(「為什麼 Alice 會被要求進行多重身份驗證?」) | ✅ |
我啟用了代理,但活動狀態是失敗。 發生了什麼事情?
你可能是在 Microsoft Ignite 2025 之前,使用需要透過 Privileged Identity Management(PIM)啟用角色的帳戶啟用了代理程式。 因此,當代理程式嘗試執行時,因為帳戶當時沒有所需的許可權,所以失敗。 在 2025 年 11 月 17 日後啟用的條件存取優化代理程式,不再使用啟用它的使用者身份。
你可以透過遷移到 Microsoft Entra Agent ID 來解決這個問題。 從代理頁面的橫幅訊息或代理設定中的權限區段選擇建立代理身份。