Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In der öffentlichen Vorschau verwendet der Microsoft Intune Change Review-Agent die generative KI von Microsoft Security Copilot, um Multi-Admin-Genehmigungsanforderungen für PowerShell-Skripts auf Windows-Geräten auszuwerten. Sie bietet risikobasierte Empfehlungen und kontextbezogene Einblicke, um Administratoren dabei zu helfen, das Skriptverhalten und die damit verbundenen Risiken zu verstehen. Diese Erkenntnisse helfen Intune Administratoren, schneller fundierte Entscheidungen darüber zu treffen, ob Anforderungen genehmigt oder abgelehnt werden sollen.
Um diese Empfehlungen zu generieren, aggregiert der Agent Signale aus mehreren Quellen:
- Microsoft Defender Vulnerability Management – Für Erkenntnisse zu Bedrohungen
- Microsoft - Entra ID – für Identitätsrisiko
- Microsoft Intune – für Multi-Admin-Genehmigungsanforderungen und verlaufsbezogenen Kontext ähnlicher Anforderungen
Der Agent analysiert diese Signale, um das potenzielle Risiko zu bewerten, das mit jeder Anforderung verbunden ist, und liefert dann umsetzbare Erkenntnisse, um ein sicheres und effizientes Change Management zu unterstützen.
Voraussetzungen
Cloudanforderungen
Der Agent wird nur in der öffentlichen Cloud unterstützt. Sie wird in Government Clouds nicht unterstützt.
Lizenzanforderungen
Um Security Copilot Agents in Microsoft Intune verwenden zu können, muss Ihr organization bestimmte Lizenzierungsanforderungen erfüllen.
Erforderliche Lizenzen:
- Microsoft Intune Plan 1-Abonnement
- Microsoft Entra ID P2
- Microsoft Defender Sicherheitsrisikomanagement
- Microsoft Security Copilot mit ausreichenden Sicherheitscomputeeinheiten (SCUs)
Plug-In-Anforderungen
Plug-Ins ermöglichen es Security Copilot Agents, sich mit Microsoft-Diensten zu verbinden und spezielle Aktionen auszuführen.
Der Änderungsüberprüfungs-Agent erfordert die folgenden Plug-Ins:
Plattformanforderungen und -szenarien
Der Agent unterstützt Auswertungen und Empfehlungen für die folgenden Plattformen und Szenarien:
- Windows
- PowerShell-Skripts in Intune
Rollenanforderungen
Die Rollenanforderungen variieren je nachdem, ob Sie den Agent konfigurieren oder verwenden, und je nachdem, welche Aktionen ausgeführt werden.
Verwenden Sie zum Aktivieren und Konfigurieren des Änderungsüberprüfungs-Agents ein Konto mit den folgenden Rollen:
Entra-Rollen:
- Intune Administrator
- Sicherheitsleseberechtigter
- Entra/Identity risky user (read) – Diese Berechtigung ist der einheitlichen RBAC-Berechtigung Sicherheitsstatus/Identitätsrisiko/Risikobenutzer (lesen)zugeordnet.
Defender-Rollen: Rollen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Defender hängen von Ihrer Defender XDR Implementierung ab:
Einheitliche RBAC: Weisen Sie den Microsoft Entra ID-Sicherheitsleser dem Identitätskonto des Agents zu. Diese Rolle bietet schreibgeschützten Zugriff auf Defender Vulnerability Management Daten und erzwingt automatisch die Bereichsdefinition für Gerätegruppen.
Differenzierte RBAC: Weisen Sie eine benutzerdefinierte RBAC-Rolle mit Berechtigungen zu, die der Rolle Unified RBAC Security Reader entsprechen. Zum Beispiel:
- Daten anzeigen – Defender Vulnerability Management: Diese Berechtigung wird der einheitlichen RBAC-Berechtigung Sicherheitsstatus/Statusverwaltung/Sicherheitsrisikoverwaltung (lesen) zugeordnet.
Ausführliche Informationen zum Zuordnen von Berechtigungen zur Rolle "Vereinheitlichter RBAC-Sicherheitsleser" finden Sie unter Zugriff auf Microsoft Entra Globale Rollen im Artikel Zuordnung Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC) in der Defender-Dokumentation.
Stellen Sie sicher, dass die Identität des Agents in Microsoft Defender alle relevanten Gerätegruppen umfasst. Der Agent kann nicht auf Geräte außerhalb des zugewiesenen Bereichs zugreifen oder berichte.
Security Copilot Rollen:
Um den Agent zu verwenden und Offboardingaktionen auszuführen, verwenden Sie ein Konto mit den folgenden Rollen:
Intune Rollen:
- Schreibgeschützter Operator oder benutzerdefinierte Rolle mit entsprechenden Berechtigungen.
- Die Verwendung des Agents erfordert den gleichen Zugriff wie das Aktivieren und Konfigurieren des Agents.
Funktionsweise des Agents
Der Änderungsüberprüfungs-Agent arbeitet mit einer Intune Administratorkontoidentität und wird manuell ausgeführt, wenn ein Administrator ihn startet.
Auf hoher Ebene führt der Agent bei jeder Ausführung die folgenden Schritte aus:
Signalaggregation : Der Agent beginnt mit der Aggregierung von Signalen aus den folgenden Quellen:
- Microsoft Defender Vulnerability Management – Für Erkenntnisse zu Bedrohungen
- Microsoft Entra ID – Identitätsrisiko
- Microsoft Intune – für Multi-Admin-Genehmigungsanforderungen und verlaufsbezogenen Kontext ähnlicher Anforderungen
Auswertung: Der Agent wertet Windows PowerShell Skripts für Multi-Admin-Genehmigungsanforderungen mithilfe einer vordefinierten Logik aus, die in die Agentkonfiguration integriert ist.
Empfehlungen : Der Agent überprüft und stellt dann Empfehlungen für maximal 10 Anforderungen pro Ausführung bereit.
Vorschläge sind nur Vorschläge . Die Genehmigung oder Ablehnung einer Anforderung verbleibt bei einem Intune Administrator.
Die erste Spalte der Empfehlungsliste enthält Vorgeschlagene nächste Schritte, in denen die empfohlene Aktion gefolgt vom Namen der Anforderung angezeigt wird. Mögliche Aktionen sind:
- Genehmigen – Anforderung mit geringem Risiko; wahrscheinlich sicher zu genehmigen.
- Ablehnen – Anforderung mit hohem Risiko; sollte nicht genehmigt werden.
- Weitere Informationen erforderlich: Das Risiko konnte nicht vollständig bewertet werden. Diese Anforderung erfordert eine weitere Überprüfung.
Jede Empfehlung enthält unterstützende Details, die Folgendes erklären:
- Der Grund für die Empfehlung des Agenten.
- Was mit dem Skript erreicht oder ausgeführt werden soll.
- Eine detaillierte Liste der Faktoren, die der Agent im Rahmen seines Prozesses überprüft hat.
Agent-Identität
Der Agent wird unter der Identität und den Berechtigungen des Intune Administratorkontos ausgeführt, das während des Setups verwendet wurde. Die Aktionen des Agents sind auf die Berechtigungen dieses Kontos beschränkt, und die Identität wird bei jeder Ausführung aktualisiert. Wenn der Agent 90 aufeinanderfolgende Tage nicht ausgeführt wird, läuft seine Authentifizierung ab, und nachfolgende Ausführungen schlagen bis zur Verlängerung fehl. Um die Funktionalität aufrechtzuerhalten, erneuern Sie die Agent-Identität vor dem 90-Tage-Limit.
Betriebsbezogene Überlegungen
Bevor Sie den Agent zum ersten Mal einrichten und starten, sollten Sie die folgenden Überlegungen berücksichtigen:
- Ein Administrator muss den Agent manuell starten. Nach dem Start gibt es keine Möglichkeit, sie zu beenden oder anzuhalten.
- Der Agent kann nur über das Microsoft Intune Admin Center gestartet werden.
- Sitzungsdetails im Microsoft Security Copilot-Portal sind nur für den Benutzer sichtbar, der den Agent eingerichtet hat.
- Der Agent überprüft und stellt dann Empfehlungen für maximal 10 Anforderungen pro Ausführung bereit.
- Pro Mandanten-/Benutzerkontext wird nur ein Agent instance unterstützt.
Einrichten des Agents
Der Agent arbeitet unter der Identität und den Berechtigungen des Intune Administratorkontos, das während des Setups verwendet wird. Die Vorgänge sind auf die Berechtigungen dieses Kontos beschränkt, und die Identität wird bei jeder Ausführung aktualisiert. Alle Änderungen an den Berechtigungen des Kontos wirken sich auf die Funktionen des Agents während der nächsten Ausführung aus.
So richten Sie den Änderungsüberprüfungs-Agent ein:
Wechseln Sie im Microsoft Intune Admin Center zu Agents>Change Review Agent.
Wählen Sie unter Übersicht die Option Agent einrichten aus, um den Bereich Änderungsüberprüfungs-Agent einrichten zu öffnen.
Im Bereich Änderungsüberprüfungs-Agent einrichten werden die erforderlichen Berechtigungen und Details zu den Setupanforderungen aufgeführt. Wenn die Anforderungen erfüllt sind, wählen Sie Agent starten aus.
Der Agent wird so lange ausgeführt, bis er seine Auswertung abgeschlossen hat und ergebnisse auf der Registerkarte Übersicht anzeigt. Wenn die Ausführung abgeschlossen ist, kann der Agent verwendet werden.
Weitere Informationen zur Verwendung des Agents finden Sie unter Verwenden des Änderungsüberprüfungs-Agents.
Entfernen des Agents
Wenn Sie einen Agent entfernen, werden alle zugehörigen Daten, einschließlich Vorschlägen und Aktivitäten, gelöscht. Zuvor angewendete Vorschläge bleiben unverändert.
Schritte zum Entfernen eines Agent-instance:
- Wählen Sie im Microsoft Intune Admin CenterAgents aus.
- Wählen Sie den Agent instance aus, den Sie entfernen möchten.
- Wählen Sie Agent entfernen aus, und bestätigen Sie die Entfernung.
Nach dem Entfernen:
- Der Agentbereich kehrt in den ursprünglichen Zustand zurück.
- Ein Administrator kann den Agent später erneut installieren, indem er den Setupvorgang wiederholt.
Mitgestalten der Zukunft von Intune Agents
Nehmen Sie an unserem feedback-Forum für Intune Agents teil, um Erkenntnisse zu teilen und zukünftige Funktionen in Microsoft Intune zu beeinflussen.
Registrieren Sie sich, und erfahren Sie mehr: https://aka.ms/IntuneAgentsForum