Microsoft Entra 条件访问优化代理
条件访问优化代理可帮助你确保所有用户都受策略保护。 它根据与零信任和Microsoft学习一致的最佳实践,建议策略和更改。
条件访问优化代理程序负责评估策略,例如要求进行多因素身份验证(MFA)。 代理强制实施基于设备的控制(设备符合性、应用保护策略和已加入域的设备)。 最后,代理可以帮助阻止旧式身份验证和设备代码流。
代理还会评估所有现有的已启用策略,以提出合并类似策略的建议。
使用条件访问优化代理的要求
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 若要首次激活代理,需要安全管理员或更高角色。
- 你可以指定具有 Security Copilot 访问权限的条件访问管理员。
- 有关详细信息,请参阅为 Security Copilot 分配访问权限
- 基于设备的控件需要 Microsoft Intune 许可证。
条件访问优化代理的关键功能
条件访问优化代理会扫描租户中的新用户和应用程序,并确定条件访问策略是否适用。 主要功能包括:
| 功能 / 特点 | DESCRIPTION |
|---|---|
| 需要 MFA | 代理会标识条件访问策略未涵盖的用户,该策略需要 MFA,并且可以更新策略。 |
| 需要基于设备的控制 | 代理可以强制实施基于设备的控制,例如设备符合性、应用保护策略和已加入域的设备。 |
| 阻止传统身份验证 | 阻止使用旧式身份验证的用户帐户登录。 |
| 策略合并 | 代理扫描你的策略并标识重叠配置。 例如,如果有多个策略具有相同的授予控制,代理建议将这些策略合并为一个策略。 |
| 阻止设备代码流 | 代理查找阻止设备代码流身份验证的策略。 |
| 一键修正 | 当代理识别出一个建议时,您可以选择“应用建议”,让代理通过点击按钮更新相关策略。 |
尝试条件访问优化代理
