Introducción al agente de revisión de cambios

En la versión preliminar pública, el agente de revisión de cambios de Microsoft Intune usa la inteligencia artificial generativa de Microsoft Security Copilot para evaluar solicitudes de aprobación de varios Administración para scripts de PowerShell en dispositivos Windows. Proporciona recomendaciones basadas en riesgos e información contextual para ayudar a los administradores a comprender el comportamiento de los scripts y los riesgos asociados. Estas conclusiones ayudan a Intune administradores a tomar decisiones informadas más rápidamente sobre si aprobar o denegar solicitudes.

Para generar estas recomendaciones, el agente agrega señales de varios orígenes:

Administración de vulnerabilidades de Microsoft Defender: para obtener información sobre amenazas
Microsoft -Entra ID: para el riesgo de identidad
Microsoft Intune: para solicitudes de aprobación de varios Administración y contexto histórico de solicitudes similares

El agente analiza estas señales para evaluar el riesgo potencial asociado a cada solicitud y, a continuación, proporciona información útil para admitir una administración de cambios segura y eficaz.

Requisitos previos

Requisitos de la nube

El agente solo se admite en la nube pública. No se admite en nubes gubernamentales.

Requisitos de licencia

Para usar agentes de Security Copilot en Microsoft Intune, su organización debe cumplir requisitos de licencia específicos.

Licencias necesarias:

Plan 1 de Microsoft Intune suscripción

Microsoft Entra ID P2

Administración de vulnerabilidades de Microsoft Defender

Microsoft Security Copilot con suficientes unidades de proceso de seguridad (SKU)

Requisitos de complementos

Los complementos permiten a Security Copilot agentes conectarse a los servicios de Microsoft y realizar acciones especializadas.

El Agente de revisión de cambios requiere los siguientes complementos:

Microsoft Intune

Microsoft Entra

Microsoft Defender XDR

Inteligencia sobre amenazas de Microsoft

Obtenga más información sobre los complementos.

Requisitos y escenarios de la plataforma

El agente admite la evaluación y las recomendaciones para las siguientes plataformas y escenarios:

Windows

Scripts de PowerShell en Intune

Requisitos de roles

Los requisitos de rol varían en función de si va a configurar el agente o de usarlo y de las acciones específicas realizadas.

Para habilitar y configurar el Agente de revisión de cambios, use una cuenta con los siguientes roles:

Roles de entra:

Administrador de Intune

Lector de seguridad

Usuario de riesgo de entra/Identity (lectura): este permiso se asigna a la posición de seguridad del permiso RBAC unificado / Riesgo de identidad / Usuarios de riesgo (lectura).

Roles de Defender: los roles de control de acceso basado en rol (RBAC) de Defender dependen de la implementación de Defender XDR:

RBAC unificado: asigne el lector de seguridad de Microsoft Entra ID a la cuenta de identidad del agente. Este rol proporciona acceso de solo lectura a Administración de vulnerabilidades de Defender datos y aplica automáticamente el ámbito del grupo de dispositivos.

RBAC granular: asigne un rol RBAC personalizado con permisos equivalentes al rol Lector de seguridad de RBAC unificado. Por ejemplo:

Ver datos : Administración de vulnerabilidades de Defender: este permiso se asigna a la posición de seguridad del permiso RBAC unificado, a la administración de posturas y a la administración de vulnerabilidades (lectura).

Para obtener más información sobre la asignación de permisos al rol Lector de seguridad de RBAC unificado, consulte Microsoft Entra acceso a roles globales en el artículo Asignación Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) en la documentación de Defender.

Asegúrese de que la identidad del agente está limitada en Microsoft Defender para incluir todos los grupos de dispositivos pertinentes. El agente no puede acceder ni informar sobre dispositivos fuera de su ámbito asignado.

Security Copilot roles:

Propietario de Copilot

Para usar el agente y realizar acciones de eliminación, use una cuenta con los siguientes roles:

Intune roles:

Operador de solo lectura o rol personalizado con permisos equivalentes.

Roles de entra:

Lector de seguridad

Roles de Defender

El uso del agente requiere el mismo acceso que habilitar y configurar el agente.

Security Copilot roles:

Colaborador de Copilot

Funcionamiento del agente

El Agente de revisión de cambios funciona con una identidad de cuenta de Intune administradores y se ejecuta manualmente cuando un administrador la inicia.

En un nivel alto, el agente realiza los pasos siguientes cada vez que se ejecuta:

Agregación de señales : el agente comienza agregando señales de los orígenes siguientes:
- Administración de vulnerabilidades de Microsoft Defender: para obtener información sobre amenazas
- Microsoft Entra ID: para el riesgo de identidad
- Microsoft Intune: para solicitudes de aprobación de varios Administración y contexto histórico de solicitudes similares
Evaluación: el agente evalúa los scripts de Windows PowerShell para las solicitudes de aprobación de varios Administración mediante la lógica predefinida integrada en la configuración del agente.
Recomendaciones : el agente revisa y, a continuación, proporciona recomendaciones para un máximo de 10 solicitudes por ejecución.

Las sugerencias son solo sugerencias . La aprobación o rechazo de una solicitud permanece con un administrador de Intune.

En la primera columna de la lista de recomendaciones se presentan los pasos siguientes sugeridos, que muestran la acción recomendada seguida del nombre de la solicitud. Entre las posibles acciones se incluyen:
- Aprobar: solicitud de bajo riesgo; probablemente sea seguro aprobarlo.
- Rechazar : solicitud de alto riesgo; no debe aprobarse.
- Necesita más información: no se pudo evaluar completamente el riesgo. Esta solicitud requiere una revisión adicional.
Cada recomendación incluye detalles auxiliares que explican lo siguiente:
- La razón detrás de la recomendación del agente.
- Lo que el script está pensado para realizar o hacer.
- Una lista detallada de factores que el agente ha revisado como parte de su proceso.

Identidad del agente

El agente se ejecuta con la identidad y los permisos de la cuenta de administrador de Intune utilizada durante la instalación. Las acciones del agente se limitan a los permisos de esa cuenta y la identidad se actualiza con cada ejecución. Si el agente no se ejecuta durante 90 días consecutivos, su autenticación expira y se produce un error en las ejecuciones posteriores hasta que se renueva. Para mantener la funcionalidad, renueve la identidad del agente antes del límite de 90 días.

Consideraciones operativas

Antes de configurar e iniciar el agente por primera vez, revise las consideraciones siguientes:

Un administrador debe iniciar manualmente el agente. Una vez iniciado, no hay ninguna opción para detenerla o pausarla.
El agente solo se puede iniciar desde el centro de administración de Microsoft Intune.
Los detalles de la sesión del portal de Microsoft Security Copilot solo son visibles para el usuario que configuró el agente.
El agente revisa y, a continuación, proporciona recomendaciones para un máximo de 10 solicitudes por ejecución.
Solo se admite una instancia de agente por contexto de inquilino o usuario.

Configuración del agente

El agente funciona con la identidad y los permisos de la cuenta de administrador de Intune utilizada durante la instalación. Sus operaciones se limitan a los permisos de esa cuenta y la identidad se actualiza con cada ejecución. Los cambios en los permisos de la cuenta afectan a las funcionalidades del agente durante su siguiente ejecución.

Para configurar el Agente de revisión de cambios:

En el centro de administración de Microsoft Intune, vaya a Agentes>de revisión de cambios.
En Información general, seleccione Configurar agente para abrir el panel Configurar agente de revisión de cambios .
En el panel Configurar el agente de revisión de cambios se enumeran los permisos necesarios y se proporcionan detalles sobre los requisitos de instalación. Cuando se cumplan los requisitos, seleccione Iniciar agente.

El agente funciona hasta que finaliza su evaluación y muestra los resultados en la pestaña Información general. Cuando finalice la ejecución, el agente estará listo para su uso.

Para más información sobre el uso del agente, consulte Uso del agente de revisión de cambios.

Quitar el agente

Al quitar un agente, se eliminan todos los datos asociados generados, incluidas las sugerencias y las actividades. Las sugerencias aplicadas anteriormente permanecen sin cambios.

Pasos para quitar una instancia del agente:

En el centro de administración de Microsoft Intune, seleccione Agentes.
Seleccione la instancia del agente que desea quitar.
Seleccione Quitar agente y confirme la eliminación.

Después de la eliminación:

El panel del agente vuelve a su estado original.
Un administrador puede volver a instalar el agente más adelante si repite el proceso de instalación.

Ayudar a dar forma al futuro de los agentes de Intune

Únase a nuestro foro de comentarios de Intune Agents para compartir información e influir en las próximas funcionalidades en Microsoft Intune.

Regístrese y obtenga más información: https://aka.ms/IntuneAgentsForum

Uso del agente de revisión de cambios

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-20