条件访问优化代理可帮助你确保所有用户、应用程序和代理标识都受条件访问策略的保护。 代理可以根据与 零信任 和Microsoft学习相符的最佳做法,推荐新策略和更新现有策略。 该代理还会创建策略评审报告(预览版),该报告提供有关可能指示策略配置错误的峰值或低点的见解。
条件访问优化代理评估策略,例如要求多重身份验证(MFA)、强制实施基于设备的控制(设备符合性、应用保护策略和已加入域的设备),以及阻止旧式身份验证和设备代码流。 代理还会评估所有已启用的现有策略,以建议合并类似的策略。 当代理标识出建议时,代理可以通过一键修复来更新相关策略。
重要
条件访问优化代理中的 ServiceNow 集成目前以预览版提供。 此信息与可能在发布前进行实质性修改的预发行版产品相关。 Microsoft 不对此处提供的信息作任何明示或默示的担保。
先决条件
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 平均而言,每个代理运行消耗的 SCU 数少于一个。
- 必须具有适当的 Microsoft Entra 角色。
- 基于设备的控件需要 Microsoft Intune 许可证。
- 查看 Microsoft Security Copilot 中的隐私和数据安全。
局限性
- 启动代理后,就无法停止或暂停代理。 代理运行起来可能需要几分钟。
- 对于策略合并,每个代理仅查看四组类似的策略对。
- 建议从 Microsoft Entra 管理中心运行代理。
- 扫描的时间限制为 24 小时。
- 无法自定义或替代代理的建议。
- 代理可以在一次运行中最多查看 300 个用户和 150 个应用程序。
工作原理
条件访问优化代理从过去 24 小时内扫描租户中的新用户、应用程序和代理标识,并确定条件访问策略是否适用。 如果代理查找不受条件访问策略保护的用户、应用程序或代理标识,则会提供建议的后续步骤,例如打开或修改条件访问策略。 可以查看建议、代理如何标识解决方案以及策略中包含的内容。
每次运行代理时,都会执行以下步骤。 这些初始扫描步骤不使用任何 SCU。
- 代理会扫描您租户中的所有条件访问策略
- 代理会检查策略差距,以及是否可以组合任何策略。
- 代理会审查以前的建议,因此不会再次建议相同的策略。
如果代理识别出以前未建议的内容,则执行以下步骤。 这些代理动作步骤消耗 SCU。
- 代理会识别策略缺口或可合并的策略对
- 代理会评估你提供的任何自定义说明。
- 代理在仅报告模式下创建新的策略,或提供修改策略的建议,包括自定义说明提供的任何逻辑。
注释
安全 Copilot 要求在您的租户中至少预配一个 SCU,否则系统无法运行。即使您不消耗任何 SCU,该 SCU 也每月收取费用。 关闭代理不会停止 SCU 的每月计费。
由代理识别的政策建议包括:
- 需要 MFA:代理识别不受要求 MFA 的条件访问策略覆盖的用户,并可能更新该策略。
- 需要基于设备的控件:代理可以强制实施基于设备的控件,例如设备符合性、应用保护策略和已加入域的设备。
- 阻止旧式身份验证:阻止使用旧式身份验证的用户帐户登录。
- 阻止设备代码流:代理查找阻止设备代码流身份验证的策略。
- 有风险的用户:代理建议策略要求对高风险用户进行安全密码更改。 需要Microsoft Entra ID P2 许可证。
- 有风险的登录:代理建议策略要求对高风险登录进行多重身份验证。需要Microsoft Entra ID P2 许可证。
- 有风险的代理:代理建议策略来阻止对高风险登录进行身份验证。需要Microsoft Entra ID P2 许可证。
- 策略合并:代理扫描策略并标识重叠设置。 例如,如果有多个策略具有相同的授予控制,代理建议将这些策略合并为一个策略。
- 深入分析:代理查看与关键方案对应的策略,以确定具有多个异常(导致覆盖意外差距)或无异常(导致可能锁定)的离群策略。
重要
除非管理员明确批准建议,否则代理不会对现有策略进行任何更改。
代理建议的所有 新 策略都以仅报告模式创建。
如果两个策略的区别不超过两个条件或控件,则可以合并两个策略。
入门指南
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
在新的主页中,从代理通知卡中选择前往代理。
- 还可以从左侧导航菜单中选择 代理 。
选择“条件访问优化代理”磁贴上的 “查看详细信息 ”。
选择 “启动代理 ”以开始首次运行。
当代理概述页面加载时,任何建议都显示在“ 最近建议 ”框中。 如果已确定建议,可以查看策略、确定策略影响,并根据需要应用更改。 有关详细信息,请参阅 查看和批准条件访问代理建议。
删除代理
如果不想再使用条件访问优化代理,请从代理窗口顶部选择 “删除代理 ”。 将删除现有数据(代理活动、建议和指标),但根据代理建议创建或更新的任何策略保持不变。 以前应用的建议保持不变,以便继续使用代理创建或修改的策略。
提供反馈
使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。
FAQs
应在何时使用条件访问优化代理程序或 Copilot 聊天功能?
这两项功能都提供对条件访问策略的不同见解。 下表提供了两个功能的比较:
| Scenario | 条件访问优化代理 | 副驾驶聊天 |
|---|---|---|
| 泛型方案 | ||
| 利用租户特定的配置 | ✅ | |
| 高级推理 | ✅ | |
| 按需见解 | ✅ | |
| 交互式故障排除 | ✅ | |
| 持续策略评估 | ✅ | |
| 自动改进建议 | ✅ | |
| 获取有关 CA 最佳做法和配置的指南 | ✅ | ✅ |
| 特定方案 | ||
| 主动识别未受保护的用户或应用程序 | ✅ | |
| 为所有用户强制实施 MFA 和其他基线控制 | ✅ | |
| CA 策略的持续监控和优化 | ✅ | |
| 一键式策略更改 | ✅ | |
| 查看现有的 CA 策略和分配(策略是否适用于 Alice?) | ✅ | ✅ |
| 排查用户访问问题(为什么会提示 Alice 进行 MFA?) | ✅ |
我激活了代理,但在活动状态中看到“失败”。 发生了什么事情?
在 2025 年 Ignite 大会之前,可能已经启用了一个需要使用特权身份管理(PIM)进行角色激活的帐户的代理。 因此,当代理尝试运行时,它失败,因为该帐户当时没有所需的权限。 2025 年 11 月 17 日之后启用的条件访问优化代理不再使用激活代理的用户的标识。
可以通过迁移到 使用 Microsoft Entra 代理 ID 来解决此问题。 从代理页上的横幅消息或代理设置的“标识和权限”部分选择“创建代理标识”。