告别耗时的研究和紧急决策的不确定性。 Access Review 代理通过自动收集见解和生成建议来为审阅者工作。 然后,它将指导审阅者使用自然语言Microsoft Teams 中的评审过程,并提供简单的摘要和建议的决定,以便他们能够自信和清晰地进行最终调用。
先决条件
- 必须具有 Microsoft Entra ID 治理或 Microsoft Entra Suite 许可证。
- 必须加入安全 Copilot 并至少预配了一个安全计算单元(SCU)。
- 完成包含 20 个决策的访问评审平均消耗 4.5 SCU。 这包括代理收集见解并生成建议,以及与代理Microsoft Teams 中的审阅者自然语言对话。 SCU 消耗量可能因审阅者与代理之间的会话长度而异。
- 管理员必须至少具有以下 所有 角色才能在 Microsoft Entra 管理中心中设置和管理代理:
- 对于使用访问评审代理的审阅者,他们必须有权访问 Microsoft Teams,并且必须具有分配给他们的活动访问评审。 他们还必须至少具有分配给他们的 安全 Copilot 参与者 角色。
- 查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性
局限性
- 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
- 建议从 Microsoft Entra 管理中心运行代理。
支持的方案
下表显示了基于评审方案的当前访问评审代理支持:
| Scenario | 已支持 |
|---|---|
| 资源 | |
| Teams + 组 | ✅ |
| 访问包分配 | ✅ |
| 应用程序分配 | ✅ |
| Azure 资源角色 | ❌ |
| Microsoft Entra 角色 | ❌ |
| Privileged Identity Management 管理的组 | ❌ |
| 大小 | |
| 最多 35 项决策(每个评审,而不是审阅者) | ✅ |
| >每个评审 35 个决策 | ❌ |
| 阶段 | |
| 单阶段 | ✅ |
| 多阶段 | ❌ |
| 审阅者 | |
| 特定 | ✅ |
| 组所有者 | ✅ |
| Managers | ✅ |
| 自我评论 | ❌ |
| 语言 | |
| 英语 | ✅ |
| 其他语言 | ❌ |
工作原理
访问评审代理会主动扫描租户中标记为要由代理处理的主动访问评审。 然后,代理通过收集额外的见解来分析识别的评审,并为每个决策生成建议(批准/拒绝)和理由摘要。 代理分析建议和相应的理由摘要后,就可以通过 Microsoft Teams 中的评审过程,以自然语言指导审阅者。 审阅者有权通过 Microsoft Teams 中的自然语言聊天体验完成评审。 当代理引导他们完成评审时,他们能够审查代理的建议背后的推理,在审查本身的上下文中提出问题,最后做出自己的明智的决定。
每个决策的代理建议(批准/拒绝)依赖于由多个信号提供支持的确定性评分机制。 然后,用于建议的信号用于提供由大型语言模型(LLM)提供支持的最终用户友好理由摘要。 Microsoft Teams 中的后续自然语言聊天体验通过以前生成的建议和理由摘要作为可用上下文的大型语言模型来促进。
代理会考虑以下信号:
- 用户不活动:如果用户已 登录
- 用户到组关联:如果用户具有此访问权限的其他用户的关联度较低
- 已启用帐户:如果已启用用户帐户(accountEnabled 属性)
- 就业状态:如果用户的就业已结束(employeeLeaveDateTime 属性)
- 生命周期工作流历史记录:如果用户在过去 30 天内为其运行了 mover 工作流
- 以前的评审决策:对于定期评审,将考虑先前评审迭代中的决策
- 访问请求历史记录:对于访问包分配评审,将考虑请求和审批历史记录
注释
理由摘要包括这些信号中的信息,在评审过程中可供审阅者使用,即使其中一些信息在审阅流程之外对审阅者不可用。
作为管理员,你可以查看建议(批准/拒绝)和理由摘要。 有关详细信息,请参阅 Access Review 代理日志和指标(预览版)。 请注意,代理建议可能与“我的访问”门户上显示的建议不同,以及Microsoft Entra 管理中心中的访问评审体验。
入门指南
设置访问评审代理
使用至少具有以下 所有 角色的帐户,登录到 Microsoft Entra 管理中心:
在新的主页中,从代理通知卡中选择前往代理。
- 还可以从左侧导航菜单中选择 代理 。
- 还可以从左侧导航菜单中选择 代理 。
选择“访问评审代理”磁贴上的 “查看详细信息 ”。
选择 “启动代理 ”以开始首次运行。
- 请避免使用通过 PIM 激活角色的帐户。
- 显示“代理正在启动首次运行”的消息显示在右上角。
- 第一次运行可能需要几分钟才能完成。
为现有访问评审启用访问评审代理
启动访问评审代理后,必须标记访问评审,才能由访问评审代理处理。 访问评审代理可以同时处理新的和现有的访问评审。 以下部分将指导你完成标记访问评审,以供访问评审代理处理。
为现有组和应用程序访问评审启用访问评审代理
若要更新要由访问评审代理处理的现有访问评审,请执行以下步骤:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>访问审查。
选择希望代理支持的访问评审。
在访问评审概述页上,选择“管理”下的 “设置 ”(如果是一次评审)或“系列”下的 “设置” (如果是定期评审)。
在 “高级设置”下,选中“ 访问评审代理”(预览版)设置上的框。
选择“保存”。
为现有访问包分配评审启用访问评审代理
若要更新要由访问评审代理处理的现有访问评审,请执行以下步骤:
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>访问权限包。
选择要代理支持的访问包。
在访问包概述页上,选择“ 策略”,然后选择要更新的策略,然后选择“ 编辑”。
在“编辑策略”页上,选择 “生命周期”。
在“生命周期”选项卡上,选择“高级访问评审”设置,并选中“启用”框上显示“访问评审代理”(预览版)。
选择“保存”。
确保审阅者可以使用访问评审代理
审阅者通过 Microsoft Teams 应用访问访问评审代理。 如果你的组织 Microsoft Teams 组织范围的应用设置 允许Microsoft应用程序无需执行任何作。 如果你的组织在 Microsoft Teams 组织范围内的应用设置中禁用了Microsoft应用,则组织Microsoft Teams 管理员必须显式批准该应用。
还必须确保所有审阅者至少具有 安全 Copilot 参与者 角色,以便他们可以使用代理完成评审。 这是必需的,因为Microsoft Teams 中的自然语言对话在后台打开Microsoft安全 Copilot 会话。 参与审阅者通过 Microsoft Teams 访问代理体验,但角色分配有权访问 安全 Copilot 门户 或其他Microsoft安全管理门户中的安全 Copilot 体验。 如果审阅者在 Microsoft Teams 外部访问 Security Copilot,则其安全 Copilot 的数据访问仍受 默认用户权限的约束。
使用访问评审代理作为审阅者
启动访问评审代理后,审阅者分配了适当的权限,并且有了可供他们使用的应用,你的审阅者现在可以在代理的帮助下完成评审。 可以直接在 Microsoft Teams 中访问访问评审代理(直接链接)。 发送给审阅者的访问评审电子邮件通知还包括指向 Microsoft Teams 的直接链接。
打开以审阅者身份登录的 Microsoft Teams 应用程序。
选择 访问评审代理 链接以打开代理
在“应用”页上,搜索 “访问评审代理”,然后选择“ 添加”。
添加代理后,选择“ 打开”。
打开后,可以选择可用的提示以在
设置
启用代理后,可以调整一些设置。 可以通过在 Microsoft Entra 管理中心执行以下作来访问设置:
- 从 代理>访问评审代理>设置。
Trigger
代理被配置为从最初配置时开始每隔24小时运行一次。 可以通过切换 触发器 设置来在特定时间运行它,然后在希望它运行时重新运行它。
注释
如果审阅者立即响应其访问评审电子邮件通知,代理可能尚未处理评审。 只有在代理运行后,它才能在 Microsoft Teams 中协助访问评审。 如果在代理处理评审之前做出响应,代理会在 Microsoft Teams 中向审阅者发出以下消息:“目前我看不到任何可帮助你完成的待处理评审。由于我的功能仍在扩展,因此建议检查“我的访问门户”,以查看是否有任何其他待处理评审。
删除代理
如果不再想要使用访问评审代理,请选择代理窗口顶部的 “删除代理 ”。 删除了现有的代理活动和指标,但已处理评审的建议和理由由代理保留在 Microsoft Teams 中,并继续能够协助审阅者进行这些评审。 若要完成删除,还应取消标记以前标记为要由代理处理的访问评审。
为现有组和应用程序访问评审禁用访问评审代理
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>访问审查。
选择已启用代理支持的访问评审。
在访问评审概述页上,选择“管理”下的 “设置 ”(如果是一次评审)或“系列”下的 “设置” (如果是定期评审)。
在 “高级设置”下,取消选中“ 访问评审代理”(预览版)设置上的框。
选择“保存”。
为现有访问包分配评审禁用访问评审代理
至少以 身份治理管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 ID 治理>权限管理>访问权限包。
选择要代理支持的访问包。
在访问包概述页上,选择“ 策略”,然后选择要更新的策略,然后选择“ 编辑”。
在“编辑策略”页上,选择 “生命周期”。
在生命周期选项卡上,选中“访问评审代理”(预览版)设置上的“禁用”框。
选择“保存”。
撤销安全 Copilot 访问权限
如果没有其他方案要求审阅者访问 安全 Copilot, 你可能想要撤销审阅者的安全参与者访问权限。
标识和权限
打开代理时会创建唯一的代理标识。 有关详细信息,请参阅: 管理代理标识。
代理使用此标识扫描租户以进行活动访问评审,收集其他见解,并保存其建议和审阅者的理由。 有关详细信息,请参阅: 工作原理
Permissions
- 获取访问审核的详细信息
- 读取用户、组、应用和访问包的详细信息和生命周期工作流历史记录
- 保存访问评审建议和理由
最终决定(通过 Microsoft Teams 对话提交)使用审阅者的身份。
代理设置页显示当前分配给代理的标识: 
如果代理以前使用管理员标识进行配置,则必须将其迁移到专用代理标识。 通过选择“创建代理标识”选项来完成此迁移,该选项位于代理概述页或代理设置页的蓝色横幅上。
提供反馈
使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。
FAQs
为什么 Microsoft Teams 中的代理响应“似乎尚未为组织启用访问评审代理,或者遇到意外问题。 请联系 IT 部门以获取帮助。 在此期间,可以在“我的访问门户”中完成待处理评审?
如果代理对此消息做出响应,则可能是代理设置(例如启动代理、分配审阅者安全 Copilot 访问权限以及为现有评审启用代理)未完成。
为什么Microsoft Teams 中的代理响应“目前有点忙,我现在无法处理你的请求。 你能在一段时间后再试吗? 如果匆忙,则“我的访问门户”始终可用。
如果租户未预配并超额安全 Copilot 容量,代理将响应此消息。