如何查看和应用来自条件访问优化代理的建议

2025-07-24

Microsoft Entra 条件访问优化代理提供条件访问策略的建议。建议内容根据代理发现的情况有所不同作为管理员，你需要查看建议并决定该怎么做。

本文概述了建议背后的逻辑，以及如何查看建议的详细信息。

Prerequisites

必须至少具有 Microsoft Entra ID P1 许可证。
必须具有可用的安全计算单元（SCU）。
- 平均而言，每个代理运行消耗的 SCU 数少于一个。
Global Reader and Security Reader roles can view the agent and any suggestions, but can't take any actions.
Global Administrator, Security Administrator, and Conditional Access Administrator roles can view the agent and take action on the suggestions.
- 有关条件访问优化代理角色的更多信息，请参阅分配 Security Copilot 访问权限
查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性

Limitations

避免使用帐户设置需要通过 Privileged Identity Management (PIM) 进行角色激活的代理。使用没有站立权限的帐户可能会导致代理的身份验证失败。
启动代理后，就无法停止或暂停代理。代理运行起来可能需要几分钟。
对于策略合并，每个代理仅查看四组类似的策略对。
当前，代理以启用它的用户身份运行。
建议从 Microsoft Entra 管理中心运行代理。
扫描的时间限制为 24 小时。
无法自定义或替代代理的建议。
代理可以在一次运行中最多查看 150 个用户和 100 个应用程序。

工作原理

代理可以运行并：

不识别任何未受保护的用户或建议进行任何更改
在仅报告模式下创建新的条件访问策略
建议修改现有策略
建议合并重叠策略

我们希望尽可能多地提供有关用于标识建议的逻辑的信息，因为条件访问策略可能很复杂。对于每个建议，代理都提供详细的推理、策略影响摘要和策略的详细信息。最佳做法是，在将建议或更改仅报告策略应用于活动策略之前，请查看提供的信息。

查看建议和代理逻辑

Select Review suggestion to review a thorough overview of the suggestion, including the logic used to identify the suggestion and the potential impact of the policy.

Policy details

建议的默认视图提供策略详情，顶部是简要描述，随后是构成该策略的详细内容

Policy impact

From the details panel that opens, select Policy impact to see a visualization of the potential impact of the policy.

根据需要调整筛选器和显示。选择图形上的点以查看策略影响的数据示例。例如，对于要求多重身份验证的策略（MFA），该图显示了未应用条件访问策略的登录事件示例。 For more information, see Policy impact.

查看代理的完整活动

若要查看代理活动的详细摘要及其计算建议的方式，请选择 “查看代理的完整活动”。代理的活动评估用户和应用程序策略覆盖范围的偏移或缺口。代理还会查找可以合并或整合的策略。

代理活动的摘要是代理活动映射中说明的活动的自然语言说明。这些详细信息可帮助你了解建议背后的逻辑，以便就是否应用建议做出明智的决策。

查看策略更改

如果代理建议修改现有策略，请选择“ 查看策略更改 ”以查看建议更改的详细信息。此页面列出了应用建议时将更改的策略的用户、目标资源和其他详细信息。

策略详细信息作为所有更改的详细信息列表和整个策略的 JSON 视图提供，其中突出显示了更改。
对于影响用户或应用程序的策略更改，可以下载受策略更改影响的用户和应用程序的 JSON 文件。

Apply suggestions

应用建议的体验取决于代理是在仅报告模式下创建新策略还是建议修改现有策略。

修改现有策略

代理可以建议修改现有策略或合并重叠策略。查看策略更改的详细信息和影响后，可以将建议应用于策略。

From the Policy details page, select Apply suggestion to apply the changes to the policy.

在 “审阅策略更改 ”页中，还可以从页面底部选择 “批准建议的更改 ”。

启用新策略

当代理建议新策略时，它会在仅报告模式下创建策略。查看策略影响后，可以直接从代理体验或条件访问中打开策略。

选择 “启用策略 ”，让代理 在仅报告模式下对策略应用更改。

From Conditional Access, select the policy and then change the Enable policy toggle from Report-only to On.

Tip

最佳做法是，组织应将其不受限帐户排除在策略之外，以避免因配置不当而被锁定。

Warning

仅报告模式下要求合规设备的策略可能会提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书，即使未强制实施设备符合性。这些提示可能会重复，直到设备符合要求。若要防止最终用户在登录期间收到提示，请从执行设备符合性检查的仅限报告的策略中排除设备平台 Mac、iOS 和 Android。