Intune策略配置代理使用 Security Copilot 中由 AI 提供支持的生成功能。 它可帮助 IT 管理员将复杂的要求和行业标准文档转换为可作Intune设置。
管理员可以快速生成与组织或法规基线(包括任何强化计划)保持一致的Intune设置目录策略。
使用代理,可以:
上传文档或行业基准,代理标识相关且匹配Intune设置。
可以上传合规性标准和常见行业基准,例如安全技术实施指南 (STIG) 和国家标准与技术研究院 (NIST) 指南。
可以上传内部策略文档和基线,例如组织的安全策略或合规性要求。
根据上传的文档获取相关的配置设置和可作建议。
可以自定义建议,以创建适合你的环境的基线。 例如,如果组织有 CIS 规则的例外,则可以从最终策略中删除该规则。
代理还指导你使用建议创建策略,并帮助根据组织的需求配置每个设置。 可以查看并保存这些建议。
本文:
- 列出使用代理的先决条件
- 说明代理的工作原理
- 演示如何设置代理
- 演示如何续订或删除代理
若要了解如何使用代理,请参阅 使用策略配置代理。
先决条件
云要求
代理仅在公有云上受支持。 政府云不支持它。
许可要求
若要在 Microsoft Intune 中使用Security Copilot代理,需要以下许可证:
- Microsoft Intune 计划 1订阅
- 具有足够安全计算单元的智能 Microsoft Security Copilot 副驾驶® (SCU)
插件要求
插件使Security Copilot代理能够与Microsoft服务连接并执行专用作。 此代理需要以下插件:
如果在 Intune 中使用 Copilot,则表示已启用 Intune 插件。 详细了解插件。
设备平台要求
此功能支持以下平台:
- Windows
角色要求
若要 启用和配置 代理,请使用具有以下角色的帐户:
Security Copilot角色:
若要了解Security Copilot角色,请参阅Security Copilot角色和权限。
Intune角色:
若要 使用代理、 生成建议并 获取策略建议,请使用具有以下角色的帐户:
若要 使用代理、 生成建议、 获取策略建议和 创建策略,请使用具有以下角色的帐户:
- 策略和配置文件管理员 或具有以下权限的 自定义角色 :
- 设备配置/创建
- 设备配置/更新
代理的工作原理
概括而言,代理将执行以下步骤。
输入引入:为代理提供具有策略要求的输入。 它可以是上传的文档,也可以是直接文本输入,如
All laptops must have BitLocker enabled with AES-256 encryption。代理支持自定义文档和项目符号要求列表。
自然语言处理和分析:针对输入运行代理时,代理将使用Security Copilot来分析和映射输入。 它通读语言,并标识文本描述的各个设置。
例如,如果文档显示“禁止使用 USB 存储设备”,则代理会将文本解释为有关外部存储策略的要求。
Security Copilot经过优化,可从文本说明中识别常见策略声明和技术控制。 它可以处理复杂的措辞或不同的格式。
将规则映射到Intune设置:对于每个已分析的要求,代理会尝试查找实现该目标的相应设置目录设置。 代理使用Intune功能的内置知识来选择正确的设置和满足要求的设置值。
生成策略建议:代理使用建议的设置将映射结果编译为草稿Intune配置文件。
管理员评审和确认:在应用任何内容之前,请查看代理的输出。 在管理中心,选择代理的建议以查看详细信息。 你可能会看到建议设置的列表, (支持的映射) 和不受支持的或未映射的项的单独列表。
在此阶段,应:
-
查看详细信息 - 可以钻取到每个建议的设置,以读取理由并进行调整。 例如,代理可能会建议密码长度为 14 个字符,因为基线显示
at least 12。 - 删除或排除 - 如果某些建议不想实现,则可以在告知代理创建设备配置策略时将其删除。
- 确认不支持的项目 - 对于Intune无法强制执行的任何要求,请记录你计划如何处理它们或确认它们。 代理的角色是信息性的,以确保你了解任何差距。
-
查看详细信息 - 可以钻取到每个建议的设置,以读取理由并进行调整。 例如,代理可能会建议密码长度为 14 个字符,因为基线显示
策略创建:确认建议后,可以选择使用所有建议的设置创建新的配置文件。 在分配此设置目录策略之前,不会强制实施此设置目录策略,就像手动创建的任何Intune策略一样。
在此阶段,策略是正常的Intune策略。 可以将它分配给相应的组并重命名策略。
部署和监视:分配策略后,设备将开始使用新设置进行报告。 代理的作业一直完成,直到你再次运行它。
代理标识
代理在此设置期间使用的帐户的标识和权限下运行。 作仅限于该帐户的权限,并且每次运行时都会刷新标识。 因此,对帐户权限的任何更改都会在下次运行时影响代理的功能。
建议使用Security Copilot所有者角色登录以设置代理。 某些角色可能自动具有所需的权限。 若要了解详细信息,请参阅Security Copilot角色。
设置代理
启用代理之前:
- 管理员必须手动启动代理。 启动后,无法选择停止或暂停代理。
- 代理只能从 Intune 管理中心启动。
- 智能 Microsoft Security Copilot 副驾驶®门户中的会话详细信息仅对设置代理的用户可见。
- 每个租户仅支持一个代理实例。
使用以下步骤设置代理:
在Intune管理中心,选择“代理>策略配置代理”。
在 “概述”中,选择“ 设置代理”。
“ 设置策略配置代理 ”窗格列出了设置代理所需的权限,并提供有关设置要求的详细信息。
选择 “设置代理”。
完成后,代理即可供使用。 若要详细了解如何使用代理,请参阅 使用策略配置代理。
续订代理
如果 90 天内不使用代理,代理授权将过期,代理运行将失败,直到重新进行身份验证。 可以随时续订代理身份验证。
随着过期时间的临近,Intune在代理概述页上显示每个 Copilot 所有者和 Copilot 参与者可以看到的警告。 警告提示续订代理标识。
若要重新授权代理标识,请选择“ 续订身份验证”。 续订代理身份验证时,代理会自动使用登录凭据。 如果不想使用登录凭据,请选择“代理 >设置” 选项卡 >“选择其他标识”。
续订后,警告横幅将消失,并且 Toast 通知会验证续订是否成功。
删除代理
删除代理时,将删除生成的所有关联数据,包括建议和活动。 以前应用的建议保持不变。
删除代理实例的步骤:
- 在Microsoft Intune管理中心,选择“代理”。
- 选择要删除的代理实例。
- 选择“ 删除代理 ”并确认删除。
删除后:
- 代理窗格将返回到其原始状态。
- 管理员可以稍后通过重复安装过程重新安装代理。
帮助塑造Intune代理的未来
加入我们Intune代理反馈论坛,分享见解并影响Microsoft Intune即将推出的功能。
注册并了解详细信息: https://aka.ms/IntuneAgentsForum