如何檢閱並套用條件式存取優化代理程序的建議

Microsoft Entra 條件式存取最佳化代理程式會提供建立或更新條件式存取原則的建議，並建立與這些原則相關的活動報告。 建議會根據代理程式找到的內容而有所不同。 身為系統管理員，您必須檢閱建議，並決定該怎麼做。

本文概述建議和報告背後的邏輯，以及如何檢閱這些建議並採取行動。

這很重要

條件式存取優化代理程式中的 Microsoft Teams 整合目前處於預覽狀態。 這項資訊與發行前版本產品有關，在發行前可能會大幅修改。 Microsoft針對此處提供的資訊，不提供任何明示或默示擔保。

先決條件

• 您必須至少有 Microsoft Entra ID P1 授權。
• 您必須具備可用的 安全性計算單位 （SCU） 。
  • 平均而言，每個代理程式執行都會耗用少於一個 SCU。
• 您必須具有適當的 Microsoft Entra 角色。
  • 安全性讀取者 和 全域讀取者 角色可以 檢視代理程式和任何建議，但無法採取任何動作。
  • 條件式存取系統管理員 和 安全性系統管理員 角色可以 檢視代理程式，並針對建議採取動作。
  • 如需詳細資訊，請參閱 指派安全性 Copilot 存取權。
• 裝置型控件需要 Microsoft Intune 授權。
• 檢閱 Microsoft Security Copilot 中的隱私權和資料安全性。

局限性

• 請避免使用帳戶來設定需要透過特權身份管理 (PIM) 啟用角色的代理程式。 使用沒有常設許可權的帳戶可能會導致代理程序的身份驗證失敗。
• 一旦啟動代理程式，就無法停止或暫停它們。 執行可能需要幾分鐘的時間。
• 針對原則合併，每個代理程式執行只會查看四個類似的原則組。
• 代理程式目前是以啟用代理程式的使用者身分執行。
• 建議您從 Microsoft Entra 系統管理中心執行代理程式。
• 掃描限制為24小時。
• 無法自定義或覆寫來自代理的建議。
• 代理程式可以在一次執行中檢閱多達 150 個使用者和 100 個應用程式。

運作方式

代理程式可能會執行和：

• 不識別任何未受保護的使用者，或建議任何變更
• 在僅限報表模式中建立新的條件式存取原則
• 建議修改現有的原則
• 建議合併重疊的政策
• 識別與現有政策相關的活動激增或下降

我們想要盡可能提供有關用來識別建議之邏輯的資訊，因為條件式存取原則可能很複雜。 透過每個建議，代理程式會提供詳細的推理、原則影響摘要，以及原則的詳細數據。 最佳做法是先檢閱提供的資訊，再套用建議或將僅限報表原則變更為作用中原則。

檢閱建議和代理邏輯

選取 [ 檢閱建議 ] 以檢閱建議的完整概觀，包括用來識別建議的邏輯，以及原則的潛在影響。 原則建議詳細資料中可用的選項會因建議類型而異。 例如，新的原則建議包括 [開啟原則] 按鈕，而修改現有原則的建議包括 [ 新增帳戶 ] 按鈕，以新增要從原則中排除的使用者或群組。

政策詳細資料

建議的預設檢視會提供有關政策的詳細資訊，包括頂端的概要描述，後面接著政策中使用的詳細內容。

從原則詳細資料中，您可以使用數個選項對建議採取動作。 在頁面頂端，您可以編輯、複製、下載或刪除原則。 您也可以使用與 客服專員聊天 功能。

在政策建議摘要下方，您可以採取數個動作：

• 查看政策更改：查看建議的摘要或 JSON 詳細資訊。更多詳細信息請參閱查看政策更改章節。
• 開啟政策：開啟代理程式已在僅限報告模式中建立的新政策。
• 將建議標示為已檢閱：從 [開啟原則] 按鈕上的向下箭頭中選取，以指出您已檢閱建議，但未套用建議。
• 暫停 14 天：從 [開啟原則] 按鈕上的向下箭頭中選取，以暫時隱藏建議。 建議會在 14 天後重新出現在清單中。
• 查看代理的完整活動： 查看完整的活動和決策。 檢視 客服專員的完整活動 一節中描述的更多詳細資訊。
• 新增筆記： 選擇筆和紙圖示以新增有關建議的筆記，供其他管理員檢閱

政策建議詳細資料頁面很詳細，並提供對建議做出明智的決定所需的所有選項。 但是，如果您需要更多資訊，您也可以查看政策影響，並檢視代理程式活動的詳細資訊。 詢問 Copilot 有關此檔案差異的資訊

政策影響

從開啟的詳細資料面板中，選取 原則影響 ，以查看原則潛在影響的視覺效果。

視需要調整篩選和顯示。 選取圖形上的某個點，以查看原則所影響之數據的範例。 例如，若要讓原則要求多重要素驗證 （MFA），此圖表會顯示未套用條件式存取原則的登入事件範例。 如需詳細資訊，請參閱 原則影響。

檢視代理的完整活動

若要查看代理程式活動的詳細摘要及其計算建議的方式，請選取 [檢視代理程式的完整活動]。 代理程式所執行的活動會評估使用者和應用程式的政策漂移和政策涵蓋範圍差距。 代理程式也會尋找可以合併或整合的政策。

如果政策建議中包含將特定使用者或應用程式新增至政策，您可以直接從圖中檢視應用程式或使用者的清單。 例如，在下列範例中，您會選取 [8 個使用者 ] 連結，以查看代理程式識別為未包含在原則中的 8 個使用者。

客服專員活動摘要是地圖中所示活動的自然語言描述。 這些詳細數據可協助您了解建議背後的邏輯，以便做出關於是否套用建議的明智決策。

檢閱政策變更

如果代理程式建議修改現有的原則，請選取 [ 檢閱原則變更 ] 以查看建議變更的詳細數據。 此頁面會列出套用建議時，將會變更之原則的使用者、目標資源和其他詳細數據。

• 政策詳細資訊同時提供變更的完整詳細清單，以及整個政策的 JSON 檢視，其中變更部分會被醒目顯示。
• 對於影響使用者或應用程式的原則變更，您可以下載受原則變更影響之使用者和應用程式的 JSON 檔案。

深入分析

深入分析會針對封鎖舊版驗證、封鎖裝置控制流程，以及需要裝置或 MFA 控制的原則等案例，深入檢閱條件式存取原則。 它評估目標使用者、群組和角色，以識別覆蓋差距、重疊或冗餘政策以及整合機會。 它還分析排除項目——標記排除大部分用戶的策略，並建議明確排除突破性帳戶以降低意外鎖定的風險。

由於透過深入分析的原則建議可能會對您的環境產生重大影響，因此請考慮使用「暫停」選項來讓您有時間調查建議，並使用「附註」選項來為您的決策過程提供內容和理由。

套用建議

套用建議的體驗取決於代理程式是在僅限報表模式中建立新原則，還是建議修改現有的原則。

修改現有的原則

代理程式可能會建議修改現有的原則或合併重疊的原則。 檢閱原則變更的詳細數據和影響之後，您可以將建議套用至原則。

• 從 [ 原則詳細資料 ] 頁面中，選取 [套用建議] 以將變更套用至原則。

• 在 [ 檢閱原則變更] 頁面中，您也可以從頁面底部選取 [ 核准建議的變更 ]。

開啟新政策

當代理建議新的原則時，它會以僅限報表模式建立原則。 檢視原則影響之後，您可以直接從代理體驗或從「條件式存取原則」清單中開啟原則。

• 選取 [開啟原則 ]，讓代理程式將變更套用至 僅限報表模式的原則。

• 從 [條件式存取] 中，選取原則，然後將 [啟用原則] 切換從 [僅限報告] 變更為 [開啟]。

小提示

最佳作法是，組織應將其緊急存取帳戶從策略中排除，以避免因設定錯誤而遭到鎖定。

警告

只有在報告模式下，要求相容裝置的原則，可能會在原則評估期間，提示 macOS、iOS 和 Android 裝置上的使用者選擇裝置憑證，即使未強制執行裝置合規性也一樣。 這些提示可能會重複，直到裝置符合規範為止。 若要防止終端使用者在登入期間收到提示，請排除執行裝置合規性檢查的僅限報告原則的裝置平臺Mac、iOS和Android。

Microsoft Teams 專員建議通知 （預覽版）

當有新建議可用時，Microsoft Teams 可用來接收來自條件式存取優化代理程式的通知。 此預覽功能可讓您設定在客服專員識別新建議時要接收通知的人員。 目前，Teams 整合會提供與代理的單向通訊，以及 Microsoft Entra 系統管理中心中原則建議的直接連結。

如需詳細資訊，請參閱條件式存取優化代理程式的通知區段。

查看政策報告

條件式存取優化代理程式也會偵測與現有原則相關的活動尖峰和下降。 這些異常通常表示需要調查的原則設定錯誤。 如果客服專員發現活動發生重大變化，則建議清單中會出現報告。 這些報告適用於代理程式建議啟用的主動政策和僅供報告的政策。 在 代理執行的動作 欄中，您會看到 建議的政策檢閱 值。

若要檢視政策審查報告：

1. 選取 審查建議 以查看建議政策審查的詳細資料。

2. 在原則詳細資料頁面上，選取 [ 檢閱報告]。 隨即顯示詳細報告，其中包含與原則相關活動的視覺化。

   

3. 檢閱報告並在必要時調查政策。

4. 從原則詳細資料頁面中，選取 [將建議標示為已檢閱 ] 或 [暫停 14 天]。 或者，您可以新增有關您所學到的內容以及對相關政策所做的任何變更的附註。