條件存取優化代理程式協助你確保所有使用者、應用程式及代理身份都受到條件存取政策的保護。 代理程式可以根據與 零信任 和 Microsoft 學習一致的最佳做法,建議新的原則並更新現有的原則。 代理程式也會建立原則檢閱報告 (預覽版),以深入解析可能指出原則設定錯誤的尖峰或下降。
條件式存取優化代理程式會評估原則,例如要求多重要素驗證(MFA)、強制執行裝置型控件(裝置合規性、應用程式保護原則和已加入網域的裝置),以及封鎖舊版驗證和裝置程式代碼流程。 代理程式也會評估所有已啟用的現有原則,以建議可能合併類似的原則。 當代理程序識別建議時,您可以讓代理程序使用一鍵修復來更新相關政策。
這很重要
條件式存取最佳化代理程式中的 ServiceNow 和 Microsoft Teams 整合目前處於預覽狀態。 這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
先決條件
- 您必須至少有 Microsoft Entra ID P1 授權。
- 您必須具備可用的 安全性計算單位 (SCU) 。
- 平均而言,每個代理程式執行都會耗用少於一個 SCU。
- 您必須具有適當的 Microsoft Entra 角色。
- 安全管理員需要第一次啟動代理程式。
- 安全性讀取者 和 全域讀取者 角色可以 檢視代理程式和任何建議,但無法採取任何動作。
- 條件式存取系統管理員 和 安全性系統管理員 角色可以 檢視代理程式,並針對建議採取動作。
- 您可以使用安全性 Copilot 存取來指派 條件式存取系統管理員 ,這可讓條件式存取系統管理員也能夠使用代理程式。
- 如需詳細資訊,請參閱 指派安全性 Copilot 存取權。
- 裝置型控件需要 Microsoft Intune 授權。
- 檢閱 Microsoft Security Copilot 中的隱私權和資料安全性。
局限性
- 請避免使用帳戶來設定需要透過特權身份管理 (PIM) 啟用角色的代理程式。 使用沒有常設許可權的帳戶可能會導致代理程序的身份驗證失敗。
- 一旦啟動代理程式,就無法停止或暫停它們。 執行可能需要幾分鐘的時間。
- 針對原則合併,每個代理程式執行只會查看四個類似的原則組。
- 建議您從 Microsoft Entra 系統管理中心執行代理程式。
- 掃描限制為24小時。
- 無法自定義或覆寫來自代理的建議。
- 代理程式可以在單一執行中檢閱最多300個使用者和150個應用程式。
運作方式
條件存取優化代理程式會掃描您的租戶,尋找過去 24 小時內的新使用者、應用程式及代理身份,並判斷條件存取政策是否適用。 如果代理發現未受條件存取政策保護的使用者、應用程式或代理身份,會建議下一步,例如啟用或修改條件存取政策。 您可以檢閱建議、代理程式如何識別解決方案,以及原則中包含的內容。
每次代理程式執行時,都會採取下列步驟。 這些初始掃描步驟不會耗用任何SCU。
- 代理程式會掃描租戶中的所有條件式存取政策。
- 代理程式會檢查原則缺口,以及是否可以合併任何原則。
- 代理程式會檢閱先前的建議,因此不會再次建議相同的原則。
如果代理程式發現了先前未建議的內容,則會採取下列步驟。 這些代理程式動作步驟會耗用 SCU。
- 代理程式會識別原則差距或可合併的一組原則。
- 代理程式會評估您提供的任何自定義指示。
- 代理程式會在僅限報表模式中建立新的原則,或提供修改原則的建議,包括自定義指示所提供的任何邏輯。
備註
安全性 Copilot 需要在您的租用戶中至少佈建一個 SCU,但即使您不取用任何 SCU,該 SCU 也會每月計費。 關閉代理程式並不會停止 SCU 的每月計費。
代理所識別的政策建議包括:
- 需要 MFA:代理程式識別不受要求 MFA 的條件式存取原則涵蓋的使用者,並且可以更新原則。
- 需要裝置型控制件:代理程式可以強制執行裝置型控制件,例如裝置合規性、應用程式保護原則和已加入網域的裝置。
- 封鎖舊版驗證:封鎖具有舊版驗證的用戶帳戶無法登入。
- 封鎖裝置程式代碼流程:代理程式會尋找封鎖裝置程式代碼流程驗證的原則。
- 具風險的使用者:代理程式建議原則,要求高風險用戶進行安全密碼變更。 需要Microsoft Entra ID P2 授權。
- 具風險的登入:代理程式建議原則要求多重要素驗證以進行高風險登入。需要Microsoft Entra ID P2 授權。
- 風險代理人:代理人建議一項政策,以阻擋高風險登入的認證。需要 Microsoft Entra ID P2 授權。
- 原則合併:代理程式會掃描您的原則,並識別重疊的設定。 例如,如果您有多個具有相同授權控制的政策,代理程式會建議將這些政策合併成一個。
- 深入分析:代理程式會查看對應至關鍵案例的原則,以識別異常值原則,這些原則具有超過建議數量的例外狀況 (導致涵蓋範圍出現非預期的差距) 或沒有例外狀況 (導致可能的鎖定)。
這很重要
除非系統管理員明確核准建議,否則代理程式不會對現有原則進行任何變更。
代理程序建議的所有 新 原則都會以僅限報表模式建立。
如果兩個原則的差異不超過兩個條件或控件,則可以合併這些原則。
入門指南
請以至少安全管理員的身分登入Microsoft Entra 系統管理中心。
從新的首頁,從代理程式通知卡選取 [移至代理程式 ]。
- 您也可以從左側導覽功能表中選取 [代理程式 ]。
在 [條件存取優化代理] 磚上按一下 檢視詳細資料。
![[條件式存取代理程式] 圖格的螢幕快照,其中已醒目提示 [檢視詳細數據] 按鈕。](media/conditional-access-agent-optimization/view-details.png)
選取 [啟動代理程式 ] 以開始您的第一次執行。 請避免使用透過 PIM 啟用角色的帳戶。
![顯示 [條件式存取優化] 起始代理程式頁面的螢幕快照。](media/conditional-access-agent-optimization/start-agent.png)
![[條件式存取代理程式] 圖格的螢幕快照,其中已醒目提示 [檢視詳細數據] 按鈕。](media/conditional-access-agent-optimization/view-details.png#lightbox)
![顯示 [條件式存取優化] 起始代理程式頁面的螢幕快照。](media/conditional-access-agent-optimization/start-agent.png#lightbox)
當代理程式概觀頁面載入時,任何建議都會出現在 [ 最近建議 ] 方塊中。 如果識別出建議,您可以檢閱原則、判斷原則影響,並視需要套用變更。 如需詳細資訊,請參閱 檢閱和核准條件式存取代理程序建議。
設定
啟用代理程序之後,您可以調整一些設定。 進行任何變更之後,請選取頁面底部的 [ 儲存 ] 按鈕。 您可以從 Microsoft Entra 系統管理中心的兩個位置存取設定:
- 從 代理>條件式存取優化代理>設定。
- 從 [條件式存取>] 中,選取 [原則摘要>] 底下的 [條件式存取優化代理程式] 卡片。
觸發程序
代理程式設定為根據一開始設定時每隔 24 小時執行一次。 您可以透過關閉觸發 器 設定來變更代理程式的執行時間,然後在您想要執行時重新開啟。
Microsoft 監控的 Entra 物件
使用 Microsoft Entra 物件 底下的複選框來監視,以指定代理程式在提出原則建議時應監視的內容。 根據預設,代理程式會在過去 24 小時內在您的租用戶中尋找新的用戶和應用程式。
代理程式功能
根據預設,條件式存取優化代理程式可以在 僅限報表模式中建立新的原則。 您可以變更此設定,讓系統管理員必須先核准新原則,才能建立新原則。 原則仍會以僅限報表模式建立,但只有在管理員核准之後才會建立。 檢閱政策影響之後,您可以直接從代理程式介面或條件式存取中開啟政策。
通知
作為預覽功能的一部分,條件式存取優化代理程式可以透過 Microsoft Teams 將通知傳送給一組選取的收件者。 使用 Microsoft Teams 中的 條件式存取代理程式 應用程式,當代理程式顯示新建議時,收件者會直接在其 Teams 聊天中收到通知。
若要將客服專員應用程式新增至 Microsoft Teams:
在 Microsoft Teams 中,從左側導覽功能表中選取 [ 應用程式 ],然後搜尋並選取條件 式存取代理程式。
![Teams 中 [條件式存取] 應用程式按鈕的螢幕擷取畫面。](media/conditional-access-agent-optimization/agent-teams-app.png)
選取 [ 新增 ] 按鈕,然後選取 [ 開啟 ] 按鈕以開啟應用程式。
若要更輕鬆地存取應用程式,請以滑鼠右鍵按一下左側導覽功能表中的應用程式圖示,然後選取 [ 釘選]。
![Teams 中 [條件式存取] 應用程式按鈕的螢幕擷取畫面。](media/conditional-access-agent-optimization/agent-teams-app.png#lightbox)
若要在條件式存取優化代理程式設定中設定通知:
在 [條件式存取最佳化代理程式] 設定中,選取 [ 選取使用者和群組 ] 連結。
選取您要接收通知的使用者或群組,然後選取 [ 選取 ] 按鈕。
在 [ 設定 ] 主頁面底部,選取 [儲存] 按鈕。
您最多可以選取 10 個收件者來接收通知。 您可以選取要接收通知的群組,但該群組的成員資格不能超過 10 個使用者。 如果您選取的群組使用者少於 10 個,但稍後新增更多使用者,則該群組將不再收到通知。 同樣地,通知只能傳送至五個物件,例如個別使用者或群組的組合。 若要停止接收通知,請從收件者清單中移除您的使用者物件或您所包含的群組。
此時,客服人員的通訊是單向的,因此您可以接收通知,但無法在 Microsoft Teams 中回應通知。 若要對建議採取動作,請從聊天中選取 [ 檢閱建議 ],以在 Microsoft Entra 系統管理中心開啟條件式存取優化代理程式。
分階段推出
當代理程式在僅限報告模式下建立新原則時,原則會分階段推出,因此您可以監控新原則的效果。 預設默認啟用階段式推出。
您可以拖曳滑桿或在文字方塊中輸入數字,以變更每個階段之間的天數。 每個階段之間的天數在所有階段都相同。 請確定您正在啟動階段式推出,並有足夠的時間監視下一個階段開始前的影響,因此推出不會在週末或假日開始,以防您需要暫停推出。
身分識別和許可權
關於代理的身份和權限,有幾個關鍵點需要考慮:
條件存取優化代理現在支援 Microsoft Entra 代理 ID,允許代理以自身身份執行,而非特定使用者身份。 這提升了安全性、簡化管理流程,並提供更大的彈性。
- 新安裝預設會以代理身份執行。
- 現有安裝可隨時從特定使用者情境切換為代理身份執行。
- 此變更不影響報表或分析。
- 現有政策與建議未受影響。
- 客戶無法返回使用者情境。
- 擁有安全管理員或全域管理員角色的 Admiins 可以進入 代理設定,然後選擇 建立代理身份 來進行切換。
根據預設,安全性系統管理員可以存取安全性 Copilot。 您可以指派具有安全性 Copilot 存取權的條件式存取系統管理員。 此授權可讓條件式存取系統管理員也能夠使用代理程式。 如需詳細資訊,請參閱 指派安全性 Copilot 存取權。
核准將使用者新增至原則的建議的使用者會成為將使用者新增至原則的新群組的擁有者。
代理所採取行動的稽核日誌會與啟用代理的使用者或代理身份相關聯。 你可以在設定的 「身份與權限 」區找到帳號名稱。
ServiceNow 整合 (預覽版)
使用 ServiceNow 外掛程式進行 Security Copilot 的組織現在可以讓條件式存取最佳化代理程式針對代理程式產生的每個新建議建立 ServiceNow 變更要求。 這允許 IT 和安全團隊在現有 ServiceNow 工作流程中跟踪、審查和批准或拒絕代理建議。 目前僅支援變更要求(CHG)。
若要使用 ServiceNow 整合,您的組織必須設定 ServiceNow 外掛程式 。
在條件式存取優化代理程式設定中開啟 ServiceNow 外掛程式時,代理程式的每個新建議都會建立 ServiceNow 變更要求。 變更要求包含建議的詳細資料,例如原則類型、受影響的使用者或群組,以及建議背後的理由。 整合也提供意見反應迴圈:客服專員會監控 ServiceNow 變更請求的狀態,並可在變更請求獲得核准時自動實作變更。
自定義指示
您可以使用選用的 [自定義指示 ] 字段,根據您的需求量身打造原則。 此設定可讓您在代理程式執行時,提供提示給代理程式。 這些指示可用於:
- 包含或排除特定使用者、群組和角色
- 排除被代理程式考慮或新增至條件式存取原則的物件。
- 將例外套用至特定原則,例如從原則中排除特定群組、要求 MFA 或要求行動應用程式管理原則。
您可以在自訂指示中輸入名稱或物件 ID。 這兩個值都已驗證。 如果您新增群組的名稱,則會自動代表您新增該群組的物件 ID。 自訂指示範例:
- 「將「Break Glass」群組中的使用者從任何需要多重要素驗證的原則中排除。」
- 「從所有原則中排除物件識別碼為 dddddddd-3333-4444-5555-eeeeee 的使用者」
要考慮的常見案例是,如果您的組織有許多來賓使用者,您不希望代理建議納入您的標準條件式存取原則。 如果代理程式執行並看到建議原則未涵蓋的新來賓使用者,則會取用 SCU 來建議以不需要的原則涵蓋這些來賓使用者。 若要避免代理程式考慮訪客使用者:
- 建立名為「訪客」的動態群組,其中
(user.userType -eq "guest")。 - 根據您的需求新增自訂指示。
- 「將「來賓」群組排除在客服人員考慮之外。」
- “將”訪客“組排除在任何移動應用程序管理策略之外。”
如需如何使用自定義指示的詳細資訊,請參閱下列影片。
請注意,影片中的某些內容(例如使用者介面元素)可能會隨著代理程式的頻繁更新而發生變化。
Intune 整合
條件式存取優化代理程式會與 Microsoft Intune 整合,以監視 Intune 中設定的裝置合規性和應用程式保護原則,並識別條件式存取強制執行中的潛在差距。 這種主動且自動化的方法可確保條件式存取原則與組織安全性目標和合規性需求保持一致。 代理程式建議與其他原則建議相同,只是 Intune 會為代理程式提供部分訊號。
Intune 案例的代理程式建議涵蓋特定使用者群組和平臺 (iOS 或 Android) 。 例如,代理程式會識別以 「財務」 群組為目標的作用中 Intune 應用程式保護原則,但判斷沒有足夠的條件式存取原則來強制執行應用程式保護。 代理程式會建立僅限報告的原則,要求使用者只能透過 iOS 裝置上的合規應用程式存取資源。
若要識別 Intune 裝置合規性和應用程式保護原則,代理程式必須以全域系統管理員或條件式存取系統管理員和全域讀取者身分執行。 條件式存取系統管理員本身不足以讓代理程式產生 Intune 建議。
全球安全存取整合
Microsoft Entra 因特網存取和 Microsoft Entra 私人存取 (統稱為全域安全存取) 會與條件式存取優化代理程式整合,以提供組織網路存取原則特有的建議。 建議 [ 開啟新原則以強制執行全域安全存取網路存取需求] 可協助您調整包含網路位置和受保護應用程式的全域安全存取原則。
透過此整合,代理程式會識別條件式存取原則未涵蓋的使用者或群組,以要求只透過核准的全域安全存取通道存取公司資源。 此原則要求使用者在存取公司應用程式和資料之前,先使用組織的安全全域安全存取網路連線到公司資源。 系統會提示從不受管理或不受信任的網路連線的使用者使用全域安全存取用戶端或 Web 閘道。 您可以檢閱登入記錄,以驗證符合規範的連線。
拿掉代理程式
如果您不想再使用條件式存取優化代理程式,請從代理程式視窗頂端選取 [移除代理程式 ]。 現有的數據(代理程式活動、建議和計量)已移除,但根據代理程序建議建立或更新的任何原則都會保持不變。 先前套用的建議保持不變,因此您可以繼續使用代理程式所建立或修改的原則。
提供意見反應
使用代理程式視窗頂端的 [ 提供Microsoft意見 反應] 按鈕,提供Microsoft有關代理程序的意見反應。
FAQs
何時應該使用條件式存取優化代理程式與 Copilot Chat?
這兩個特點都提供對條件式存取原則的不同見解。 下表提供這兩項功能的比較:
| Scenario | 條件式存取優化代理程式 | 協同駕駛聊天 |
|---|---|---|
| 一般案例 | ||
| 使用租戶特定的組態 | ✅ | |
| 進階推理 | ✅ | |
| 隨選洞察 | ✅ | |
| 互動式疑難解答 | ✅ | |
| 持續政策評估 | ✅ | |
| 自動化改進建議 | ✅ | |
| 獲取關於 CA 設定和最佳做法的建議 | ✅ | ✅ |
| 特定案例 | ||
| 主動識別未受保護的使用者或應用程式 | ✅ | |
| 為所有用戶強制執行 MFA 和其他基準控制件 | ✅ | |
| CA 原則的持續監視和優化 | ✅ | |
| 單鍵原則變更 | ✅ | |
| 檢閱現有的 CA 原則和指派(原則是否適用於 Alice?) | ✅ | ✅ |
| 針對使用者的存取進行疑難解答(為什麼 Alice 提示您輸入 MFA?) | ✅ |
我已啟動代理程式,但在活動狀態中看到「失敗」。 發生了什麼事情?
代理程式可能是使用需要使用特權身分識別管理 (PIM) 進行角色啟動的帳戶所啟用。 因此,當代理程式嘗試執行時,因為帳戶當時沒有所需的許可權,所以失敗。 如果 PIM 權限過期,系統會提示您重新驗證。
您可以移除代理程式,然後使用具有安全性 Copilot 存取權的用戶帳戶再次啟用代理程式,以解決此問題。 如需詳細資訊,請參閱 指派安全性 Copilot 存取權。