智能 Microsoft Security Copilot 副驾驶® 的 Microsoft Entra 条件访问优化代理

条件访问优化代理可帮助你确保所有用户和应用程序都受条件访问策略的保护。 它根据与 零信任 和Microsoft学习相符的最佳做法建议策略和更改。

条件访问优化代理评估策略，例如要求多重身份验证（MFA）、强制实施基于设备的控制（设备符合性、应用保护策略和已加入域的设备），以及阻止旧式身份验证和设备代码流。 代理还会评估所有已启用的现有策略，以建议合并类似的策略。 当代理标识出建议时，代理可以通过一键修复来更新相关策略。

Prerequisites

• 必须至少具有 Microsoft Entra ID P1 许可证。
• 必须具有可用的安全计算单元（SCU）。
  • 平均而言，每个代理运行消耗的 SCU 数少于一个。
• 若要首次激活代理，需要 安全管理员 或 全局管理员。
• 可以为 条件访问管理员 分配安全 Copilot 访问权限，这使得条件访问管理员也可以使用该代理。
  • 关于更多信息，请参阅 分配 Security Copilot 的访问权限
• 全局读取者和安全读取者角色可以查看代理和任何建议，但无法执行任何作。
• 全局管理员、 安全管理员和 条件访问管理员 角色可以查看代理，并针对建议采取措施。
• 基于设备的控件需要 Microsoft Intune 许可证。
• 查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性

Limitations

• 避免使用帐户设置需要通过 Privileged Identity Management (PIM) 进行角色激活的代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
• 启动代理后，就无法停止或暂停代理。 代理运行起来可能需要几分钟。
• 对于策略合并，每个代理仅查看四组类似的策略对。
• 当前，代理以启用它的用户身份运行。
• 建议从 Microsoft Entra 管理中心运行代理。
• 扫描的时间限制为 24 小时。
• 无法自定义或替代代理的建议。
• 代理可以在一次运行中最多查看 300 个用户和 150 个应用程序。

工作原理

条件访问优化代理从过去 24 小时内扫描租户中的新用户和应用程序，并确定条件访问策略是否适用。 如果代理查找不受条件访问策略保护的用户或应用程序，则会提供建议的后续步骤，例如打开或修改条件访问策略。 可以查看建议、代理如何标识解决方案以及策略中包含的内容。

每次运行代理时，都会执行以下步骤。 初始扫描步骤不使用任何 SCU。

1. 代理会扫描您租户中的所有条件访问策略
2. 代理会检查策略差距，以及是否可以组合任何策略。
3. 代理会审查以前的建议，因此不会再次建议相同的策略。

如果代理识别出以前未建议的内容，则执行以下步骤。 代理动作步骤消耗 SCU。

1. 代理会识别策略缺口或可合并的策略对
2. 代理会评估你提供的任何自定义说明。
3. 代理在仅报告模式下创建新的策略，或提供修改策略的建议，包括自定义说明提供的任何逻辑。

由代理识别的政策建议包括：

• 需要 MFA：代理识别不受要求 MFA 的条件访问策略覆盖的用户，并可能更新该策略。
• 需要基于设备的控件：代理可以强制实施基于设备的控件，例如设备符合性、应用保护策略和已加入域的设备。
• 阻止旧式身份验证：阻止使用旧式身份验证的用户帐户登录。
• 阻止设备代码流：代理查找阻止设备代码流身份验证的策略。
• 有风险的用户：代理建议策略要求对高风险用户进行安全密码更改。 需要Microsoft Entra ID P2 许可证。
• 有风险的登录：代理建议策略要求对高风险登录进行多重身份验证。需要Microsoft Entra ID P2 许可证。
• 策略合并：代理扫描策略并标识重叠设置。 例如，如果有多个策略具有相同的授予控制，代理建议将这些策略合并为一个策略。

入门指南

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 在新的主页中，从代理通知卡中选择前往代理。

   • 还可以从左侧导航菜单中选择 代理 。

   

3. 选择“条件访问优化代理”磁贴上的 “查看详细信息 ”。

   

4. 选择 “启动代理 ”以开始首次运行。

   • 请避免使用通过 PIM 激活角色的帐户。
   • 右上角出现了一个显示“代理正在启动第一次运行”的消息。
   • 第一次运行可能需要几分钟才能完成。

   

当代理概述页面加载时，任何建议都显示在“ 最近建议 ”框中。 如果已确定建议，可以查看策略、确定策略影响，并根据需要应用更改。 有关详细信息，请参阅 查看和批准条件访问代理建议。

Settings

启用代理后，可以调整一些设置。 可以从 Microsoft Entra 管理中心的两个位置访问设置：

• 从代理>条件访问优化代理>设置。
• 从条件访问>中选择“策略摘要>下的“条件访问优化代理”卡。

代理功能

默认情况下，条件访问优化代理可以在 仅报告模式下创建新的策略。 可以更改此设置，以便管理员必须先批准新策略，然后才能创建该策略。 策略仍以仅报告模式创建，但仅在管理员批准后创建。 查看策略影响后，可以直接从代理体验或条件访问中打开策略。

Trigger

代理被配置为从最初配置时开始每隔24小时运行一次。 你可以通过关闭触发器设置，然后在需要运行时再打开，以在特定时间运行它。

Microsoft Entra 需要监视的对象

使用 Microsoft Entra 对象下的复选框来监视 ，以指定在发出策略建议时代理应监视的内容。 默认情况下，代理将在前 24 小时内查找租户中的新用户和应用程序。

代理功能

默认情况下，条件访问优化代理可以在仅报告模式下创建新的策略。 可以更改此设置，以便管理员必须先批准新策略，然后才能创建该策略。 策略仍以仅报告模式创建，但仅在管理员批准后创建。 查看策略影响后，可以直接从代理体验或条件访问中打开策略。

分阶段推出（预览版）

当代理在仅报告模式下创建新策略时，策略将分阶段推出，以便你可以控制和监视新策略的效果。 分阶段推出默认处于启用状态。

可以通过拖动滑块或在文本框中输入天数来更改每个阶段之间的天数。 进行任何更改后，选择页面底部的 “保存 ”按钮。 每个阶段之间的天数对于所有阶段都是相同的。 请确保在开始下一阶段之前有足够的时间来开始分阶段推出，以便监视影响，因此，在周末或假期中推出不会开始，以防需要暂停推出。

标识和权限

对于代理的标识和权限，需要考虑几个要点：

• 代理在 租户中启用代理的用户的标识和权限下运行。

• 避免使用需要通过 PIM 进行提升的帐户进行即时提升。 如果该用户未在代理运行时提升到相应的角色，则运行将失败。

• 默认情况下，安全管理员和全局管理员角色有权访问安全 Copilot。 你可以指定具有 Security Copilot 访问权限的条件访问管理员。 此授权使条件访问管理员能够使用代理。 有关详细信息，请参阅 分配 Security Copilot 的访问权限。

• 批准将用户添加到策略的建议的用户将成为将用户添加到策略的新组的所有者。

• 代理执行的操作的审核日志与启用代理的用户相关联。 可以在设置的 “标识和权限 ”部分中找到启动代理的帐户的名称。

  

自定义说明

可以使用可选的 自定义说明 字段根据需求定制策略。 此设置允许你在代理执行过程中向代理提供提示。 这些说明可用于包括或排除特定用户、组和角色。 此字段还可用于添加异常，例如仅将异常应用于特定类型的策略，例如需要 MFA 的策略。

还可以对要包含在自定义说明中的用户或组使用对象 ID。 将验证自定义指令中包含的任何特定对象 ID。 自定义说明示例：

• “从需要多重身份验证的任何策略中排除”Break Glass“组中的用户。
• “从所有策略中排除对象 ID 为 ddddddd-3333-4444-5555-eeeeeeeee 的用户”

有关如何使用自定义说明的详细信息，请查看以下视频。

请注意，视频中的某些内容可能会更改，因为代理经常更新。

删除代理

如果不想再使用条件访问优化代理，请从代理窗口顶部选择 “删除代理 ”。 将删除现有数据（代理活动、建议和指标），但根据代理建议创建或更新的任何策略保持不变。 以前应用的建议保持不变，以便继续使用代理创建或修改的策略。

提供反馈

使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。

FAQs

什么时候应使用条件访问优化代理还是 Copilot Chat？

这两项功能都提供对条件访问策略的不同见解。 下表提供了两个功能的比较：

我激活了代理，但在活动状态中看到“失败”。 发生了什么事情？

可能使用了需要通过 Privileged Identity Management (PIM) 激活角色的帐户启用了代理。 因此，当代理尝试运行时，它失败，因为该帐户当时没有所需的权限。 如果 PIM 权限过期，系统会提示你重新进行身份验证。

可以通过删除代理来解决此问题，然后使用具有安全 Copilot 访问权限的用户帐户再次启用代理。 有关详细信息，请参阅 分配 Security Copilot 的访问权限。

相关内容

• 查看和批准代理建议
• 条件访问策略模板
• 详细了解 Microsoft Security Copilot。