Agente de revisión de acceso

Despide la investigación que consume mucho tiempo y la incertidumbre de las decisiones apresuradas. El Agente de revisión de acceso funciona para los revisores mediante la recopilación automática de información y la generación de recomendaciones. A continuación, guía a los revisores a través del proceso de revisión en Microsoft Teams con lenguaje natural, con resúmenes sencillos y decisiones propuestas, para que puedan tomar la llamada final con confianza y claridad.

Prerrequisitos

• Debe tener licencias de Gobernanza de identificadores de Microsoft Entra o Microsoft Entra Suite.
• Debe incorporar a Security Copilot con al menos una unidad de proceso de seguridad (SCU) aprovisionada.
  • Completar una revisión de acceso que incluya 20 decisiones consume un promedio de 4,5 SCU. Esto incluye la recopilación de información del agente y la generación de recomendaciones y la conversación del lenguaje natural del revisor en Microsoft Teams con el agente. El consumo de SCU puede variar en función de la longitud de la conversación entre el revisor y el agente.
• Los administradores deben tener al menos todos los roles siguientes para configurar y administrar el agente en el Centro de administración de Microsoft Entra:
  • Administrador de gobernanza de identidades
  • Administrador de flujos de trabajo del ciclo de vida
  • Colaborador de Security Copilot en el ámbito de la seguridad
• Para que los revisores usen el Agente de revisión de acceso, deben tener acceso a Microsoft Teams y deben tener asignada una revisión de acceso activa. También deben tener al menos el rol Colaborador de Copilot de seguridad asignado a ellos.
• Revisión de la privacidad y la seguridad de los datos en Microsoft Security Copilot

Limitaciones

• Una vez iniciados los agentes, no se pueden detener ni pausar. Pueden tardar unos minutos en ejecutarse.
• Se recomienda ejecutar el agente desde el Centro de administración de Microsoft Entra.

Escenarios admitidos

En las tablas siguientes se muestra la compatibilidad actual del Agente de revisión de acceso en función de los escenarios de revisión:

Cómo funciona

El Agente de revisión de acceso examina proactivamente las revisiones de acceso activas en el inquilino marcados para su procesamiento por parte del agente. A continuación, el agente analiza las revisiones identificadas mediante la recopilación de información adicional y genera una recomendación (aprobar o denegar) y un resumen de justificación para cada decisión. Una vez que el agente analiza las recomendaciones y los resúmenes de justificación correspondientes, puede guiar a los revisores, en lenguaje natural, a través del proceso de revisión en Microsoft Teams. Los revisores están capacitados para completar sus revisiones a través de la experiencia de chat en lenguaje natural en Microsoft Teams. A medida que el agente los guía a través de la revisión, pueden revisar el razonamiento del agente detrás de las recomendaciones, formular preguntas en el contexto de la propia revisión y, por último, tomar su propia decisión informada.

La recomendación de agentes (aprobar o denegar) para cada decisión se basa en un mecanismo de puntuación determinista con tecnología de varias señales. Las señales usadas para la recomendación se usan para proporcionar un resumen de justificación descriptivo del usuario final con tecnología de un modelo de lenguaje grande (LLM). El modelo de lenguaje grande facilita la experiencia de chat en lenguaje natural posterior en Microsoft Teams con recomendaciones generadas previamente y resúmenes de justificación como contexto disponible.

El agente tiene en cuenta las siguientes señales:

• Inactividad del usuario: si el usuario ha iniciado sesión
• Afiliación de usuario a grupo: si el usuario tiene una baja afiliación con otros usuarios que tienen este acceso
• Cuenta habilitada: si la cuenta del usuario está habilitada (propiedad accountEnabled)
• Estado de empleo: si el empleo del usuario finalizó (propiedad employeeLeaveDateTime)
• Historial de flujo de trabajo del ciclo de vida: si el usuario ha tenido un flujo de trabajo de mover ejecutado para ellos en los últimos 30 días
• Decisiones de las revisiones anteriores: para las revisiones periódicas, se consideran decisiones de iteraciones de revisión anteriores.
• Historial de solicitudes de acceso: para las revisiones de asignación de paquetes de acceso, se considera el historial de solicitudes y aprobaciones.

Como administrador, puede revisar las recomendaciones (aprobar o denegar) y los resúmenes de justificación. Para obtener más información, consulte Registros y métricas del Agente de revisión de acceso (versión preliminar). Tenga en cuenta que las recomendaciones del agente pueden diferir de las recomendaciones que se muestran en el portal Mi acceso y la experiencia de revisión de acceso en el Centro de administración de Microsoft Entra.

Cómo empezar

Configuración del Agente de revisión de acceso

1. Con una cuenta que tenga al menos todos los roles siguientes, inicie sesión en el Centro de administración de Microsoft Entra:

   • Administrador de gobernanza de identidades
   • Administrador de flujos de trabajo del ciclo de vida
   • Colaborador de Copilot de seguridad

2. En la nueva página principal, seleccione Ir a los agentes en la tarjeta de notificación del agente.

   • También puede seleccionar Agentes en el menú de navegación izquierdo.

3. Seleccione Ver detalles en el icono del Agente de revisión de acceso.

4. Seleccione Iniciar agente para comenzar la primera ejecución.

   • Evite usar una cuenta con un rol activado a través de PIM.
   • Aparece un mensaje que indica "El agente está iniciando su primera ejecución" en la esquina superior derecha.
   • Esta primera ejecución puede tardar unos minutos en completarse.

Habilitación del agente de revisión de acceso para las revisiones de acceso existentes

Una vez iniciado el Agente de revisión de acceso, debe marcar las revisiones de acceso que va a procesar el Agente de revisión de acceso. El Agente de revisión de acceso puede procesar revisiones de acceso nuevas y existentes. En las secciones siguientes se explica cómo marcar la revisión de acceso que va a procesar el Agente de revisión de acceso.

Habilitación del agente de revisión de acceso para las revisiones de acceso a grupos y aplicaciones existentes

Para actualizar una revisión de acceso existente que va a procesar el Agente de revisión de acceso, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Navegue hasta Gobernanza de identidades>Revisiones de acceso.

3. Seleccione la revisión de acceso que desea que admita el agente.

4. En la página de información general de revisión de acceso, seleccione Configuración en Administrar si es una revisión única o Configuración en Serie si es una revisión periódica.

5. En Configuración avanzada, active la casilla de la configuración que indica Agente de revisión de acceso (versión preliminar).

6. Haga clic en Guardar.

Habilitación del Agente de revisión de acceso para las revisiones de asignación de paquetes de acceso existentes

Para actualizar una revisión de acceso existente que va a procesar el Agente de revisión de acceso, siga estos pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Navegue a Gobernanza de identidades>Administración de derechos>Paquete de acceso.

3. Seleccione el paquete de acceso que desea que admita el agente.

4. En la página de información general del paquete de acceso, seleccione Directivas y, a continuación, seleccione la directiva que desea actualizar y seleccione Editar.

5. En la página editar directiva, seleccione Ciclo de vida.

6. En la pestaña Ciclo de vida, seleccione Configuración de revisión de acceso avanzado y active la casilla Habilitar en la configuración que indica Agente de revisión de acceso (versión preliminar).

7. Haga clic en Guardar.

Asegúrese de que los revisores pueden usar el Agente de revisión de acceso

Los revisores acceden al Agente de revisión de acceso a través de una aplicación de Microsoft Teams. Si la configuración de la aplicación para toda la organización de su organización de su organización permite que las aplicaciones de Microsoft no necesiten ninguna acción. Si su organización ha deshabilitado las aplicaciones de Microsoft en la configuración de aplicaciones para toda la organización de Microsoft Teams, el administrador de Microsoft Teams de su organización debe aprobar explícitamente la aplicación.

También debe asegurarse de que todos los revisores tengan al menos el rol Colaborador de Copilot de seguridad para que puedan usar el agente para completar sus revisiones. Esto es necesario porque la conversación en lenguaje natural en Microsoft Teams está abriendo una sesión de Microsoft Security Copilot en segundo plano. Los revisores participantes acceden a la experiencia agente a través de Microsoft Teams, pero con la asignación de roles que tendrán derecho a acceder al portal de Copilot de seguridad o a la experiencia de Copilot de seguridad en otros portales administrativos de Seguridad de Microsoft. Si los revisores acceden a Security Copilot fuera de Microsoft Teams, su acceso a los datos con Security Copilot sigue estando sujeto a los permisos de usuario predeterminados.

Uso del Agente de revisión de acceso como revisor

Con el Agente de revisión de acceso iniciado, los revisores asignaron permisos adecuados y con la aplicación disponible para ellos, los revisores ya están listos para completar sus revisiones con la ayuda del agente. Se puede acceder al Agente de revisión de acceso directamente en Microsoft Teams (vínculo directo). Las notificaciones por correo electrónico de revisión de acceso enviadas a los revisores también incluirán un vínculo directo a Microsoft Teams.

1. Abra la aplicación de Microsoft Teams que inició sesión como el usuario asignado como revisor.

2. Seleccione el vínculo Agente de revisión de acceso para abrir el agente.

3. En la página Aplicaciones, busque Agente de revisión de acceso y seleccione Agregar.

4. Una vez agregado el agente, seleccione Abrir.

5. Cuando esté abierto, puede seleccionar el símbolo del sistema disponible para iniciar el chat con el agente

Configuración

Una vez habilitado el agente, puede ajustar algunas opciones de configuración. Para acceder a la configuración, haga lo siguiente en el Centro de administración de Microsoft Entra:

• Desde la>del agente de revisión de acceso de agentes>.

Trigger

El agente está configurado para ejecutarse cada 24 horas en función de cuándo está configurado inicialmente. Para ejecutarlo en un momento específico, active la opción Desencadenador y vuelva a activarse cuando quiera que se ejecute.

Eliminación del agente

Si ya no desea usar el Agente de revisión de acceso, seleccione Quitar agente en la parte superior de la ventana del agente. La actividad y las métricas del agente existentes se quitan, pero el agente conserva las recomendaciones y las justificaciones de las revisiones ya procesadas en Microsoft Teams y siguen siendo capaces de ayudar a los revisores con estas revisiones. Para completar la eliminación, también debe desmarcar las revisiones de acceso marcadas previamente para que el agente lo procese.

Deshabilitar el agente de revisión de acceso para las revisiones de acceso a grupos y aplicaciones existentes

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Vaya a Gobernanza de ID>Revisiones de acceso.

3. Seleccione la revisión de acceso que tiene habilitada la compatibilidad con el agente.

4. En la página de información general de revisión de acceso, seleccione Configuración en Administrar si es una revisión única o Configuración en Serie si es una revisión periódica.

5. En Configuración avanzada, desactive la casilla de la configuración que indica Agente de revisión de acceso (versión preliminar).

6. Haga clic en Guardar.

Deshabilitar el Agente de revisión de acceso para las revisiones de asignación de paquetes de acceso existentes

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de gobernanza de identidades.

2. Navegue a Gobernanza de identidades>Administración de derechos>Paquete de acceso.

3. Seleccione el paquete de acceso que desea que admita el agente.

4. En la página de información general del paquete de acceso, seleccione Directivas y, a continuación, seleccione la directiva que desea actualizar y seleccione Editar.

5. En la página editar directiva, seleccione Ciclo de vida.

6. En la pestaña Ciclo de vida, active la casilla Deshabilitar de la configuración que indica Agente de revisión de acceso (versión preliminar).

7. Haga clic en Guardar.

Revocar el acceso a Copilot de seguridad

Es posible que quiera revocar el acceso colaborador de Copilot de seguridad de los revisores si ningún otro escenario requiere que accedan a Security Copilot.

Identidad y permisos

Se crea una identidad de agente única cuando el agente está activado. Para obtener más información, consulte: administración de identidades de agente.

El agente usa esta identidad para examinar el inquilino en busca de revisiones de acceso activas, recopilar información adicional y guardar sus recomendaciones y justificaciones para el revisor. Para obtener más información, vea: Cómo funciona.

Permissions

• Obtener detalles de las revisiones de acceso
• Lea los detalles y el historial de flujo de trabajo del ciclo de vida de los usuarios, grupos, aplicaciones y paquetes de acceso.
• Guardar recomendaciones y justificaciones de revisión de acceso

Las decisiones finales, enviadas a través de la conversación de Microsoft Teams, usan la identidad del revisor.

La página de configuración del agente muestra la identidad asignada actualmente al agente:

Si el agente se configuró anteriormente mediante la identidad de un administrador, debe migrarlo a una identidad de agente dedicada. Para completar esta migración, seleccione la opción "Crear identidad del agente" ubicada en el banner azul de la página de información general del agente o la página de configuración del agente.

Proporcionar comentarios

Use el botón Enviar comentarios de Microsoft en la parte superior de la ventana del agente para proporcionar comentarios a Microsoft sobre el agente.

FAQs

¿Por qué el agente de Microsoft Teams responde con "Parece que el Agente de revisión de acceso aún no se ha habilitado para su organización o ha encontrado problemas inesperados. Póngase en contacto con su departamento de TI para obtener ayuda. Mientras tanto, ¿puede completar las revisiones pendientes en el Portal mi acceso'?

Si el agente responde con este mensaje, es probable que la configuración del agente, como iniciar el agente, asignar revisores acceso a Copilot y habilitar el agente para las revisiones existentes, no se complete.

¿Por qué el agente de Microsoft Teams responde con "Las cosas están un poco ocupadas en este momento y no pude procesar la solicitud en este momento. ¿Podrías intentarlo de nuevo un poco? Si tiene prisa, mi portal de acceso siempre está disponible.'?

El agente responde con este mensaje si el inquilino está fuera de la capacidad aprovisionada y superada de Security Copilot.

Contenido relacionado

• Registros y métricas del Agente de revisión de acceso (versión preliminar)
• Revisión de recomendaciones para revisiones de acceso
• Más información sobre Microsoft Security Copilot