Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Intune Richtlinienkonfigurations-Agent verwendet die generativen KI-gestützten Features in Security Copilot. It-Administratoren können komplexe Anforderungen und Branchenstandarddokumente in umsetzbare Intune-Einstellungen übersetzen.
Administratoren können schnell Intune Einstellungskatalogrichtlinien generieren, die an den Organisations- oder behördlichen Baselines, einschließlich aller Härtungsinitiativen, ausgerichtet sind.
Mit dem Agent können Sie:
Laden Sie ein Dokument oder einen Branchenvergleichstest hoch, und der Agent identifiziert relevante und übereinstimmende Intune Einstellungen.
Sie können Compliancestandards und gängige Branchenbenchmarks hochladen, z. B. Security Technical Implementation Guides (STIGs) und NIST-Richtlinien (National Institute of Standards and Technology).
Kann interne Richtliniendokumente und Baselines hochladen, z. B. die Sicherheitsrichtlinien Oder Complianceanforderungen Ihrer organization.
Erhalten Sie relevante Konfigurationseinstellungen und handlungsrelevante Vorschläge basierend auf Ihren hochgeladenen Dokumenten.
Kann die Vorschläge anpassen, um eine Baseline zu erstellen, die zu Ihrer Umgebung passt. Wenn ihr organization beispielsweise eine Ausnahme von einer CIS-Regel aufweist, können Sie diese Regel aus der endgültigen Richtlinie entfernen.
Der Agent führt Sie außerdem durch das Erstellen einer Richtlinie mithilfe der Vorschläge und hilft ihnen bei der Konfiguration jeder Einstellung basierend auf den Anforderungen Ihrer organization. Sie können diese Vorschläge überprüfen und speichern.
Inhalt dieses Artikels:
- Listet die Voraussetzungen für die Verwendung des Agents auf.
- Erläutert die Funktionsweise des Agents.
- Zeigt Ihnen, wie Sie den Agent einrichten.
- Zeigt Ihnen, wie Sie den Agent verlängern oder entfernen.
Informationen zur Verwendung des Agents finden Sie unter Verwenden des Richtlinienkonfigurations-Agents.
Voraussetzungen
Cloudanforderungen
Der Agent wird nur in der öffentlichen Cloud unterstützt. Sie wird in Government Clouds nicht unterstützt.
Lizenzanforderungen
Um Security Copilot Agents in Microsoft Intune verwenden zu können, sind die folgenden Lizenzen erforderlich:
- Microsoft Intune Plan 1-Abonnement
- Microsoft Security Copilot mit ausreichenden Sicherheitscomputeeinheiten (SCUs)
Plug-In-Anforderungen
Plug-Ins ermöglichen es Security Copilot Agents, sich mit Microsoft-Diensten zu verbinden und spezielle Aktionen auszuführen. Für diesen Agent ist das folgende Plug-In erforderlich:
Wenn Sie Copilot in Intune verwenden, ist das Intune-Plug-In bereits aktiviert. Erfahren Sie mehr über Plug-Ins.
Geräteplattformanforderungen
Dieses Feature unterstützt die folgenden Plattformen:
- Windows
Rollenanforderungen
Verwenden Sie zum Aktivieren und Konfigurieren des Agents ein Konto mit den folgenden Rollen:
Security Copilot Rollen:
Weitere Informationen zu den Security Copilot Rollen finden Sie unter Security Copilot Rollen und Berechtigungen.
Intune Rollen:
- Schreibgeschützter Operator oder eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
- Gerätekonfigurationen/Lesen
Um den Agent zu verwenden, Vorschläge zu generieren und Richtlinienempfehlungen zu erhalten, verwenden Sie ein Konto mit den folgenden Rollen:
- Schreibgeschützter Operator oder eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
- Gerätekonfigurationen/Lesen
Um den Agent zu verwenden, Vorschläge zu generieren, Richtlinienempfehlungen abzurufen und Richtlinien zu erstellen, verwenden Sie ein Konto mit den folgenden Rollen:
- Richtlinien- und Profil-Manager oder eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
- Gerätekonfigurationen/Erstellen
- Gerätekonfigurationen/Update
Funktionsweise des Agents
Auf hoher Ebene führt der Agent die folgenden Schritte aus.
Eingabeerfassung: Sie geben dem Agent eine Eingabe mit Ihren Richtlinienanforderungen. Dabei kann es sich um ein dokument, das Sie hochladen, oder um eine direkte Texteingabe wie
All laptops must have BitLocker enabled with AES-256 encryption.Der Agent unterstützt benutzerdefinierte Dokumente und Aufzählungen von Anforderungen.
Verarbeitung und Analyse natürlicher Sprache: Wenn Sie den Agent für Ihre Eingabe ausführen, verwendet der Agent Security Copilot, um die Eingabe zu analysieren und zuzuordnen. Es liest die Sprache durch und identifiziert einzelne Einstellungen, die der Text beschreibt.
Wenn im Dokument beispielsweise "Verwendung von USB-Speichergeräten nicht zugelassen" steht, interpretiert der Agent den Text als Anforderung zur externen Speicherrichtlinie.
Security Copilot ist so optimiert, dass allgemeine Richtlinienanweisungen und technische Steuerelemente aus Textbeschreibungen erkannt werden. Es kann komplexe Formulierungen oder verschiedene Formate verarbeiten.
Ordnet Regeln Intune Einstellungen zu: Für jede analysierte Anforderung versucht der Agent, eine entsprechende Einstellungskatalogeinstellung zu finden, die dieses Ziel erreicht. Der Agent nutzt integrierte Kenntnisse der Funktionen von Intune, um die richtige Einstellung und den Einstellungswert auszuwählen, der die Anforderung erfüllt.
Generiert Richtlinienvorschläge: Der Agent kompiliert die Zuordnungsergebnisse in einen Entwurf Intune Konfigurationsprofils mit den empfohlenen Einstellungen.
Admin Überprüfung und Bestätigung: Bevor etwas angewendet wird, überprüfen Sie die Ausgabe des Agents. Wählen Sie im Admin Center den Vorschlag des Agents aus, um die Details anzuzeigen. Möglicherweise wird eine Liste der empfohlenen Einstellungen (unterstützte Zuordnungen) und separate Listen für nicht unterstützte oder nicht zugeordnete Elemente angezeigt.
In dieser Phase sollten Sie:
-
Details anzeigen : Sie können einen Drilldown für jede empfohlene Einstellung ausführen, um die Begründung zu lesen und anzupassen. Für instance schlägt der Agent möglicherweise eine Kennwortlänge von 14 Zeichen vor, da in der Baseline angegeben ist
at least 12. - Entfernen oder Ausschließen : Wenn es bestimmte Vorschläge gibt, die Sie nicht implementieren möchten, können Sie diese entfernen, wenn Sie den Agent anweisen, die Gerätekonfigurationsrichtlinie zu erstellen.
- Nicht unterstützte Elemente bestätigen: Dokumentieren Sie für alle Anforderungen, die Intune nicht erzwingen können, wie Sie sie behandeln möchten, oder bestätigen Sie sie. Die Rolle des Agents ist informativ und, um sicherzustellen, dass Sie lückenhaft sind.
-
Details anzeigen : Sie können einen Drilldown für jede empfohlene Einstellung ausführen, um die Begründung zu lesen und anzupassen. Für instance schlägt der Agent möglicherweise eine Kennwortlänge von 14 Zeichen vor, da in der Baseline angegeben ist
Richtlinienerstellung: Nachdem Sie die Vorschläge bestätigt haben, können Sie ein neues Konfigurationsprofil mit allen empfohlenen Einstellungen erstellen. Diese Einstellungskatalogrichtlinie wird erst erzwungen, wenn Sie sie zuweisen, genau wie jede Intune Richtlinie, die Sie manuell erstellen.
In diesem Stadium ist die Richtlinie eine normale Intune Richtlinie. Sie können sie den entsprechenden Gruppen zuweisen und die Richtlinie umbenennen.
Bereitstellen und Überwachen: Sobald die Richtlinie zugewiesen wurde, beginnen Geräte mit der Berichterstellung mit den neuen Einstellungen. Der Auftrag des Agents ist so lange abgeschlossen, bis Sie ihn erneut ausführen.
Agent-Identität
Der Agent wird unter der Identität und den Berechtigungen des Kontos ausgeführt, das während dieses Setups verwendet wird. Aktionen sind auf die Berechtigungen dieses Kontos beschränkt, und die Identität wird bei jeder Ausführung aktualisiert. Daher wirken sich alle Änderungen an den Berechtigungen des Kontos auf die Funktionen des Agents während der nächsten Ausführung aus.
Es wird empfohlen, sich mit der Rolle Security Copilot Besitzer anzumelden, um den Agent einzurichten. Einige Rollen verfügen möglicherweise automatisch über die erforderlichen Berechtigungen. Weitere Informationen finden Sie unter Security Copilot Rollen.
Einrichten des Agents
Bevor Sie den Agent aktivieren:
- Ein Administrator muss den Agent manuell starten. Nach dem Start gibt es keine Möglichkeit, den Agent zu beenden oder anzuhalten.
- Der Agent kann nur über das Intune Admin Center gestartet werden.
- Sitzungsdetails im Microsoft Security Copilot-Portal sind nur für den Benutzer sichtbar, der den Agent eingerichtet hat.
- Pro Mandant wird nur ein Agent instance unterstützt.
Führen Sie die folgenden Schritte aus, um den Agent einzurichten:
Wählen Sie im Intune Admin CenterAgents>Policy Configuration Agent aus.
Wählen Sie unter Übersicht die Option Agent einrichten aus.
Der Bereich Richtlinienkonfigurations-Agent einrichten listet die erforderlichen Berechtigungen zum Einrichten des Agents auf und enthält weitere Informationen zu den Setupanforderungen.
Wählen Sie Agent einrichten aus.
Nach Abschluss des Vorgangs ist der Agent einsatzbereit. Weitere Informationen zur Verwendung des Agents finden Sie unter Verwenden des Richtlinienkonfigurations-Agents.
Verlängern des Agents
Wenn Sie 90 Tage lang keinen Agent verwenden, läuft die Agent-Autorisierung ab, und die Agentausführung schlägt bis zur erneuten Authentifizierung fehl. Sie können die Agent-Authentifizierung jederzeit verlängern.
Wenn der Ablauf näher rückt, zeigt Intune auf der Übersichtsseite des Agents eine Warnung an, die jeder Copilot-Besitzer und copilot-Mitwirkender sehen kann. Die Warnung fordert sie auf, die Agent-Identität zu erneuern.
Um die Agent-Identität erneut zu authentifizieren, wählen Sie Authentifizierung erneuern aus. Wenn Sie die Agent-Authentifizierung verlängern, verwendet der Agent automatisch die Anmeldeinformationen. Wenn Sie die Anmeldeinformationen nicht verwenden möchten, wählen Sie die Registerkarte >Agent-Einstellungen>Eine andere Identität auswählen aus.
Nach der Verlängerung verschwindet das Warnbanner, und eine Popupbenachrichtigung überprüft, ob die Verlängerung erfolgreich war.
Entfernen des Agents
Wenn Sie einen Agent entfernen, werden alle zugehörigen Daten, einschließlich Vorschlägen und Aktivitäten, gelöscht. Zuvor angewendete Vorschläge bleiben unverändert.
Schritte zum Entfernen eines Agent-instance:
- Wählen Sie im Microsoft Intune Admin CenterAgents aus.
- Wählen Sie den Agent instance aus, den Sie entfernen möchten.
- Wählen Sie Agent entfernen aus, und bestätigen Sie die Entfernung.
Nach dem Entfernen:
- Der Agentbereich kehrt in den ursprünglichen Zustand zurück.
- Ein Administrator kann den Agent später erneut installieren, indem er den Setupvorgang wiederholt.
Mitgestalten der Zukunft von Intune Agents
Nehmen Sie an unserem feedback-Forum für Intune Agents teil, um Erkenntnisse zu teilen und zukünftige Funktionen in Microsoft Intune zu beeinflussen.
Registrieren Sie sich, und erfahren Sie mehr: https://aka.ms/IntuneAgentsForum