條件存取優化代理程式協助你確保所有使用者、應用程式及代理身份都受到條件存取政策的保護。 代理程式可以根據與 零信任 和 Microsoft 學習一致的最佳做法,建議新的原則並更新現有的原則。 代理程式也會建立原則檢閱報告 (預覽版),以深入解析可能指出原則設定錯誤的尖峰或下降。
條件式存取優化代理程式會評估原則,例如要求多重要素驗證(MFA)、強制執行裝置型控件(裝置合規性、應用程式保護原則和已加入網域的裝置),以及封鎖舊版驗證和裝置程式代碼流程。 代理程式也會評估所有已啟用的現有原則,以建議可能合併類似的原則。 當代理程序識別建議時,您可以讓代理程序使用一鍵修復來更新相關政策。
這很重要
條件存取優化代理程式中的 ServiceNow 整合目前處於預覽階段。 這項資訊與發行前版本產品有關,在發行前可能會大幅修改。 Microsoft針對此處提供的資訊,不提供任何明示或默示擔保。
先決條件
- 您必須至少有 Microsoft Entra ID P1 授權。
- 您必須具備可用的 安全性計算單位 (SCU) 。
- 平均而言,每個代理程式執行都會耗用少於一個 SCU。
- 您必須具有適當的 Microsoft Entra 角色。
- 安全管理員需要第一次啟動代理程式。
- 安全性讀取者 和 全域讀取者 角色可以 檢視代理程式和任何建議,但無法採取任何動作。
- 條件式存取系統管理員 和 安全性系統管理員 角色可以 檢視代理程式,並針對建議採取動作。
- 您可以使用安全性 Copilot 存取來指派 條件式存取系統管理員 ,這可讓條件式存取系統管理員也能夠使用代理程式。
- 如需詳細資訊,請參閱 指派安全性 Copilot 存取權。
- 裝置型控件需要 Microsoft Intune 授權。
- 檢閱 Microsoft Security Copilot 中的隱私權和資料安全性。
局限性
- 一旦啟動代理程式,就無法停止或暫停它們。 執行可能需要幾分鐘的時間。
- 針對原則合併,每個代理程式執行只會查看四個類似的原則組。
- 建議您從 Microsoft Entra 系統管理中心執行代理程式。
- 掃描限制為24小時。
- 無法自定義或覆寫來自代理的建議。
- 代理程式可以在單一執行中檢閱最多300個使用者和150個應用程式。
運作方式
條件存取優化代理程式會掃描您的租戶,尋找過去 24 小時內的新使用者、應用程式及代理身份,並判斷條件存取政策是否適用。 如果代理發現未受條件存取政策保護的使用者、應用程式或代理身份,會建議下一步,例如啟用或修改條件存取政策。 您可以檢閱建議、代理程式如何識別解決方案,以及原則中包含的內容。
每次代理程式執行時,都會採取下列步驟。 這些初始掃描步驟不會耗用任何SCU。
- 代理程式會掃描租戶中的所有條件式存取政策。
- 代理程式會檢查原則缺口,以及是否可以合併任何原則。
- 代理程式會檢閱先前的建議,因此不會再次建議相同的原則。
如果代理程式發現了先前未建議的內容,則會採取下列步驟。 這些代理程式動作步驟會耗用 SCU。
- 代理程式會識別原則差距或可合併的一組原則。
- 代理程式會評估您提供的任何自定義指示。
- 代理程式會在僅限報表模式中建立新的原則,或提供修改原則的建議,包括自定義指示所提供的任何邏輯。
備註
安全性 Copilot 需要在您的租用戶中至少佈建一個 SCU,但即使您不取用任何 SCU,該 SCU 也會每月計費。 關閉代理程式並不會停止 SCU 的每月計費。
代理所識別的政策建議包括:
- 需要 MFA:代理程式識別不受要求 MFA 的條件式存取原則涵蓋的使用者,並且可以更新原則。
- 需要裝置型控制件:代理程式可以強制執行裝置型控制件,例如裝置合規性、應用程式保護原則和已加入網域的裝置。
- 封鎖舊版驗證:封鎖具有舊版驗證的用戶帳戶無法登入。
- 封鎖裝置程式代碼流程:代理程式會尋找封鎖裝置程式代碼流程驗證的原則。
- 具風險的使用者:代理程式建議原則,要求高風險用戶進行安全密碼變更。 需要Microsoft Entra ID P2 授權。
- 具風險的登入:代理程式建議原則要求多重要素驗證以進行高風險登入。需要Microsoft Entra ID P2 授權。
- 風險代理人:代理人建議一項政策,以阻擋高風險登入的認證。需要 Microsoft Entra ID P2 授權。
- 原則合併:代理程式會掃描您的原則,並識別重疊的設定。 例如,如果您有多個具有相同授權控制的政策,代理程式會建議將這些政策合併成一個。
- 深入分析:代理程式會查看對應至關鍵案例的原則,以識別異常值原則,這些原則具有超過建議數量的例外狀況 (導致涵蓋範圍出現非預期的差距) 或沒有例外狀況 (導致可能的鎖定)。
這很重要
除非系統管理員明確核准建議,否則代理程式不會對現有原則進行任何變更。
代理程序建議的所有 新 原則都會以僅限報表模式建立。
如果兩個原則的差異不超過兩個條件或控件,則可以合併這些原則。
入門指南
請以至少安全管理員的身分登入Microsoft Entra 系統管理中心。
從新的首頁,從代理程式通知卡選取 [移至代理程式 ]。
- 您也可以從左側導覽功能表中選取 [代理程式 ]。
在 [條件存取優化代理] 磚上按一下 檢視詳細資料。
![[條件式存取代理程式] 圖格的螢幕快照,其中已醒目提示 [檢視詳細數據] 按鈕。](media/conditional-access-agent-optimization/view-details.png)
選取 [啟動代理程式 ] 以開始您的第一次執行。
![顯示 [條件式存取優化] 起始代理程式頁面的螢幕快照。](media/conditional-access-agent-optimization/start-agent.png)
![[條件式存取代理程式] 圖格的螢幕快照,其中已醒目提示 [檢視詳細數據] 按鈕。](media/conditional-access-agent-optimization/view-details.png#lightbox)
![顯示 [條件式存取優化] 起始代理程式頁面的螢幕快照。](media/conditional-access-agent-optimization/start-agent.png#lightbox)
當代理程式概觀頁面載入時,任何建議都會出現在 [ 最近建議 ] 方塊中。 如果識別出建議,您可以檢閱原則、判斷原則影響,並視需要套用變更。 如需詳細資訊,請參閱 檢閱和核准條件式存取代理程序建議。
拿掉代理程式
如果您不想再使用條件式存取優化代理程式,請從代理程式視窗頂端選取 [移除代理程式 ]。 現有的數據(代理程式活動、建議和計量)已移除,但根據代理程序建議建立或更新的任何原則都會保持不變。 先前套用的建議保持不變,因此您可以繼續使用代理程式所建立或修改的原則。
提供意見反應
使用代理程式視窗頂端的 [ 提供Microsoft意見 反應] 按鈕,提供Microsoft有關代理程序的意見反應。
FAQs
什麼時候我應該使用條件存取最佳化代理,而非 Copilot 聊天?
這兩個特點都提供對條件式存取原則的不同見解。 下表提供這兩項功能的比較:
| Scenario | 條件式存取優化代理程式 | 協同駕駛聊天 |
|---|---|---|
| 一般案例 | ||
| 使用租戶特定的組態 | ✅ | |
| 進階推理 | ✅ | |
| 隨選洞察 | ✅ | |
| 互動式疑難解答 | ✅ | |
| 持續政策評估 | ✅ | |
| 自動化改進建議 | ✅ | |
| 獲取關於 CA 設定和最佳做法的建議 | ✅ | ✅ |
| 特定案例 | ||
| 主動識別未受保護的使用者或應用程式 | ✅ | |
| 為所有用戶強制執行 MFA 和其他基準控制件 | ✅ | |
| CA 原則的持續監視和優化 | ✅ | |
| 單鍵原則變更 | ✅ | |
| 檢閱現有的 CA 原則和指派(原則是否適用於 Alice?) | ✅ | ✅ |
| 針對使用者的存取進行疑難解答(為什麼 Alice 提示您輸入 MFA?) | ✅ |
我已啟動代理程式,但在活動狀態中看到「失敗」。 發生了什麼事情?
有可能該代理是在 Microsoft Ignite 2025 之前啟用的,該帳號需經特權身份管理(PIM)進行角色啟用。 因此,當代理程式嘗試執行時,因為帳戶當時沒有所需的許可權,所以失敗。 2025 年 11 月 17 日後啟用的條件存取優化代理程式,不再使用啟用該代理的使用者身份。
你可以透過遷移到 Microsoft Entra Agent ID 來解決這個問題。 從代理頁面的橫幅訊息或代理設定中的身份與權限區塊中選擇「建立代理身份」。