Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
En préversion publique, l’Agent de révision des modifications Microsoft Intune utilise l’IA générative de Microsoft Security Copilot pour évaluer les demandes d’approbation multi-Administration pour les scripts PowerShell sur les appareils Windows. Il fournit des recommandations basées sur les risques et des insights contextuels pour aider les administrateurs à comprendre le comportement des scripts et les risques associés. Ces insights aident Intune administrateurs à prendre des décisions éclairées plus rapidement sur l’approbation ou le refus des demandes.
Pour générer ces recommandations, l’agent agrège les signaux provenant de plusieurs sources :
- Gestion des vulnérabilités Microsoft Defender pour insights sur les menaces
- Microsoft -Entra ID - pour le risque d’identité
- Microsoft Intune : pour les demandes d’approbation multi Administration et le contexte historique des demandes similaires
L’agent analyse ces signaux pour évaluer le risque potentiel associé à chaque demande, puis fournit des insights exploitables pour prendre en charge une gestion des modifications sécurisée et efficace.
Configuration requise
Configuration requise pour le cloud
L’agent est pris en charge uniquement sur le cloud public. Il n’est pas pris en charge sur les clouds gouvernementaux.
Conditions requises pour les licences
Pour utiliser des agents Security Copilot dans Microsoft Intune, votre organization doit répondre à des exigences de licence spécifiques.
Licences requises :
- abonnement Microsoft Intune Plan 1
- Microsoft Entra ID P2
- Gestion des vulnérabilités Microsoft Defender
- Microsoft Security Copilot avec suffisamment d’unités de calcul de sécurité (SKU)
Conditions requises pour les plug-in
Les plug-ins permettent aux agents Security Copilot de se connecter aux services Microsoft et d’effectuer des actions spécialisées.
L’Agent de révision des modifications nécessite les plug-ins suivants :
Configuration requise et scénarios de la plateforme
L’agent prend en charge l’évaluation et les recommandations pour les plateformes et scénarios suivants :
- Windows
- Scripts PowerShell dans Intune
Conditions requises pour les rôles
Les exigences de rôle varient selon que vous configurez ou utilisez l’agent, et selon les actions spécifiques effectuées.
Pour activer et configurer l’Agent de révision des modifications, utilisez un compte avec les rôles suivants :
Rôles Entra :
- administrateur Intune
- Lecteur de sécurité
- Utilisateur à risque Entra/Identity (lecture) : cette autorisation correspond à l’autorisation RBAC unifié Posture de sécurité / Risque d’identité / Utilisateurs à risque (lecture) .
Rôles Defender : les rôles de contrôle d’accès en fonction du rôle (RBAC) Defender dépendent de votre implémentation Defender XDR :
RBAC unifié : affectez le lecteur de sécurité Microsoft Entra ID au compte d’identité de l’agent. Ce rôle fournit un accès en lecture seule aux données Defender Vulnerability Management et applique automatiquement l’étendue des groupes d’appareils.
RBAC granulaire : attribuez un rôle RBAC personnalisé avec des autorisations équivalentes au rôle Lecteur de sécurité RBAC unifié. Par exemple :
- Afficher les données – Defender Vulnerability Management – Cette autorisation est mappée à l’autorisation RBAC unifié Posture de sécurité / Gestion de la posture / Gestion des vulnérabilités (lecture) .
Pour plus d’informations sur le mappage des autorisations au rôle Lecteur de sécurité RBAC unifié, consultez Microsoft Entra accès aux rôles globaux dans l’article Contrôle d’accès en fonction du rôle (RBAC) mapper Microsoft Defender XDR unifié dans la documentation Defender.
Vérifiez que l’identité de l’agent est délimitée dans Microsoft Defender pour inclure tous les groupes d’appareils appropriés. L’agent ne peut pas accéder aux appareils ou créer de rapports sur les appareils en dehors de l’étendue qui lui est attribuée.
Security Copilot rôles :
Pour utiliser l’agent et effectuer des actions de désintégrage, utilisez un compte avec les rôles suivants :
Intune rôles :
- Opérateur en lecture seule ou rôle personnalisé avec des autorisations équivalentes.
- L’utilisation de l’agent nécessite le même accès que l’activation et la configuration de l’agent.
Fonctionnement de l’agent
L’agent de révision des modifications fonctionne à l’aide d’une identité de compte d’administrateur Intune et s’exécute manuellement lorsqu’un administrateur le démarre.
À un niveau élevé, l’agent effectue les étapes suivantes chaque fois qu’il s’exécute :
Agrégation des signaux : l’agent commence par agréger les signaux provenant des sources suivantes :
- Gestion des vulnérabilités Microsoft Defender pour insights sur les menaces
- Microsoft Entra ID - pour les risques liés à l’identité
- Microsoft Intune : pour les demandes d’approbation multi Administration et le contexte historique des demandes similaires
Évaluation : l’agent évalue Windows PowerShell scripts pour les demandes d’approbation multi-Administration à l’aide d’une logique prédéfinie intégrée à la configuration de l’agent.
Recommandations : l’agent examine, puis fournit des recommandations pour un maximum de 10 demandes par exécution.
Les suggestions sont des suggestions uniquement. L’approbation ou le rejet d’une demande reste la propriété d’un administrateur Intune.
La première colonne de la liste des recommandations présente les étapes suivantes suggérées, qui affichent l’action recommandée suivie du nom de la demande. Les actions possibles sont les suivantes :
- Approuver : demande à faible risque ; probablement sûr à approuver.
- Rejeter : demande à haut risque ; ne doit pas être approuvé.
- Besoin de plus d’informations : le risque n’a pas pu être entièrement évalué. Cette demande doit être examinée plus en détail.
Chaque recommandation inclut des détails de prise en charge qui expliquent :
- La raison d’être de la recommandation de l’agent.
- Ce que le script est destiné à accomplir ou à faire.
- Liste détaillée des facteurs que l’agent a examinés dans le cadre de son processus.
Identité de l’agent
L’agent s’exécute sous l’identité et les autorisations du compte d’administrateur Intune utilisé pendant l’installation. Les actions de l’agent sont limitées aux autorisations de ce compte et l’identité s’actualise à chaque exécution. Si l’agent ne s’exécute pas pendant 90 jours consécutifs, son authentification expire et les exécutions suivantes échouent jusqu’à son renouvellement. Pour conserver les fonctionnalités, renouvelez l’identité de l’agent avant la limite de 90 jours.
Considérations opérationnelles
Avant de configurer et de démarrer l’agent pour la première fois, passez en revue les considérations suivantes :
- Un administrateur doit démarrer manuellement l’agent. Une fois démarré, il n’existe aucune option pour l’arrêter ou la suspendre.
- L’agent ne peut être démarré qu’à partir du centre d’administration Microsoft Intune.
- Les détails de session dans le portail Microsoft Security Copilot sont visibles uniquement par l’utilisateur qui a configuré l’agent.
- L’agent examine et fournit ensuite des recommandations pour un maximum de 10 demandes par exécution.
- Un seul agent instance est pris en charge par contexte client/utilisateur.
Configurer l’agent
L’agent fonctionne sous l’identité et les autorisations du compte d’administrateur Intune utilisé pendant l’installation. Ses opérations sont limitées aux autorisations de ce compte et l’identité s’actualise à chaque exécution. Toute modification apportée aux autorisations du compte affecte les fonctionnalités de l’agent lors de sa prochaine exécution.
Pour configurer l’Agent de révision des modifications :
Dans le centre d’administration Microsoft Intune, accédez àAgent de révision des modificationsdes agents>.
Dans Vue d’ensemble, sélectionnez Configurer l’agent pour ouvrir le volet Configurer l’agent de révision des modifications .
Le volet Configurer l’agent de révision des modifications répertorie les autorisations requises et fournit des détails sur la configuration requise. Lorsque les conditions requises sont remplies, sélectionnez Démarrer l’agent.
L’agent fonctionne jusqu’à ce qu’il termine son évaluation et affiche les résultats sous l’onglet Vue d’ensemble. Une fois l’exécution terminée, l’agent est prêt à être utilisé.
Pour en savoir plus sur l’utilisation de l’agent, consultez Utiliser l’agent de révision des modifications.
Supprimer l’agent
Lorsque vous supprimez un agent, toutes les données associées générées, y compris les suggestions et les activités, sont supprimées. Les suggestions précédemment appliquées restent inchangées.
Étapes de suppression d’un agent instance :
- Dans le centre d’administration Microsoft Intune, sélectionnez Agents.
- Sélectionnez l’agent instance que vous souhaitez supprimer.
- Sélectionnez Supprimer l’agent et confirmez la suppression.
Après la suppression :
- Le volet agent revient à son état d’origine.
- Un administrateur peut réinstaller l’agent ultérieurement en répétant le processus d’installation.
Contribuer à façonner l’avenir des agents Intune
Rejoignez notre forum de commentaires Intune Agents pour partager des insights et influencer les fonctionnalités à venir dans Microsoft Intune.
Inscrivez-vous et apprenez-en davantage : https://aka.ms/IntuneAgentsForum