Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Pożegnaj się z czasochłonnych badań i niepewności pośpiechu decyzji. Agent przeglądu dostępu działa dla recenzentów, automatycznie zbierając szczegółowe informacje i generując zalecenia. Następnie prowadzi recenzentów przez proces przeglądu w usłudze Microsoft Teams z językiem naturalnym, z prostymi podsumowaniami i proponowanymi decyzjami, dzięki czemu mogą podejmować ostateczne wywołanie z ufnością i jasnością.
Wymagania wstępne
- Musisz mieć licencje microsoft Entra ID Governance lub Microsoft Entra Suite.
- Należy dołączyć do rozwiązania Security Copilot z co najmniej jedną aprowizowaną jednostką obliczeniową zabezpieczeń (SCU).
- Ukończenie przeglądu dostępu obejmującego 20 decyzji zużywa średnio 4,5 SCU. Obejmuje to agenta zbierającego szczegółowe informacje i generującego zalecenia oraz konwersację w języku naturalnym recenzenta w usłudze Microsoft Teams za pomocą agenta. Użycie jednostek SCU może się różnić w zależności od długości konwersacji między recenzentem a agentem.
- Administratorzy muszą mieć co najmniej wszystkie następujące role, aby skonfigurować agenta i zarządzać nim w centrum administracyjnym firmy Microsoft Entra:
- Aby recenzenci mogli korzystać z agenta przeglądu dostępu, muszą mieć dostęp do usługi Microsoft Teams i muszą mieć przypisany aktywny przegląd dostępu. Muszą również mieć przypisaną do nich co najmniej rolę Współautor copilot zabezpieczeń .
- Przegląd ochrony prywatności i bezpieczeństwa danych w rozwiązaniu Microsoft Security Copilot
Ograniczenia
- Po uruchomieniu agentów nie można ich zatrzymać ani wstrzymać. Uruchomienie może potrwać kilka minut.
- Zalecamy uruchomienie agenta z poziomu centrum administracyjnego firmy Microsoft Entra.
Obsługiwane scenariusze
W poniższych tabelach przedstawiono bieżącą obsługę agenta przeglądu dostępu na podstawie scenariuszy przeglądu:
| Scenario | Wsparte |
|---|---|
| Zasoby | |
| Zespoły i grupy | ✅ |
| Uzyskiwanie dostępu do przypisania pakietu | ✅ |
| Przypisanie aplikacji | ✅ |
| Role zasobów platformy Azure | ❌ |
| Role Microsoft Entra | ❌ |
| Grupy zarządzane przez usługę Privileged Identity Management | ❌ |
| rozmiar | |
| Do 35 decyzji (na recenzję, a nie recenzenta) | ✅ |
| >35 decyzji na przegląd | ❌ |
| Etapy | |
| Pojedynczy etap | ✅ |
| Wiele etapów | ❌ |
| Reviewers | |
| Specyficzny | ✅ |
| Właściciele grup | ✅ |
| Managers | ✅ |
| Samodzielne przeglądy | ❌ |
| Języki | |
| angielski | ✅ |
| Inne języki | ❌ |
Jak to działa
Agent przeglądu dostępu aktywnie skanuje pod kątem aktywnych przeglądów dostępu w dzierżawie, które są oflagowane do przetwarzania przez agenta. Następnie agent analizuje zidentyfikowane recenzje, zbierając dodatkowe szczegółowe informacje i generuje zalecenie (zatwierdzanie/odrzucanie) oraz podsumowanie uzasadnienia dla każdej decyzji. Gdy agent przeanalizuje zalecenia i odpowiednie podsumowania uzasadnienia, będzie mógł kierować recenzentami w języku naturalnym za pośrednictwem procesu przeglądu w usłudze Microsoft Teams. Recenzenci mogą wykonywać przeglądy za pośrednictwem środowiska czatu w języku naturalnym w usłudze Microsoft Teams. Gdy agent przeprowadzi ich przez przegląd, może przejrzeć rozumowanie agenta w związku z zaleceniami, zadawać pytania w kontekście samego przeglądu i podejmować własną świadomą decyzję.
Zalecenie agentów (zatwierdzanie/odrzucanie) dla każdej decyzji opiera się na deterministycznym mechanizmie oceniania obsługiwanym przez wiele sygnałów. Sygnały używane do rekomendacji są następnie używane do udostępniania przyjaznego dla użytkownika końcowego podsumowania uzasadnienia obsługiwanego przez duży model językowy (LLM). Kolejne środowisko czatu w języku naturalnym w usłudze Microsoft Teams jest obsługiwane przez duży model językowy z wcześniej wygenerowanymi zaleceniami i podsumowaniami uzasadnienia jako dostępnym kontekstem.
Agent uwzględnia następujące sygnały:
- Brak aktywności użytkownika: jeśli użytkownik zalogował się
- Przynależność użytkownika do grupy: jeśli użytkownik ma niską przynależność do innych użytkowników, którzy mają ten dostęp
- Włączone konto: jeśli konto użytkownika jest włączone (właściwość accountEnabled)
- Stan zatrudnienia: Jeśli zatrudnienie użytkownika zakończyło się (właściwość employeeLeaveDateTime)
- Historia przepływu pracy cyklu życia: jeśli użytkownik miał uruchomiony przepływ pracy mover w ciągu ostatnich 30 dni
- Decyzje z poprzednich przeglądów: w przypadku cyklicznych przeglądów decyzje z poprzednich iteracji przeglądu są brane pod uwagę
- Historia żądań dostępu: w przypadku przeglądów przypisań pakietów dostępu uwzględniana jest historia żądań i zatwierdzania
Uwaga / Notatka
Podsumowanie uzasadnienia zawiera informacje z tych sygnałów i jest dostępne dla recenzenta podczas procesu przeglądu, mimo że niektóre z tych informacji nie są dostępne dla recenzentów poza procesem przeglądu.
Jako administrator możesz przejrzeć zalecenia (zatwierdzać/odrzucać) i podsumowania uzasadnienia. Aby uzyskać szczegółowe informacje, zobacz Dzienniki i metryki agenta przeglądu programu Access (wersja zapoznawcza). Należy pamiętać, że zalecenia dotyczące agenta mogą się różnić od zaleceń wyświetlanych w portalu Mój dostęp i przegląd dostępu w centrum administracyjnym firmy Microsoft Entra.
Wprowadzenie
Konfigurowanie agenta przeglądu dostępu
W przypadku konta, które ma co najmniej wszystkie następujące role, zaloguj się do centrum administracyjnego firmy Microsoft Entra:
Na nowej stronie głównej wybierz pozycję Przejdź do agentów z karty powiadomień agenta.
- Możesz również wybrać pozycję Agenci z menu nawigacji po lewej stronie.
- Możesz również wybrać pozycję Agenci z menu nawigacji po lewej stronie.
Wybierz pozycję Wyświetl szczegóły na kafelku Agent przeglądu dostępu.
Wybierz Uruchom agenta, aby rozpocząć pierwsze uruchomienie.
- Unikaj korzystania z konta z rolą aktywowaną za pośrednictwem usługi PIM.
- W prawym górnym rogu zostanie wyświetlony komunikat "Agent uruchamia swój pierwszy przebieg".
- Wykonanie pierwszego uruchomienia może potrwać kilka minut.
Włączanie agenta przeglądu dostępu dla istniejących przeglądów dostępu
Po uruchomieniu agenta przeglądu dostępu należy oznaczyć przeglądy dostępu do przetworzenia przez agenta przeglądu dostępu. Agent przeglądu dostępu może przetwarzać zarówno nowe, jak i istniejące przeglądy dostępu. W poniższych sekcjach opisano flagowanie przeglądu dostępu do przetworzenia przez agenta przeglądu dostępu.
Włączanie agenta przeglądu dostępu dla istniejącej grupy i przeglądów dostępu aplikacji
Aby zaktualizować istniejący przegląd dostępu do przetworzenia przez agenta przeglądu dostępu, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zarządzania tożsamościami.
Przejdź do Zarządzanie Tożsamością>Przeglądy dostępu.
Wybierz przegląd dostępu, który ma obsługiwać agent.
Na stronie przeglądu dostępu wybierz pozycję Ustawienia w obszarze Zarządzaj, jeśli jest to przegląd jednorazowy lub Ustawienia w obszarze Seria, jeśli jest to przegląd cykliczny.
W obszarze Ustawienia zaawansowane zaznacz pole wyboru ustawienia z informacją Access Review Agent (wersja zapoznawcza).
Wybierz Zapisz.
Włączanie agenta przeglądu dostępu dla istniejących przeglądów przypisań pakietów dostępu
Aby zaktualizować istniejący przegląd dostępu do przetworzenia przez agenta przeglądu dostępu, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zarządzania tożsamościami.
Przejdź do zarządzania identyfikacją>zarządzania upoważnieniami>pakietu dostępu.
Wybierz pakiet dostępu, który ma obsługiwać agent.
Na stronie przeglądu pakietu dostępu wybierz pozycję Zasady, a następnie wybierz zasady, które chcesz zaktualizować, a następnie wybierz pozycję Edytuj.
Na stronie edytowanie zasad wybierz pozycję Cykl życia.
Na karcie cyklu życia wybierz pozycję Ustawienia przeglądu dostępu zaawansowanego i zaznacz pole wyboru Włącz w ustawieniu z informacją Access Review Agent (wersja zapoznawcza).
Wybierz Zapisz.
Upewnij się, że recenzenci mogą używać agenta przeglądu dostępu
Recenzenci uzyskują dostęp do agenta przeglądu dostępu za pośrednictwem aplikacji Microsoft Teams. Jeśli ustawienia aplikacji dla całej organizacji w twojej organizacji w twojej organizacji zezwalają aplikacjom firmy Microsoft na żadne działania. Jeśli Twoja organizacja wyłączyła aplikacje firmy Microsoft w ustawieniach aplikacji dla całej organizacji w aplikacji Microsoft Teams, administrator usługi Microsoft Teams organizacji musi jawnie zatwierdzić aplikację.
Należy również upewnić się, że wszyscy recenzenci mają co najmniej rolę Współautor zabezpieczeń Copilot , aby umożliwić im ukończenie przeglądów za pomocą agenta. Jest to wymagane, ponieważ konwersacja w języku naturalnym w usłudze Microsoft Teams otwiera sesję Copilot zabezpieczeń firmy Microsoft w tle. Uczestniczący recenzenci uzyskują dostęp do środowiska agentów za pośrednictwem usługi Microsoft Teams, ale przy przypisaniu roli będą mieli prawo dostępu do portalu Security Copilot lub środowiska Security Copilot w innych portalach administracyjnych usługi Microsoft Security. Jeśli recenzenci uzyskują dostęp do rozwiązania Security Copilot poza usługą Microsoft Teams, ich dostęp do danych za pomocą rozwiązania Security Copilot nadal podlega domyślnym uprawnieniam użytkownika.
Używanie agenta przeglądu dostępu jako recenzenta
Po uruchomieniu agenta przeglądu dostępu recenzenci przypisali odpowiednie uprawnienia, a aplikacja jest dla nich dostępna, recenzenci są teraz gotowi do ukończenia przeglądów za pomocą agenta. Dostęp do agenta przeglądu dostępu można uzyskać bezpośrednio w usłudze Microsoft Teams (link bezpośredni). Powiadomienia e-mail z przeglądem dostępu wysyłane do recenzentów będą również zawierać bezpośredni link do usługi Microsoft Teams.
Otwórz aplikację Microsoft Teams zalogowaną jako użytkownik przypisany jako recenzent.
Wybierz link Access Review Agent (Agent przeglądu dostępu ), aby otworzyć agenta
Na stronie Aplikacje wyszukaj pozycję Agent przeglądu dostępu i wybierz pozycję Dodaj.
Po dodaniu agenta wybierz pozycję Otwórz.
Po otwarciu możesz wybrać dostępny monit, aby rozpocząć czat z agentem
Ustawienia
Po włączeniu agenta można dostosować kilka ustawień. Dostęp do ustawień można uzyskać, wykonując następujące czynności w centrum administracyjnym firmy Microsoft Entra:
- W obszarze Agenci>uzyskaj dostęp do ustawień agenta>.
Wyzwalacz
Agent jest skonfigurowany do uruchamiania co 24 godziny na podstawie tego, kiedy jest on początkowo skonfigurowany. Można go uruchomić w określonym czasie, przełączając ustawienie Wyzwalacz , a następnie z powrotem, gdy chcesz go uruchomić.
Uwaga / Notatka
Jeśli recenzenci natychmiast reagują na powiadomienia e-mail dotyczące przeglądu dostępu, agent może jeszcze nie przetworzyć przeglądu. Dopiero po uruchomieniu agenta może on pomóc w przeglądach dostępu w usłudze Microsoft Teams. Jeśli odpowiesz przed wykonaniem przeglądu przez agenta, agent odpowie następującym komunikatem do recenzenta w usłudze Microsoft Teams: "Nie widzę żadnych oczekujących recenzji, które mogą Ci pomóc w tej chwili. Ponieważ moje możliwości wciąż się rozszerzają, zalecamy sprawdzenie portalu Mój dostęp, aby sprawdzić, czy masz jakiekolwiek inne oczekujące recenzje".
Usuwanie agenta
Jeśli nie chcesz już używać agenta przeglądu dostępu, wybierz pozycję Usuń agenta w górnej części okna agenta. Istniejące działanie agenta i metryki są usuwane, ale zalecenia i uzasadnienia dotyczące już przetworzonych przeglądów są zachowywane przez agenta w usłudze Microsoft Teams i nadal mogą pomóc recenzentom w tych recenzjach. Aby ukończyć usuwanie, należy również cofnąć opóźnienie przeglądów dostępu, które zostały wcześniej oflagowane do przetworzenia przez agenta.
Wyłączanie agenta przeglądu dostępu dla istniejących przeglądów dostępu grup i aplikacji
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zarządzania tożsamościami.
Przejdź do Zarządzanie ID>Przeglądy dostępu.
Wybierz przegląd dostępu z włączoną obsługą agenta.
Na stronie przeglądu dostępu wybierz pozycję Ustawienia w obszarze Zarządzaj, jeśli jest to przegląd jednorazowy lub Ustawienia w obszarze Seria, jeśli jest to przegląd cykliczny.
W obszarze Ustawienia zaawansowane usuń zaznaczenie pola w ustawieniu z informacją Access Review Agent (wersja zapoznawcza).
Wybierz Zapisz.
Wyłącz agenta przeglądu dostępu dla istniejących przeglądów przypisań pakietów dostępu
Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator zarządzania tożsamościami.
Przejdź do zarządzania identyfikacją>zarządzania upoważnieniami>pakietu dostępu.
Wybierz pakiet dostępu, który ma obsługiwać agent.
Na stronie przeglądu pakietu dostępu wybierz pozycję Zasady, a następnie wybierz zasady, które chcesz zaktualizować, a następnie wybierz pozycję Edytuj.
Na stronie edytowanie zasad wybierz pozycję Cykl życia.
Na karcie cyklu życia zaznacz pole Wyłącz w ustawieniu z informacją Access Review Agent (wersja zapoznawcza).
Wybierz Zapisz.
Odwoływanie dostępu do rozwiązania Security Copilot
Możesz odwołać dostęp współautora copilot zabezpieczeń recenzentów, jeśli żaden inny scenariusz nie wymaga dostępu do rozwiązania Security Copilot.
Tożsamość i uprawnienia
Unikalna tożsamość agenta powstaje, gdy agent zostaje włączony. Aby uzyskać więcej informacji, zobacz zarządzanie tożsamościami agentów.
Agent używa tej tożsamości do skanowania instancji pod kątem aktywnych przeglądów dostępu, zbierania dodatkowych szczegółowych informacji oraz zapisywania zaleceń i uzasadnień dla recenzenta. Aby uzyskać więcej informacji, zobacz: Jak to działa
Permissions
- Uzyskiwanie szczegółów dotyczących przeglądów dostępu
- Przeczytaj szczegóły i historię workflow cyklu życia dla użytkowników, grup, aplikacji oraz pakietów dostępu
- Zapisz zalecenia i uzasadnienia przeglądu dostępu
Ostateczne decyzje, przesłane za pośrednictwem konwersacji usługi Microsoft Teams, używają tożsamości recenzenta.
Na stronie ustawień agenta jest wyświetlana tożsamość aktualnie przypisana do agenta: 
Jeśli agent został wcześniej skonfigurowany przy użyciu tożsamości administratora, musisz przeprowadzić migrację do tożsamości dedykowanego agenta. Wykonaj tę migrację, wybierając opcję "Utwórz tożsamość agenta" znajdującą się na niebieskim banerze strony przeglądu agenta lub na stronie ustawień agenta.
Przekazywanie opinii
Użyj przycisku Przekaż opinię firmy Microsoft w górnej części okna agenta, aby przekazać opinię firmie Microsoft na temat agenta.
FAQs
Dlaczego agent w usłudze Microsoft Teams odpowiada za pomocą polecenia "Wygląda na to, że agent przeglądu dostępu nie został jeszcze włączony dla Twojej organizacji lub napotkał nieoczekiwane problemy. Skontaktuj się z działem IT, aby uzyskać pomoc. W międzyczasie możesz ukończyć oczekujące przeglądy w portalu Mój dostęp?
Jeśli agent odpowie za pomocą tego komunikatu, prawdopodobnie konfiguracja agenta, taka jak uruchomienie agenta, przypisanie recenzentom dostępu Security Copilot i włączenie agenta dla istniejących przeglądów, nie zostanie ukończone.
Dlaczego agent w usłudze Microsoft Teams odpowiada na "Rzeczy są w tej chwili nieco zajęte i nie mogłem teraz przetworzyć żądania. Czy możesz spróbować ponownie za chwilę? Jeśli spieszysz się, portal Mój dostęp jest zawsze dostępny."?
Agent odpowiada za pomocą tego komunikatu, jeśli dzierżawa jest poza aprowizowaną i nadwyżkową pojemnością rozwiązania Security Copilot.