Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Diga adeus à pesquisa demorada e à incerteza de decisões apressadas. O Access Review Agent funciona para seus revisores coletando automaticamente informações e gerando recomendações. Em seguida, orienta os revisores através do processo de revisão no Microsoft Teams com linguagem natural, com resumos simples e decisões propostas, para que possam fazer a chamada final com confiança e clareza.
Pré-requisitos
- Você deve ter licenças do Microsoft Entra ID Governance ou do Microsoft Entra Suite.
- Você deve Integrar ao Security Copilot com pelo menos uma unidade de computação de segurança (SCU) provisionada.
- Completar uma revisão de acesso que inclui 20 decisões consome, em média, 4,5 SCU. Isso inclui o agente coletando insights e gerando recomendações e a conversa em linguagem natural do revisor no Microsoft Teams com o agente. O consumo de SCU pode variar de acordo com a duração da conversa entre o revisor e o agente.
- Os administradores devem ter pelo menos todas as seguintes funções para configurar e gerenciar o agente no centro de administração do Microsoft Entra:
- Para que os revisores usem o Access Review Agent, eles devem ter acesso ao Microsoft Teams e devem ter uma revisão de acesso ativa atribuída a eles. Eles também devem ter pelo menos a função de Colaborador do Copiloto de Segurança atribuída a eles.
- Revise a privacidade e a segurança de dados no Microsoft Security Copilot
Limitações
- Depois que os agentes são iniciados, eles não podem ser interrompidos ou pausados. Pode demorar alguns minutos a executar.
- Recomendamos executar o agente a partir do centro de administração do Microsoft Entra.
Cenários suportados
As tabelas a seguir mostram o suporte atual ao Access Review Agent com base em cenários de revisão:
| Scenario | Suportado |
|---|---|
| Recursos | |
| Equipas + Grupos | ✅ |
| Atribuição de pacote de acesso | ✅ |
| Atribuição de candidatura | ✅ |
| Funções de recurso do Azure | ❌ |
| Funções do Entra da Microsoft | ❌ |
| Grupos gerenciados pelo Privileged Identity Management | ❌ |
| Tamanho | |
| Até 35 decisões (por revisão, não por revisor) | ✅ |
| >35 decisões por revisão | ❌ |
| FASES | |
| Fase única | ✅ |
| Multi-estágio | ❌ |
| Reviewers | |
| Específicos | ✅ |
| Proprietários de grupos | ✅ |
| Managers | ✅ |
| Autoavaliações | ❌ |
| Idiomas | |
| Inglês | ✅ |
| Outras linguagens | ❌ |
Como funciona
O Agente de Revisão de Acesso verifica proativamente se há revisões de acesso ativas em seu locatário que são sinalizadas para processamento pelo agente. Em seguida, o agente analisa as avaliações identificadas, reunindo insights extras, e gera uma recomendação (aprovar/negar) e um resumo de justificativa para cada decisão. Uma vez que o agente analisa as recomendações e os resumos de justificação correspondentes, é capaz de orientar os revisores, em linguagem natural, através do processo de revisão no Microsoft Teams. Os revisores podem concluir suas avaliações por meio da experiência de bate-papo em linguagem natural no Microsoft Teams. À medida que o agente os orienta através da revisão, ele é capaz de rever o raciocínio do agente por trás das recomendações, fazer perguntas no contexto da própria revisão e, finalmente, tomar sua própria decisão informada.
A recomendação dos agentes (aprovar/negar) para cada decisão depende de um mecanismo de pontuação determinístico alimentado por múltiplos sinais. Os sinais usados para a recomendação são então usados para fornecer um resumo de justificação amigável para o usuário final alimentado por um modelo de linguagem grande (LLM). A experiência subsequente de bate-papo em linguagem natural no Microsoft Teams é facilitada pelo modelo de linguagem grande com recomendações geradas anteriormente e resumos de justificativa conforme contexto disponível.
O agente considera os seguintes sinais:
- Inatividade do usuário: se o usuário tiver entrado
- Afiliação de usuário para grupo: se o usuário tiver uma baixa afiliação com outros usuários que tenham esse acesso
- Conta habilitada: se a conta do usuário estiver habilitada (propriedade accountEnabled)
- Status de emprego: Se o emprego do usuário terminou (propriedade employeeLeaveDateTime)
- Histórico do fluxo de trabalho do ciclo de vida: se o usuário tiver executado um fluxo de trabalho de movimentação nos últimos 30 dias
- Decisões de avaliações anteriores: para avaliações recorrentes, as decisões de iterações de revisão anteriores são consideradas
- Histórico de solicitações de acesso: para revisões de atribuição de pacotes de acesso, o histórico de solicitações e aprovação é considerado
Observação
O resumo da justificação inclui informações desses sinais e está disponível para o revisor durante o processo de revisão, mesmo que algumas dessas informações não estejam disponíveis para os revisores fora do processo de revisão.
Como administrador, você pode revisar as recomendações (aprovar/negar) e os resumos de justificativas. Para obter detalhes, consulte Logs e métricas do Access Review Agent (Visualização). Observe que as recomendações do agente podem diferir das recomendações mostradas no portal Meu Acesso e na experiência de Revisão do Access no centro de administração do Microsoft Entra.
Como Começar
Configurando o agente de revisão de acesso
Com uma conta que tenha pelo menos todas as seguintes funções, entre no centro de administração do Microsoft Entra:
Na nova página inicial, selecione Ir para agentes no cartão de notificação do agente.
- Você também pode selecionar Agentes no menu de navegação à esquerda.
- Você também pode selecionar Agentes no menu de navegação à esquerda.
Selecione Exibir detalhes no bloco Agente de revisão de acesso.
Selecione Iniciar agente para iniciar sua primeira execução.
- Evite usar uma conta com uma função ativada através do PIM.
- Uma mensagem que diz "O agente está iniciando sua primeira execução" aparece no canto superior direito.
- A primeira execução pode levar alguns minutos para ser concluída.
Habilitar o agente de revisão de acesso para revisões de acesso existentes
Depois que o Agente de Revisão de Acesso for iniciado, você deve sinalizar as revisões de acesso a serem processadas pelo Agente de Revisão de Acesso. O Access Review Agent é capaz de processar revisões de acesso novas e existentes. As seções a seguir orientam você na sinalização da revisão de acesso a ser processada pelo Agente de Revisão de Acesso.
Habilitar o agente de revisão de acesso para revisões de acesso a grupos e aplicativos existentes
Para atualizar uma revisão de acesso existente a ser processada pelo Agente de Revisão de Acesso, execute as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até ID Governance>Revisões de Acesso.
Selecione a revisão de acesso que você deseja que o agente suporte.
Na página de visão geral da revisão de acesso, selecione Configurações em Gerenciar, se for uma revisão única, ou Configurações em Série, se for uma revisão recorrente.
Em Configurações Avançadas, marque a caixa na configuração que diz Agente de Revisão de Acesso (Visualização).
Selecione Guardar.
Habilitar o Agente de Revisão de Acesso para revisões de atribuição de pacotes de acesso existentes
Para atualizar uma revisão de acesso existente a ser processada pelo Agente de Revisão de Acesso, execute as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de ID>Gestão de Permissões>Pacote de Acesso.
Selecione o pacote de acesso que você deseja que o agente suporte.
Na página de visão geral do pacote de acesso, selecione Políticas, selecione a política que deseja atualizar e selecione Editar.
Na página editar política, selecione Ciclo de vida.
Na guia Ciclo de vida, selecione Configurações de Revisão de Acesso Avançado e marque a caixa Habilitar na configuração que diz Agente de Revisão de Acesso (Visualização).
Selecione Guardar.
Garantir que os revisores possam usar o Agente de Revisão de Acesso
Os revisores acessam o Access Review Agent por meio de um aplicativo Microsoft Teams. Se as configurações do aplicativo Microsoft Teams em toda a organização da sua organização permitirem aplicativos da Microsoft, nenhuma ação será necessária. Se a sua organização tiver desativado as aplicações Microsoft nas definições da aplicação para toda a organização do Microsoft Teams, o administrador do Microsoft Teams da sua organização tem de aprovar explicitamente a aplicação.
Você também deve garantir que todos os revisores tenham pelo menos a função de Colaborador do Copiloto de Segurança para que possam usar o agente para concluir suas avaliações. Isso é necessário porque a conversa em linguagem natural no Microsoft Teams está abrindo uma sessão do Microsoft Security Copilot nos bastidores. Os revisores participantes acessam a experiência de agente por meio do Microsoft Teams, mas com a atribuição de função eles terão direito a acessar o portal Security Copilot ou a experiência Security Copilot em outros portais administrativos de Segurança da Microsoft. Se os revisores acessarem o Security Copilot fora do Microsoft Teams, o acesso aos dados com o Security Copilot ainda estará sujeito às permissões de usuário padrão.
Usando o Access Review Agent como revisor
Com o Access Review Agent iniciado, os revisores receberam as permissões adequadas e, com o aplicativo disponível para eles, os revisores agora estão prontos para concluir suas avaliações com a ajuda do agente. O Access Review Agent pode ser acessado diretamente no Microsoft Teams (link direto). As notificações por e-mail de revisão de acesso enviadas aos revisores também incluirão um link direto para o Microsoft Teams.
Abra seu aplicativo Microsoft Teams conectado como o usuário atribuído como revisor.
Selecione o link Access Review Agent para abrir o agente
Na página Aplicativos, pesquise Access Review Agent e selecione Adicionar.
Depois que o agente for adicionado, selecione Abrir.
Quando aberto, você pode selecionar o prompt disponível para iniciar o bate-papo com o agente
Configurações
Quando o agente estiver ativado, você poderá ajustar algumas configurações. Você pode acessar as configurações fazendo o seguinte no centro de administração do Microsoft Entra:
- Em Agents>Access Revise>.
Acionador
O agente é configurado para ser executado a cada 24 horas com base em quando é configurado inicialmente. Você pode executá-lo em um momento específico alternando a configuração Gatilho e, em seguida, reativando quando quiser que ele seja executado.
Observação
Se os revisores responderem imediatamente às notificações por e-mail de revisão de acesso, o agente pode ainda não ter processado a avaliação. Somente depois que o agente é executado é que ele é capaz de ajudar com revisões de acesso no Microsoft Teams. Se você responder antes que o agente processe a revisão, o agente responderá com a seguinte mensagem ao revisor no Microsoft Teams: "Não vejo nenhuma revisão pendente com a qual eu possa ajudá-lo no momento. Como meus recursos ainda estão em expansão, recomendo que você verifique o Portal Meu Acesso para ver se você tem outras revisões pendentes.'
Remoção do agente
Se você não quiser mais usar o Access Review Agent, selecione Remover agente na parte superior da janela do agente. A atividade e as métricas existentes do agente são removidas, mas as recomendações e justificativas para revisões já processadas são retidas pelo agente no Microsoft Teams e continuam a ser capazes de ajudar os revisores com essas avaliações. Para concluir a remoção, você também deve desmarcar as revisões de acesso sinalizadas anteriormente para serem processadas pelo agente.
Desabilitar o agente de revisão de acesso para revisões de acesso a grupos e aplicativos existentes
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de Identidade>Revisões de Acesso.
Selecione a revisão de acesso que tem o suporte ao agente habilitado.
Na página de visão geral da revisão de acesso, selecione Configurações em Gerenciar, se for uma revisão única, ou Configurações em Série, se for uma revisão recorrente.
Em Configurações avançadas, desmarque a caixa na configuração que diz Access Review Agent (Preview).
Selecione Guardar.
Desabilitar o Agente de Revisão de Acesso para revisões de atribuição de pacotes de acesso existentes
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.
Navegue até Governança de ID>Gestão de Permissões>Pacote de Acesso.
Selecione o pacote de acesso que você deseja que o agente suporte.
Na página de visão geral do pacote de acesso, selecione Políticas, selecione a política que deseja atualizar e selecione Editar.
Na página editar política, selecione Ciclo de vida.
Na guia ciclo de vida, marque a caixa Desabilitar na configuração que diz Access Review Agent (Preview).
Selecione Guardar.
Revogar o acesso ao Copilot de Segurança
Talvez você queira revogar o acesso do Colaborador do Copiloto de Segurança dos revisores se nenhum outro cenário exigir que eles acessem o Copiloto de Segurança.
Identidade e permissões
Uma identidade única de agente é criada quando o agente é ativado. Para mais informações, veja: gerir identidades de agentes.
O agente utiliza esta identidade para analisar o seu locatário em busca de revisões de acesso ativas, recolher informações adicionais e armazenar as suas recomendações e justificações para o revisor. Para mais informações, veja: Como funciona
Permissions
- Obter detalhes para avaliações de acesso
- Leia os detalhes e o histórico do fluxo de trabalho do ciclo de vida para usuários, grupos, aplicativos e pacotes de acesso
- Guardar recomendações e justificações de revisão de acesso
As decisões finais, submetidas através da conversa Microsoft Teams, utilizam a identidade do revisor.
A página de definições do agente mostra a identidade atualmente atribuída ao agente: 
Se o seu agente foi previamente configurado com a identidade de um administrador, deve migrá-lo para uma identidade de agente dedicada. Complete esta migração selecionando a opção "Criar identidade de agente" localizada no banner azul da página de visão geral do agente ou na página de definições do agente.
Fornecer comentários
Use o botão Dar comentários à Microsoft na parte superior da janela do agente para fornecer comentários à Microsoft sobre o agente.
FAQs
Por que o agente no Microsoft Teams está respondendo com "Parece que o Access Review Agent ainda não foi habilitado para sua organização ou encontrou problemas inesperados. Entre em contato com seu departamento de TI para obter assistência. Enquanto isso, você pode concluir suas avaliações pendentes no Portal Meu Acesso'?
Se o agente responder com essa mensagem, é provável que a configuração do agente, como iniciar o agente, atribuir aos revisores acesso ao Copiloto de Segurança e habilitar o agente para revisões existentes, não tenha sido concluída.
Por que o agente do Microsoft Teams está respondendo com "As coisas estão um pouco ocupadas no momento, e eu não consegui processar sua solicitação agora. Poderia, por favor, tentar novamente daqui a pouco? Se tiver pressa, o Portal Meu Acesso está sempre disponível.'?
O agente responderá com esta mensagem se o locatário estiver sem capacidade do Copilot de Segurança provisionado e excedido.