条件访问优化代理可帮助你确保所有用户和应用程序都受条件访问策略的保护。 代理可以根据与 零信任 和Microsoft学习相符的最佳做法,推荐新策略和更新现有策略。 该代理还会创建策略评审报告(预览版),该报告提供有关可能指示策略配置错误的峰值或低点的见解。
条件访问优化代理评估策略,例如要求多重身份验证(MFA)、强制实施基于设备的控制(设备符合性、应用保护策略和已加入域的设备),以及阻止旧式身份验证和设备代码流。 代理还会评估所有已启用的现有策略,以建议合并类似的策略。 当代理标识出建议时,代理可以通过一键修复来更新相关策略。
重要
条件访问优化代理中的聊天功能和策略报告目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 平均而言,每个代理运行消耗的 SCU 数少于一个。
- 必须具有适当的 Microsoft Entra 角色。
- 基于设备的控件需要 Microsoft Intune 许可证。
- 查看 Microsoft Security Copilot 中的隐私和数据安全。
局限性
- 避免使用帐户设置需要通过 Privileged Identity Management (PIM) 进行角色激活的代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
- 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
- 对于策略合并,每个代理仅查看四组类似的策略对。
- 建议从 Microsoft Entra 管理中心运行代理。
- 扫描的时间限制为 24 小时。
- 无法自定义或替代代理的建议。
- 代理可以在一次运行中最多查看 300 个用户和 150 个应用程序。
工作原理
条件访问优化代理从过去 24 小时内扫描租户中的新用户和应用程序,并确定条件访问策略是否适用。 如果代理查找不受条件访问策略保护的用户或应用程序,则会提供建议的后续步骤,例如打开或修改条件访问策略。 可以查看建议、代理如何标识解决方案以及策略中包含的内容。
每次运行代理时,都会执行以下步骤。 这些初始扫描步骤不使用任何 SCU。
- 代理会扫描您租户中的所有条件访问策略
- 代理会检查策略差距,以及是否可以组合任何策略。
- 代理会审查以前的建议,因此不会再次建议相同的策略。
如果代理识别出以前未建议的内容,则执行以下步骤。 这些代理动作步骤消耗 SCU。
- 代理会识别策略缺口或可合并的策略对
- 代理会评估你提供的任何自定义说明。
- 代理在仅报告模式下创建新的策略,或提供修改策略的建议,包括自定义说明提供的任何逻辑。
小窍门
如果两个策略的区别不超过两个条件或控件,则可以合并两个策略。
由代理识别的政策建议包括:
- 需要 MFA:代理识别不受要求 MFA 的条件访问策略覆盖的用户,并可能更新该策略。
- 需要基于设备的控件:代理可以强制实施基于设备的控件,例如设备符合性、应用保护策略和已加入域的设备。
- 阻止旧式身份验证:阻止使用旧式身份验证的用户帐户登录。
- 阻止设备代码流:代理查找阻止设备代码流身份验证的策略。
- 有风险的用户:代理建议策略要求对高风险用户进行安全密码更改。 需要Microsoft Entra ID P2 许可证。
- 有风险的登录:代理建议策略要求对高风险登录进行多重身份验证。需要Microsoft Entra ID P2 许可证。
- 策略合并:代理扫描策略并标识重叠设置。 例如,如果有多个策略具有相同的授予控制,代理建议将这些策略合并为一个策略。
- 深入分析:代理查看与关键方案对应的策略,以确定具有多个异常(导致覆盖意外差距)或无异常(导致可能锁定)的离群策略。
重要
除非管理员明确批准建议,否则代理不会对现有策略进行任何更改。
代理建议的所有 新 策略都以仅报告模式创建。
入门指南
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
在新的主页中,从代理通知卡中选择前往代理。
- 还可以从左侧导航菜单中选择 代理 。
选择“条件访问优化代理”磁贴上的 “查看详细信息 ”。
选择 “启动代理 ”以开始首次运行。 请避免使用通过 PIM 激活角色的帐户。
当代理概述页面加载时,任何建议都显示在“ 最近建议 ”框中。 如果已确定建议,可以查看策略、确定策略影响,并根据需要应用更改。 有关详细信息,请参阅 查看和批准条件访问代理建议。
设置
启用代理后,可以调整一些设置。 进行任何更改后,选择页面底部的 “保存 ”按钮。 可以从 Microsoft Entra 管理中心的两个位置访问设置:
- 从代理>条件访问优化代理>设置。
- 从条件访问>中选择“策略摘要>下的“条件访问优化代理”卡。
Trigger
代理被配置为从最初配置时开始每隔24小时运行一次。 可以通过先关闭再重新打开触发器设置来更改代理的运行时间。
Microsoft Entra 需要监视的对象
使用 Microsoft Entra 对象下的复选框来监视 ,以指定在发出策略建议时代理应监视的内容。 默认情况下,代理将在前 24 小时内查找租户中的新用户和应用程序。
代理功能
默认情况下,条件访问优化代理可以在 仅报告模式下创建新的策略。 可以更改此设置,以便管理员必须先批准新策略,然后才能创建该策略。 策略仍以仅报告模式创建,但仅在管理员批准后创建。 查看策略影响后,可以直接从代理体验或条件访问中打开策略。
Notifications
条件访问优化代理可以通过 Microsoft Teams 将通知发送到一组选定的收件人。 借助 Microsoft Teams 中的 条件访问代理 应用,当代理显示新建议时,收件人会直接在 Teams 聊天中接收通知。
若要将代理应用添加到 Microsoft Teams,请执行以下作:
在 Microsoft Teams 中,从左侧导航菜单中选择 “应用 ”,然后搜索并选择 条件访问代理。
选择 “添加 ”按钮,然后选择 “打开 ”按钮以打开应用。
若要简化应用访问,请右键单击左侧导航菜单中的应用图标并选择 “固定”。
若要在条件访问优化代理设置中配置通知,请执行以下作:
在条件访问优化代理设置中,选择 “选择用户和组 ”链接。
选择要接收通知的用户或组,然后选择“ 选择 ”按钮。
在 “设置” 主页底部,选择“ 保存 ”按钮。
最多可以选择 10 个收件人来接收通知。 可以选择一个组来接收通知,但该组的成员身份不能超过 10 个用户。 如果选择的组少于 10 个,但稍后会添加更多用户,该组将不再接收通知。 同样,通知只能发送到五个对象,例如单个用户或组的组合。 若要停止接收通知,请从收件人列表中删除用户对象或组。
此时,代理的通信是一个方向,因此你可以接收通知,但无法在 Microsoft Teams 中响应它们。 若要对建议采取措施,请从聊天中选择 “查看建议 ”,在 Microsoft Entra 管理中心中打开条件访问优化代理。
分阶段推出
当代理在仅报告模式下创建新策略时,策略将分阶段推出,以便可以监视新策略的效果。 分阶段推出默认处于启用状态。
可以通过拖动滑块或在文本框中输入数字来更改每个阶段之间的天数。 每个阶段之间的天数对于所有阶段都是相同的。 请确保在开始下一阶段之前有足够的时间来开始分阶段推出,以便监视影响,因此,在周末或假期中推出不会开始,以防需要暂停推出。
标识和权限
对于代理的标识和权限,需要考虑几个要点:
代理在 租户中启用代理的用户的标识和权限下运行。
避免使用需要通过 PIM 进行提升的帐户进行即时提升。 如果该用户未在代理运行时提升到相应的角色,则运行将失败。
默认情况下,安全管理员有权访问安全 Copilot。 你可以指定具有 Security Copilot 访问权限的条件访问管理员。 此授权使条件访问管理员能够使用代理。 有关详细信息,请参阅 分配 Security Copilot 的访问权限。
批准将用户添加到策略的建议的用户将成为将用户添加到策略的新组的所有者。
代理执行的操作的审核日志与启用代理的用户相关联。 可以在设置的 “标识和权限 ”部分中找到启动代理的帐户的名称。
ServiceNow 集成(预览版)
使用 用于安全 Copilot 的 ServiceNow 插件 的组织现在可以让条件访问优化代理为每个代理生成的新建议创建 ServiceNow 更改请求。 这样,IT 和安全团队就可以跟踪、审查和批准或拒绝现有 ServiceNow 工作流中的代理建议。 目前仅支持更改请求(CHG)。
若要使用 ServiceNow 集成,组织必须配置 ServiceNow 插件 。
在条件访问优化代理设置中打开 ServiceNow 插件时,代理中的每个新建议都会创建 ServiceNow 更改请求。 更改请求包括有关建议的详细信息,例如策略类型、受影响的用户或组以及建议背后的理由。 集成还提供反馈循环:代理监视 ServiceNow 更改请求的状态,并在批准更改请求时自动实现更改。
自定义说明
可以使用可选的 自定义说明 字段根据需求定制策略。 此设置允许你在代理执行过程中向代理提供提示。 这些说明可用于:
- 包括或排除特定用户、组和角色
- 排除代理需要考虑的对象或将对象添加到条件访问策略中。
- 将例外应用于特定策略,例如从策略中排除特定组、需要 MFA 或要求移动应用程序管理策略。
可以在自定义说明中输入名称或对象 ID。 验证这两个值。 如果添加组的名称,则代表你自动添加该组的对象 ID。 自定义说明示例:
- “从需要多重身份验证的任何策略中排除”Break Glass“组中的用户。
- “从所有策略中排除对象 ID 为 ddddddd-3333-4444-5555-eeeeeeeee 的用户”
需要考虑的一种常见方案是,如果你的组织拥有大量不希望代理建议添加到标准条件访问策略的来宾用户。 如果代理运行并看到建议的策略未涵盖的新来宾用户,则使用 SCU 来建议通过不需要的策略覆盖这些来宾用户。 防止代理考虑来宾用户:
- 创建名为“来宾”的动态组,其中
(user.userType -eq "guest")。 - 根据需求添加自定义指令。
- “从代理考虑中排除”来宾“组。
- “从任何移动应用程序管理策略中排除”来宾“组。
有关如何使用自定义说明的详细信息,请查看以下视频。
请注意,视频中的某些内容(如用户界面元素)可能会更改,因为代理经常更新。
Intune 集成
条件访问优化代理与 Microsoft Intune 集成,用于监视 Intune 中配置的设备符合性和应用程序保护策略,并确定条件访问强制实施中的潜在差距。 这种主动和自动化的方法可确保条件访问策略与组织安全目标和合规性要求保持一致。 代理建议与其他策略建议相同,但 Intune 向代理提供信号的一部分除外。
Intune 方案的代理建议涵盖特定的用户组和平台(iOS 或 Android)。 例如,代理标识面向“Finance”组的活动 Intune 应用保护策略,但确定没有足够的条件访问策略强制实施应用保护。 代理创建一个仅报告策略,该策略要求用户仅通过 iOS 设备上的合规应用程序访问资源。
若要标识 Intune 设备符合性和应用保护策略,代理必须以全局管理员或条件访问管理员和全局读取者身份运行。 条件访问管理员本身不足以让代理生成 Intune 建议。
删除代理
如果不想再使用条件访问优化代理,请从代理窗口顶部选择 “删除代理 ”。 将删除现有数据(代理活动、建议和指标),但根据代理建议创建或更新的任何策略保持不变。 以前应用的建议保持不变,以便继续使用代理创建或修改的策略。
提供反馈
使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。
FAQs
什么时候应使用条件访问优化代理还是 Copilot Chat?
这两项功能都提供对条件访问策略的不同见解。 下表提供了两个功能的比较:
| Scenario | 条件访问优化代理 | 副驾驶聊天 |
|---|---|---|
| 泛型方案 | ||
| 利用租户特定的配置 | ✅ | |
| 高级推理 | ✅ | |
| 按需见解 | ✅ | |
| 交互式故障排除 | ✅ | |
| 持续策略评估 | ✅ | |
| 自动改进建议 | ✅ | |
| 获取有关 CA 最佳做法和配置的指南 | ✅ | ✅ |
| 特定方案 | ||
| 主动识别未受保护的用户或应用程序 | ✅ | |
| 为所有用户强制实施 MFA 和其他基线控制 | ✅ | |
| CA 策略的持续监控和优化 | ✅ | |
| 一键式策略更改 | ✅ | |
| 查看现有的 CA 策略和分配(策略是否适用于 Alice?) | ✅ | ✅ |
| 排查用户访问问题(为什么会提示 Alice 进行 MFA?) | ✅ |
我激活了代理,但在活动状态中看到“失败”。 发生了什么事情?
可能使用了需要通过 Privileged Identity Management (PIM) 激活角色的帐户启用了代理。 因此,当代理尝试运行时,它失败,因为该帐户当时没有所需的权限。 如果 PIM 权限过期,系统会提示你重新进行身份验证。
可以通过删除代理来解决此问题,然后使用具有安全 Copilot 访问权限的用户帐户再次启用代理。 有关详细信息,请参阅 分配 Security Copilot 的访问权限。