条件访问优化代理设置

条件访问优化代理通过分析条件访问策略来改善其安全状况,了解差距、重叠和异常。 随着条件访问成为组织Zero Trust策略的核心组成部分,代理的功能必须可配置,以满足组织的独特需求。

本文中所述的代理设置涵盖触发器、通知和范围等标准选项。 但是,这些设置还包括高级选项,如自定义说明、Intune 集成和权限。

重要

条件访问优化代理中的 ServiceNow 集成、文件上传功能和基于活动的运行当前处于预览阶段。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft对此处提供的信息不作任何明示或暗示的保证。

如何配置代理设置

可以从Microsoft Entra admin center中的两个位置访问设置:

  • 智能体>条件访问优化智能体>设置
  • 条件访问>中选择“策略摘要>”下的“条件访问优化代理”卡。

条件访问优化代理设置中的触发器选项的屏幕截图。

从左侧菜单中选择类别以浏览所有设置。 进行任何更改后,选择页面底部的 “保存 ”按钮。

Trigger

根据代理最初配置的时间,代理配置为每隔 24 小时运行一次。 可以随时手动运行代理。

除了每日计划的运行之外,代理程序还可以在启用的策略发生更改时启动运行。 基于活动的运行不会替换每日计划运行。 为了防止过度运行,基于活动的触发器每 6 小时最多触发一次。

  • 如果你尚未启用条件访问优化智能体,则默认启用基于活动的运行,并可在智能体设置中关闭。
  • 如果条件访问优化智能体已在你的租户中运行,则基于活动的运行是选择加入的,并可在智能体设置中启用。

计划运行

根据代理最初配置的时间,代理配置为每隔 24 小时自动运行一次。 还可以随时手动运行代理。

基于活动的运行(预览版)

除了每日计划的运行之外,代理程序还可以根据您条件访问策略的更改来触发运行。 活动驱动的运行旨在帮助代理程序更早地响应您环境中的更改,而不是等待下一次每日运行。

以下对条件访问策略的更改会触发基于活动的运行:

  • 修改了现有启用的策略。
  • 策略状态从任何其他状态(例如 “关闭 ”或 “仅报告 ”)更改为 “打开”。
  • 创建一个新策略,状态设置为 “打开”。

代理每五分钟检查一次这些更改。 检测到符合条件的更改后,代理将启动运行。 为防止频繁更改期间过度运行,智能体强制基于活动的运行之间有四小时冷却时间。 例如:

时间 事件 代理操作
第0分钟 已启用的策略已被修改。 尚未执行任何操作。
分钟 5 代理检测到更改。 代理运行。
分钟 6 另一个已启用的策略已被修改。 尚未执行任何操作。
分钟 10 代理检测到更改。 冷却处于活动状态。 无运行。
分钟 12 另一个已启用的策略被修改。 尚未执行任何操作。
分钟 15 代理会检测更改。 冷却处于活动状态。 无运行。
第4小时 冷却时间结束。 代理运行。

基于活动的运行不会替换每日计划运行。 如果启用,无论发生多少次基于活动的运行,每日运行始终会进行。

  • 新租户:默认启用活动驱动的运行。 可以在代理设置中将其关闭。
  • 现有租户:基于活动的运行是选择加入的。 可以在代理设置中启用它们。

Capabilities

“功能”类别包括应查看的重要设置。

  • Microsoft Entra要监视的对象:使用复选框指定要在发出策略建议时代理应监视的内容。 默认情况下,代理将在前 24 小时内查找租户中的新用户和应用程序。
  • 代理功能:默认情况下,条件访问优化代理 无法创建新策略,即使在仅报告模式下也是如此。 可以更改此设置,以便代理可以代表你创建仅限报表的策略。
    • 启用此设置后,管理员必须先批准新的仅报告策略,然后才能启用。 查看策略影响后,可以直接从代理体验或条件访问中打开策略。
    • 禁用此设置后,仍会收到建议、见解和策略详细信息,但必须在仅报告模式下创建策略之前手动批准该策略。
  • 分阶段推出:当代理在仅报告模式下创建新策略并且该策略满足分阶段推出的条件时,策略将分阶段推出,以便可以监视新策略的效果。 默认启用分阶段推出。 有关详细信息,请参阅 条件访问优化代理分阶段推出

条件访问优化代理功能设置的屏幕截图。

Notifications

条件访问优化代理可以通过Microsoft Teams将通知发送到一组选择的收件人。 使用 Microsoft Teams 中的 Conditional Access 代理应用,当代理显示新建议时,收件人会直接在 Teams 聊天中收到通知。

若要将代理应用添加到Microsoft Teams:

  1. 在 Microsoft Teams 中,从左侧导航菜单中选择 Apps,然后搜索并选择 Conditional Access 代理

    Teams 中条件访问应用按钮的屏幕截图。

  2. 选择 “添加 ”按钮,然后选择 “打开 ”按钮以打开应用。

  3. 若要简化应用访问,请右键单击左侧导航菜单中的应用图标并选择 “固定”。

若要在条件访问优化代理设置中配置通知,请执行以下作:

  1. 在条件访问优化代理设置中,选择 “选择用户和组 ”链接。

  2. 选择要接收通知的用户或组,然后选择“ 选择 ”按钮。

    用于选取通知的用户和组的条件访问代理设置的屏幕截图。

  3. “设置” 主页底部,选择“ 保存 ”按钮。

最多可以选择 10 个收件人来接收通知。 可以选择一个组来接收通知,但该组的成员身份不能超过 10 个用户。 如果选择的组少于 10 个,但稍后会添加更多用户,该组将不再接收通知。 同样,通知只能发送到五个对象,例如单个用户或组的组合。 若要停止接收通知,请从收件人列表中删除用户对象或组。

此时,代理的通信是一个方向,因此你可以接收通知,但无法在Microsoft Teams中响应它们。 若要对建议采取操作,请从聊天中选择 Review 建议以在Microsoft Entra admin center中打开条件访问优化代理。

Teams 中条件访问代理通知消息的屏幕截图。

知识源

条件访问优化代理可以从两个不同的知识源中提取,以提出建议,这些建议是针对组织的独特设置定制的。

自定义说明

可以使用可选的 自定义说明 字段根据需求定制策略。 此设置允许你在代理执行过程中向代理提供提示。 这些说明可用于:

  • 包括或排除特定用户、组和角色
  • 排除代理需要考虑的对象或将对象添加到条件访问策略中。
  • 将例外应用于特定策略,例如从策略中排除特定组、需要 MFA 或要求移动应用程序管理策略。

可以在自定义说明中输入名称或对象 ID。 这两个值都已被验证。 如果你添加了组的名称,系统会代表你自动添加该组的对象 ID。 自定义说明示例:

  • “从需要多重身份验证的任何策略中排除”Break Glass“组中的用户。
  • “从所有策略中排除对象 ID 为 ddddddd-3333-4444-5555-eeeeeeeee 的用户”

需要考虑的常见场景是,如果你的组织有很多来宾用户,你不希望智能体建议将其添加到标准条件访问策略。 如果智能体运行并看到新的来宾用户不在推荐策略覆盖范围内,则会消耗标准计算单位来建议通过不必要的策略覆盖这些来宾用户。 要防止智能体考虑来宾用户:

  1. 创建名为“来宾”的动态组,其中 (user.userType -eq "guest")
  2. 根据需求添加自定义指令。
    • 将“来宾”组排除在代理评估之外。
    • “从任何移动应用程序管理策略中排除”来宾“组。

有关如何使用自定义说明的详细信息,请查看以下视频。

视频中的某些内容(如用户界面元素)可能会更改,因为代理经常更新。

文件(预览版)

条件访问优化代理包含一种机制,用于提供有关您组织的特定说明。 这些说明可以包含条件访问策略命名约定、唯一过程和组织结构等信息,以便代理建议与环境更相关。 这些上传的文件构成了代理的知识库。 有关详细信息,请参阅 条件访问优化代理知识库

重要

数据保留在代理中,不用于模型训练。

将文件添加到知识库:

  1. 请导航到 条件访问优化代理>设置>文件
  2. 选择上载按钮。
  3. 将文件拖放到打开的面板中,或选择 “上传文件 空间”以导航到计算机上的文件。

代理处理文件并对其进行分析,以确保它包含必要的信息。

插件

除了 Intune 和全局安全访问 内置集成之外,条件访问优化代理还提供外部集成,以简化现有工作流。

ServiceNow 集成(预览版)

使用适用于 Security Copilot 的 ServiceNow 插件的组织现在可以让条件访问优化智能体为智能体生成的每个新建议创建 ServiceNow 变更请求。 此功能允许 IT 和安全团队跟踪、查看和批准或拒绝现有 ServiceNow 工作流中的代理建议。 目前仅支持更改请求(CHG)。

若要使用 ServiceNow 集成,组织必须配置 ServiceNow 插件

ServiceNow 集成设置的屏幕截图。

在条件访问优化代理设置中打开 ServiceNow 插件时,代理中的每个新建议都会创建 ServiceNow 更改请求。 更改请求包括有关建议的详细信息,例如策略类型、受影响的用户或组以及建议背后的理由。 集成还提供反馈循环:代理监视 ServiceNow 更改请求的状态,并在批准更改请求时自动实现更改。

代理建议中的 ServiceNow 集成屏幕截图。

Permissions

代理设置的此部分介绍代理在其下运行的身份以及其用于操作的权限。

智能体标识

条件访问优化代理现在支持 Microsoft Entra Agent ID,允许代理在其自己的标识而不是特定用户的标识下运行。 此功能可提高安全性,简化管理,并提供更大的灵活性。

选择 Manage 代理标识以查看Microsoft Entra Agent ID中的代理详细信息。

权限和身份代理设置视图的屏幕截图.png

  • 代理的新安装默认使用 代理标识
  • 现有安装可以随时从用户上下文切换为在代理标识下运行。
    • 此更改不会影响报告或分析。
    • 现有策略和建议仍然不受影响。
    • 客户无法切换回以前的用户上下文。
    • 具有安全管理员角色的管理员可以进行此更改。 从代理页上的横幅消息或代理设置的“标识和权限”部分选择“创建代理标识”。

启用和使用条件访问优化智能体还需要 Security Copilot 角色。 默认情况下,安全管理员有权访问Security Copilot。 可以分配具有Security Copilot访问权限的条件访问管理员。 此授权使条件访问管理员能够使用代理。 欲了解更多信息,请参阅 Assign Security Copilot access

代理权限

代理标识使用以下权限来执行其任务。 创建代理标识时,会自动分配这些权限。

  • AuditLog.Read.All
  • CustomSecAttributeAssignment.Read.All
  • DeviceManagementApps.Read.All
  • DeviceManagementConfiguration.Read.All
  • GroupMember.Read.All
  • LicenseAssignment.Read.All
  • NetworkAccess.Read.All
  • Policy.Create.ConditionalAccessRO
  • Policy.Read.All
  • RoleManagement.Read.Directory
  • User.Read.All

用户

条件访问优化代理使用基于角色的访问控制来使用该代理。 使用代理所需的最低特权角色是 条件访问管理员

  • Last updated on