Microsoft Entra 代理可以自动执行组织中的许多标识和访问管理作,以帮助减少手动工作负荷。 这些代理与 Microsoft Security Copilot 无缝协作,以自动执行重复任务、提供建议并帮助管理员专注于更高价值的战略工作。
Microsoft Entra 代理分析标识环境、应用最佳做法,并采取自动化作来提高标识和访问安全状况和运营效率。 它们使用组织的标识数据和配置直接与 Microsoft Entra 服务集成,以提供上下文、可作的见解。
什么是 entra 代理Microsoft?
Microsoft Entra 代理是 AI 驱动的工具,可在组织的标识环境中运行,以自动执行和优化标识和访问管理任务。 代理基于特定产品区域的概念和任务,例如条件访问。 这些代理可以:
- 自动执行例程任务 - 处理耗时、重复标识和访问管理作
- 提供建议 - 分析环境并根据Microsoft最佳做法和零信任原则建议改进
- 自主作 - 按计划或触发器运行以持续监视和优化标识基础结构
- 无缝集成 - 在组织的现有Microsoft Entra 工作流中工作
- 了解和适应 - 根据环境和反馈,随时间推移改进建议
每个代理的工作方式稍有不同,但在核心上,它们首先分析代理功能边界内的当前环境。 如果代理标识了差距、机会或潜在问题,则可以代表你采取措施。 每个代理都提供上下文、推理和活动历史记录,说明如何提出建议。
管理员可以将代理配置为自动运行,或触发代理手动运行。
由于每个代理都执行一组特定的任务,因此他们需要一组特定的配置才能在该任务的边界内运行。 管理员还需要某些Microsoft Entra 角色来设置和管理代理。
- 代理标识:启用代理时会创建唯一的代理标识。 详细了解 代理标识。
- 权限:代理标识被授予执行其任务所需的特定读取和写入权限。
- 基于角色的访问:管理员需要特定角色来设置、管理和使用代理。
可用Microsoft Entra 代理
以下代理当前可用于 Microsoft Entra。 由于这些代理的发布和更新速度较快,每个代理在可用性的各个阶段都有功能。 经常添加预览功能。
访问评审代理
使审阅者能够快速准确地做出访问决策。 具有 访问评审代理的 Microsoft Entra ID 治理 提供洞察和建议,以便审阅者可以通过简单的对话直接在 Microsoft Teams 内部完成工作。
| Attribute | Description |
|---|---|
| 身份 | 启用代理时,将创建用于授权的唯一 代理标识 。 代理使用此标识扫描租户以进行活动访问评审,收集其他见解,并保存其建议和审阅者的理由。 有关详细信息,请参阅: 工作原理。 最终决定(通过 Microsoft Teams 对话提交)使用审阅者的身份。 |
| Licenses | Microsoft Entra ID 管理或 Microsoft Entra Suite |
| Permissions | 获取访问审核的详细信息 阅读用户、组、应用和访问包的详细信息和生命周期工作流历史记录。 保存访问评审建议和理由 |
| 插件 | Microsoft Entra |
| Products | 身份治理与访问审查 |
| 基于角色的访问 | 标识治理管理员和生命周期工作流管理员都需要配置和使用代理 |
| Trigger | 每隔 24 小时运行一次或手动触发 |
应用程序生命周期管理代理(预览版)
应用生命周期管理代理(预览版)可帮助你管理 Microsoft Entra 中应用的完整生命周期,从发现和载入到风险修正和停用。 它将全局安全访问遥测数据中的标识和网络信号关联到未管理的私有应用程序和Microsoft Entra应用程序数据。 它提供明确的 AI 驱动建议,以减少应用蔓延并大规模实施治理。 此代理当前正在部署,可能无法在所有租户中使用。
| Attribute | Description |
|---|---|
| 身份 | 启用代理时,将创建用于授权的唯一 代理标识 。 代理使用特定权限扫描租户,以审核网络日志和应用程序数据,从而为应用程序管理提供见解和建议。 代理标识包括用于任何写入作(例如创建和禁用应用程序、消除建议以及发送电子邮件或 Teams 通知)的 基于角色的访问 。 |
| Licenses | 为应用风险修复建议 提供Microsoft Entra ID P2 或工作负载身份高级 P2,并为应用程序发现与入驻建议 提供Microsoft Entra Suite或Microsoft Entra Private Access许可证。 |
| Permissions | 全局安全访问网络日志的读取访问权限。 用户、应用程序和服务主体的读取访问权限。 Microsoft Entra 建议的读取权限。 |
| 插件 | Microsoft Entra |
| Products |
全局安全访问 Microsoft Entra建议 企业应用程序 应用管理 |
| 基于角色的访问 | 设置代理并管理代理: 云应用程序管理员 应用程序管理员 全局安全访问管理员 安全管理员 查看代理的输出建议: 报表读取者 安全读取器 Globl 读取器 |
条件访问优化代理
条件访问优化代理通过分析条件访问策略和建议改进来确保全面的用户保护。 代理根据Microsoft最佳做法和零信任原则评估当前策略配置。
| Attribute | Description |
|---|---|
| 身份 | 启用代理时,将创建用于授权的唯一 代理标识 。 代理使用此标识扫描租户的条件访问策略和配置,了解漏洞、重叠和配置错误。 |
| Licenses | Microsoft Entra ID P1 |
| Permissions | 查看策略配置 在仅限报表模式下创建新策略 建议需要审批的策略更改 |
| 插件 | Microsoft Entra |
| Products | Microsoft Entra 条件访问。 |
| 基于角色的访问 |
安全管理员用于配置代理 条件访问管理员需使用代理 |
| Trigger | 每隔 24 小时运行一次或手动触发 |
标识风险管理代理(预览版)
Microsoft Entra ID 保护中的 标识风险管理代理 可帮助管理员调查潜在风险、了解潜在影响,并采取果断行动来保护组织的关键资产。
| Attribute | Description |
|---|---|
| 身份 | 使用 Microsoft Entra 代理 ID 进行授权 |
| Licenses | Microsoft Entra 代理ID |
| Permissions | 阅读Microsoft Entra ID 保护风险检测和风险历史记录 读取登录和审核日志 读取用户信息 |
| 插件 | Microsoft Entra |
| Products |
安全副驾驶 Microsoft Entra ID 安全 |
| 基于角色的访问 | 安全管理员 |
| Trigger | 每隔 24 小时运行一次、手动触发或持续监视 |
Microsoft Entra 代理入门
先决条件
- 必须具有可用的安全计算单元(SCU)。
- 若要购买安全计算单位,需要拥有 Azure 订阅。 创建免费的 Azure 帐户。
- 查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性
设置过程
- 使用 安全 Copilot 设置指南启用安全 Copilot。
- 使用要配置的代理所需的最低特权角色登录到 Microsoft Entra 管理中心 。
- 浏览到 代理 ,然后选择要配置的代理的 “查看详细信息 ”。
Microsoft生态系统中的代理
虽然本文重点介绍 Microsoft Entra 代理,但其他Microsoft安全产品中提供了类似的代理。 有关详细信息,请参阅 Microsoft Intune、 Microsoft Defender 和 Microsoft Purview。