Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Na pré-visualização pública, o Agente de Revisão de Alterações do Microsoft Intune utiliza a IA gerada do Microsoft Security Copilot para avaliar pedidos de Aprovação multi Administração para scripts do PowerShell em dispositivos Windows. Fornece recomendações baseadas em riscos e informações contextuais para ajudar os administradores a compreender o comportamento do script e os riscos associados. Estas informações ajudam os administradores Intune a tomar decisões informadas mais rapidamente sobre a aprovação ou negação de pedidos.
Para gerar estas recomendações, o agente agrega sinais de várias origens:
- Gerenciamento de Vulnerabilidades do Microsoft Defender - para informações sobre ameaças
- Microsoft -Entra ID - para risco de identidade
- Microsoft Intune - para pedidos de Aprovação multi Administração e contexto histórico de pedidos semelhantes
O agente analisa estes sinais para avaliar o risco potencial associado a cada pedido e, em seguida, fornece informações acionáveis para suportar uma gestão de alterações segura e eficiente.
Pré-requisitos
Requisitos da cloud
O agente é suportado apenas na cloud pública. Não é suportado em clouds governamentais.
Requisitos de licenciamento
Para utilizar Security Copilot agentes no Microsoft Intune, a sua organização tem de cumprir requisitos de licenciamento específicos.
Licenças necessárias:
- Microsoft Intune (plano 1) subscrição
- Microsoft Entra ID P2
- Gerenciamento de Vulnerabilidades do Microsoft Defender
- Microsoft Security Copilot com unidades de computação de segurança (SCUs) suficientes
Requisitos de plug-ins
Os plug-ins permitem que Security Copilot agentes se liguem aos serviços Microsoft e executem ações especializadas.
O Agente de Revisão de Alterações requer os seguintes plug-ins:
Requisitos e cenários da plataforma
O agente suporta avaliações e recomendações para as seguintes plataformas e cenários:
- Windows
- Scripts do PowerShell no Intune
Requisitos de funções
Os requisitos de função variam consoante esteja a configurar o agente ou a utilizá-lo e nas ações específicas executadas.
Para ativar e configurar o Agente de Revisão de Alterações, utilize uma conta com as seguintes funções:
Funções de Entra:
- Administrador do Intune
- Leitor de Segurança
- Utilizador de risco Entra/Identity (leitura) – esta permissão mapeia para a postura de Segurança/Risco de identidade/Risco de identidade/Utilizadores de risco unificados (leitura).
Funções do Defender – as funções de controlo de acesso baseado em funções do Defender (RBAC) dependem da implementação Defender XDR:
RBAC unificado: atribua o Leitor de Segurança do Microsoft Entra ID à conta de identidade do agente. Esta função fornece acesso só de leitura aos dados Gerenciamento de Vulnerabilidades do Defender e impõe automaticamente o âmbito do grupo de dispositivos.
RBAC granular: atribua uma função RBAC personalizada com permissões equivalentes à função Leitor de Segurança RBAC Unificada. Por exemplo:
- Ver dados – Gerenciamento de Vulnerabilidades do Defender – esta permissão mapeia para a postura de Segurança/Gestão de postura/Gestão de posturas /Gestão de vulnerabilidades unificada (leitura).
Para obter detalhes sobre as permissões de mapeamento para a função Leitor de Segurança RBAC Unificada, veja Microsoft Entra Acesso a funções globais no artigo Map Microsoft Defender XDR Controlo de acesso baseado em funções unificado (RBAC) na documentação do Defender.
Certifique-se de que a identidade do agente está confinada no Microsoft Defender para incluir todos os grupos de dispositivos relevantes. O agente não consegue aceder ou reportar em dispositivos fora do âmbito atribuído.
Security Copilot funções:
Para utilizar o agente e realizar ações de exclusão, utilize uma conta com as seguintes funções:
Intune funções:
- Operador Só de Leitura ou função personalizada com permissões equivalentes.
- A utilização do agente requer o mesmo acesso que ativar e configurar o agente.
Como funciona o agente
O Agente de Revisão de Alterações funciona com uma identidade de conta de administrador Intune e é executado manualmente quando um administrador a inicia.
A um nível elevado, o agente efetua os seguintes passos sempre que é executado:
Agregação de sinais – o agente começa por agregar sinais das seguintes origens:
- Gerenciamento de Vulnerabilidades do Microsoft Defender - para informações sobre ameaças
- Microsoft Entra ID - para risco de identidade
- Microsoft Intune - para pedidos de Aprovação multi Administração e contexto histórico de pedidos semelhantes
Avaliação – o agente avalia Windows PowerShell scripts para pedidos de Aprovação multi Administração com a lógica predefinida incorporada na configuração do agente.
Recomendações – o agente revê e, em seguida, fornece recomendações para um máximo de 10 pedidos por execução.
As sugestões são apenas sugestões . A aprovação ou rejeição de um pedido permanece com um administrador Intune.
A primeira coluna da lista de recomendações apresenta Passos Seguintes Sugeridos, que apresentam a ação recomendada seguida do nome do pedido. As ações possíveis incluem:
- Aprovar – pedido de baixo risco; provavelmente seguro para aprovar.
- Rejeitar - Pedido de alto risco; não deve ser aprovado.
- Precisa de mais informações - O risco não pôde ser totalmente avaliado. Este pedido requer uma revisão adicional.
Cada recomendação inclui detalhes de suporte que explicam:
- A lógica subjacente à recomendação do agente.
- O que o script se destina a realizar ou fazer.
- Uma lista detalhada dos fatores que o agente reviu como parte do processo.
Identidade do agente
O agente é executado sob a identidade e as permissões da conta de administrador Intune utilizada durante a configuração. As ações do agente estão limitadas às permissões dessa conta e a identidade é atualizada com cada execução. Se o agente não for executado durante 90 dias consecutivos, a autenticação expirará e as execuções subsequentes falharão até que seja renovada. Para manter a funcionalidade, renove a identidade do agente antes do limite de 90 dias.
Considerações operacionais
Antes de configurar e iniciar o agente pela primeira vez, reveja as seguintes considerações:
- Um administrador tem de iniciar manualmente o agente. Uma vez iniciado, não existe nenhuma opção para parar ou colocar em pausa.
- O agente só pode ser iniciado a partir do centro de administração do Microsoft Intune.
- Os detalhes da sessão no portal Microsoft Security Copilot são visíveis apenas para o utilizador que configurou o agente.
- O agente revê e, em seguida, fornece recomendações para um máximo de 10 pedidos por execução.
- Apenas uma instância de agente é suportada por contexto de inquilino/utilizador.
Configurar o agente
O agente funciona sob a identidade e as permissões da conta de administrador Intune utilizada durante a configuração. As operações estão limitadas às permissões dessa conta e a identidade é atualizada com cada execução. Quaisquer alterações às permissões da conta afetam as capacidades do agente durante a próxima execução.
Para configurar o Agente de Revisão de Alterações:
No centro de administração do Microsoft Intune, aceda aAgente de Revisão de Alterações de Agentes>.
Em Descrição Geral, selecione Configurar Agente para abrir o painel Configurar Agente de revisão de alterações .
O painel Configurar Agente de revisão de alterações lista as permissões necessárias e fornece detalhes sobre os requisitos de configuração. Quando os requisitos forem cumpridos, selecione Iniciar agente.
O agente funciona até concluir a avaliação e apresenta os resultados no separador Descrição geral. Quando a execução for concluída, o agente estará pronto para ser utilizado.
Para saber mais sobre como utilizar o agente, veja Utilizar o Agente de Revisão de Alterações.
Remover o agente
Quando remove um agente, todos os dados associados gerados, incluindo sugestões e atividades, são eliminados. As sugestões aplicadas anteriormente permanecem inalteradas.
Passos para remover uma instância de agente:
- No centro de administração do Microsoft Intune, selecione Agentes.
- Selecione a instância do agente que pretende remover.
- Selecione Remover agente e confirme a remoção.
Após a remoção:
- O painel do agente regressa ao estado original.
- Um administrador pode reinstalar o agente mais tarde ao repetir o processo de configuração.
Ajudar a moldar o futuro dos agentes Intune
Junte-se ao nosso Fórum de Comentários dos Agentes Intune para partilhar informações e influenciar as capacidades futuras no Microsoft Intune.
Inscreva-se e saiba mais: https://aka.ms/IntuneAgentsForum