Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O agente de otimização de acesso condicional ajuda a garantir que todos os usuários, aplicativos e identidades de agente sejam protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar as políticas existentes, com base nas práticas recomendadas alinhadas com a Confiança Zero e os aprendizados da Microsoft. O agente também cria relatórios de revisão de política (versão prévia), que fornecem insights sobre picos ou quedas que podem indicar uma configuração incorreta da política.
O agente de otimização de acesso condicional avalia políticas como exigir MFA (autenticação multifator), impor controles baseados em dispositivo (conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio) e bloquear a autenticação herdada e o fluxo de código do dispositivo. O agente também avalia todas as políticas habilitadas existentes para propor uma possível consolidação de políticas semelhantes. Quando o agente identifica uma sugestão, você pode fazer com que o agente atualize a política associada com um só clique de correção.
Importante
A integração do ServiceNow no agente de otimização de acesso condicional está atualmente em VERSÃO PRÉVIA. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Pré-requisitos
- Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- Em média, cada execução de agente consome menos de uma SCU.
- Você deve ter a função apropriada do Microsoft Entra.
- O Administrador de Segurança é necessário para ativar o agente na primeira vez.
- As funções Leitor de Segurança e Leitor Global podem exibir o agente e qualquer sugestão, mas não podem executar nenhuma ação.
- As funções Administrador de Acesso Condicional e Administrador de Segurança podem exibir o agente e tomar medidas sobre as sugestões.
- Você pode atribuir Administradores de Acesso Condicional com acesso ao Copilot da Segurança, para fornecer aos Administradores de Acesso Condicional a capacidade de usar também o agente.
- Para obter mais informações, consulte Atribuir acesso ao Copilot de Segurança.
- Os controles baseados em dispositivo exigem licenças do Microsoft Intune.
- Examine a privacidade e a segurança de dados no Microsoft Security Copilot.
Limitações
- Depois que os agentes são iniciados, eles não podem ser parados ou pausados. Pode levar alguns minutos para ser executado.
- Para a consolidação de políticas, cada execução de agente analisa apenas quatro pares de política semelhantes.
- É recomendável executar o agente no Centro de administração do Microsoft Entra.
- A verificação é limitada a um período de 24 horas.
- As sugestões do agente não podem ser personalizadas ou substituídas.
- O agente pode examinar até 300 usuários e 150 aplicativos em uma única execução.
Como funciona
O agente de otimização de acesso condicional verifica seu ambiente em busca de novos usuários, aplicativos e identidades de agente nas últimas 24 horas e determina se as políticas de acesso condicional são aplicáveis. Se o agente encontrar usuários, aplicativos ou identidades de agente que não estão protegidas por políticas de Acesso Condicional, ele fornecerá as próximas etapas sugeridas, como ativar ou modificar uma política de Acesso Condicional. Você pode examinar a sugestão, como o agente identificou a solução e o que seria incluído na política.
Sempre que o agente é executado, ele realiza as etapas a seguir. Essas etapas de verificação inicial não consomem SCUs.
- O agente verifica todas as políticas de Acesso Condicional em seu locatário.
- O agente verifica se há lacunas de política e se alguma política pode ser combinada.
- O agente revisa as sugestões anteriores para que não sugira a mesma política novamente.
Se o agente identificar algo que não foi sugerido anteriormente, ele tomará as etapas a seguir. Essas etapas de ação do agente consomem SCUs.
- O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
- O agente avalia as instruções personalizadas fornecidas.
- O agente cria uma nova política no modo somente relatório ou fornece a sugestão para modificar uma política, incluindo qualquer lógica fornecida pelas instruções personalizadas.
Observação
O Security Copilot requer que pelo menos uma SCU seja provisionada no seu tenant, mas essa SCU é cobrada a cada mês, mesmo que você não consuma nenhuma SCU. Desativar o agente não interrompe a cobrança mensal do SCU.
As sugestões de política identificadas pelo agente incluem:
- Exigir MFA: o agente identifica usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
- Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivo, como conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio.
- Bloquear autenticação herdada: contas de usuário com autenticação herdada são impedidas de entrar.
- Bloquear o fluxo de código do dispositivo: o agente procura uma política bloqueando a autenticação de fluxo de código do dispositivo.
- Usuários arriscados: o agente sugere uma política para exigir alteração de senha segura para usuários de alto risco. Requer uma licença Microsoft Entra ID P2.
- Entradas arriscadas: o agente sugere uma política para exigir autenticação multifator para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
- Agentes arriscados: o agente sugere uma política para bloquear a autenticação para entradas de alto risco. Requer a licença do Microsoft Entra ID P2.
- Consolidação da política: o agente examina sua política e identifica as configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugerirá a consolidação dessas políticas em uma só.
- Análise profunda: o agente analisa políticas que correspondem a cenários-chave para identificar políticas excedidas que têm mais do que um número recomendado de exceções (levando a lacunas inesperadas na cobertura) ou nenhuma exceção (levando a um possível bloqueio).
Importante
O agente não faz nenhuma alteração nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.
Todas as novas políticas sugeridas pelo agente são criadas no modo somente relatório.
Duas políticas poderão ser consolidadas se forem diferentes por não mais do que duas condições ou controles.
Como começar
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Na nova página inicial, selecione Ir para agentes no cartão de notificações do agente.
- Você também pode selecionar Agentes no menu de navegação à esquerda.
Selecione Exibir detalhes no bloco do Agente de Otimização de Acesso Condicional.
Selecione Iniciar agente para iniciar sua primeira execução. Evite usar uma conta com uma função ativada por meio do PIM.
Quando a página de visão geral do agente é carregada, todas as sugestões aparecem na caixa Sugestões recentes . Se uma sugestão foi identificada, você pode examinar a política, determinar o impacto da política e aplicar as alterações, se necessário. Para obter mais informações, consulte Examinar e aprovar sugestões do agente de Acesso Condicional.
Remover agente
Se você não quiser mais usar o agente de otimização de acesso condicional, selecione Remover agente na parte superior da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas todas as políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente permanecem inalteradas para que você possa continuar a usar as políticas criadas ou modificadas pelo agente.
Fornecendo comentários
Use o botão Fornecer comentários da Microsoft na parte superior da janela do agente para fornecer comentários à Microsoft sobre o agente.
FAQs
Quando devo usar o Chat do Agente de Otimização de Acesso Condicional vs Copilot?
Ambos os recursos fornecem insights diferentes sobre suas políticas de Acesso Condicional. A tabela a seguir fornece uma comparação dos dois recursos:
| Scenario | Agente de Otimização de Acesso Condicional | Bate-papo do Copiloto |
|---|---|---|
| Cenários genéricos | ||
| Utilizar a configuração específica do locatário | ✅ | |
| Raciocínio avançado | ✅ | |
| Insights sob demanda | ✅ | |
| Solução de problemas interativa | ✅ | |
| Avaliação de política contínua | ✅ | |
| Sugestões de melhoria automatizadas | ✅ | |
| Obtenha orientações sobre práticas recomendadas e configuração de Autoridade Certificadora. | ✅ | ✅ |
| Cenários específicos | ||
| Identificar usuários ou aplicativos desprotegidos proativamente | ✅ | |
| Aplicar MFA e outros controles básicos para todos os usuários | ✅ | |
| Monitoramento contínuo e otimização de políticas de CA | ✅ | |
| Alterações de política com um clique | ✅ | |
| Examinar as políticas e atribuições de AC existentes (as políticas se aplicam a Alice?) | ✅ | ✅ |
| Solucionar problemas de acesso de um usuário (por que a MFA foi solicitada para Alice?) | ✅ |
Ativei o agente, mas vejo "Falha" no status da atividade. O que está a acontecer?
É possível que o agente tenha sido habilitado com uma conta que exija ativação de função com o PIM (Privileged Identity Management). Portanto, quando o agente tentou executar, ele falhou porque a conta não tinha as permissões necessárias naquele momento.
Você pode resolver esse problema migrando para usar a ID do Agente do Microsoft Entra. Selecione Criar identidade do agente a partir da mensagem na faixa na página do agente ou da seção Identidade e permissões das configurações do agente.