条件访问优化代理可帮助你确保所有用户都受策略保护。 它根据与 零信任 和Microsoft学习相符的最佳做法建议策略和更改。
在预览版中,条件访问优化代理评估策略,例如要求多重身份验证(MFA)、强制实施基于设备的控制(设备符合性、应用保护策略和已加入域的设备),以及阻止旧式身份验证和设备代码流。
代理还会评估所有已启用的现有策略,以建议合并类似的策略。
先决条件
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 平均而言,每个代理运行消耗的 SCU 数少于一个。
- 若要首次激活代理,需要在预览期间使用 安全管理员 或 全局管理员 角色。
- 可以为 条件访问管理员 分配安全 Copilot 访问权限,这使得条件访问管理员也可以使用该代理。
- 关于更多信息,请参阅 分配 Security Copilot 的访问权限
- 基于设备的控件需要 Microsoft Intune 许可证。
- 查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性
局限性
- 在预览期间,请避免使用帐户来设置需要使用 Privileged Identity Management (PIM) 激活角色的代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
- 启动代理后,就无法停止或暂停代理。 运行可能需要几分钟时间。
- 对于策略合并,每个代理仅查看四组类似的策略对。
- 当前,代理以启用它的用户身份运行。
- 在预览版中,应仅从 Microsoft Entra 管理中心运行代理。
- 扫描的时间限制为 24 小时。
- 无法自定义或替代代理的建议。
条件访问优化代理的关键功能
条件访问优化代理会扫描租户中的新用户和应用程序,并确定条件访问策略是否适用。 在预览版中,主要功能包括:
- 需要 MFA:代理识别不受要求 MFA 的条件访问策略覆盖的用户,并可能更新该策略。
- 需要基于设备的控件:代理可以强制实施基于设备的控件,例如设备符合性、应用保护策略和已加入域的设备。
- 阻止旧式身份验证:阻止使用旧式身份验证的用户帐户登录。
- 策略合并:代理扫描策略并标识重叠设置。 例如,如果有多个策略具有相同的授予控制,代理建议将这些策略合并为一个策略。
- 阻止设备代码流:代理查找阻止设备代码流身份验证的策略。
- 一键修正:当代理标识建议时,可以选择 “应用建议 ”,让代理通过一次单击更新关联的策略。
入门指南
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
在新的主页中,从代理通知卡中选择 “转到代理 ”,然后选择“条件访问优化代理”下的 “查看详细信息 ”。
选择 “运行代理 ”以开始首次运行。
当代理概述页面加载时,任何建议都显示在顶部。 还可以查看最近的活动和性能亮点。
选择 “查看建议 ”以查看建议的详细信息。 此页上的后续步骤包括以下选项:
- 应用建议:代理可以通过单击一下将建议的更改应用到策略。
- 查看策略更改:在应用策略更改之前查看策略更改。
- 策略影响:显示策略的潜在影响的可视化效果。 有关详细信息,请参阅 策略影响。
管理员使用 策略影响或仅报告模式评估策略设置后,可以将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。
小窍门
- 由代理创建的策略在条件访问策略窗格中使用 条件访问优化代理 进行标记。
- 新建的策略是在仅报告模式下创建的。 最佳实践是,组织应将其紧急账户排除在策略之外,以避免因配置不当而导致无法访问。
查看结果
代理可以运行并:
- 不识别任何未受保护的用户或建议进行任何更改
- 建议在仅报告模式下创建新的条件访问策略
- 建议将新创建的用户添加到现有策略
警告
仅报告模式下要求合规设备的策略可能会提示 macOS、iOS 和 Android 设备上的用户在策略评估期间选择设备证书,即使未强制实施设备符合性。 这些提示可能会重复,直到设备符合要求。 若要防止最终用户在登录期间收到提示,请从执行设备符合性检查的仅限报告的策略中排除设备平台 Mac、iOS 和 Android。
提供反馈
使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。
设置
启用代理后,可以调整一些设置。 可以从 Microsoft Entra 管理中心的两个位置访问设置:
- 从代理>条件访问优化代理>设置。
- 从条件访问>中选择“策略摘要>设置”下的“条件访问优化代理”卡。
触发器
代理被配置为从最初配置时开始每隔24小时运行一次。 你可以通过关闭触发器设置,然后在需要运行时再打开,以在特定时间运行它。
对象
使用 “对象 ”下的复选框指定在发出策略建议时代理应监视的内容。 默认情况下,代理将在前 24 小时内查找租户中的新用户和应用程序。
标识和权限
代理在 租户中启用代理的用户的标识和权限下运行。 由于此要求,应避免使用需要提升权限的帐户,例如利用 PIM 进行临时提升权限的帐户。
默认情况下,安全管理员和全局管理员角色也有权访问安全 Copilot。
你可以指定具有 Security Copilot 访问权限的条件访问管理员。 此授权使条件访问管理员能够使用代理。 有关详细信息,请参阅 分配 Security Copilot 的访问权限。
自定义说明
可以使用可选的 自定义说明 字段根据需求定制策略。 此设置允许你在代理执行过程中向代理提供提示。 例如:“用户”Break Glass“应从创建的策略中排除。
删除代理
如果不再想要使用条件访问优化代理,可以使用代理窗口顶部的 “删除代理 ”按钮将其删除。
常见问题解答
什么时候应使用条件访问优化代理还是 Copilot Chat?
这两项功能都提供对条件访问策略的不同见解。 下表提供了两个功能的比较:
| 情景 | 条件访问优化代理 | 副驾驶聊天 |
|---|---|---|
| 泛型方案 | ||
| 利用租户特定的配置 | ✅ | |
| 高级推理 | ✅ | |
| 按需见解 | ✅ | |
| 交互式故障排除 | ✅ | |
| 持续策略评估 | ✅ | |
| 自动改进建议 | ✅ | |
| 获取有关 CA 最佳做法和配置的指南 | ✅ | ✅ |
| 特定方案 | ||
| 主动识别未受保护的用户或应用程序 | ✅ | |
| 为所有用户强制实施 MFA 和其他基线控制 | ✅ | |
| CA 策略的持续监控和优化 | ✅ | |
| 一键式策略更改 | ✅ | |
| 查看现有的 CA 策略和分配(策略是否适用于 Alice?) | ✅ | ✅ |
| 排查用户访问问题(为什么会提示 Alice 进行 MFA?) | ✅ |
我激活了代理,但在活动状态中看到“失败”。 发生了什么情况?
可能使用了需要通过 Privileged Identity Management (PIM) 激活角色的帐户启用了代理。 因此,当代理尝试运行时,它失败,因为该帐户当时没有所需的权限。 如果 PIM 权限过期,系统会提示你重新进行身份验证。 可以通过删除代理来解决此问题,然后使用具有安全 Copilot 访问权限的用户帐户再次启用代理。 有关详细信息,请参阅分配 Security Copilot 访问权限。