使用策略配置代理

策略配置代理是 Intune 中的生成 AI 功能。 它可帮助 IT 管理员将复杂的要求和行业标准文档转换为可作Intune设置。

设置代理后，下一步是上传文档和基准作为知识源。 或者，输入有关策略草案中要包含的内容的自然语言说明。 代理分析这些知识源以建议相关的Intune设置，然后可以使用这些设置创建设备配置策略。

本文介绍如何使用策略配置代理，包括：

• 添加、保存和查看知识源
• 从知识源和自然语言提示创建策略

若要了解代理及其设置方式，请参阅 设置策略配置代理。

此功能适用于：

• Windows

开始之前

• 此功能目前提供 公共预览版。
• 请确保满足 策略配置代理 先决条件，包括使用适当的帐户登录。
• 一次可以上传一个知识源文件。 如果有多个基线文档，请通过代理单独运行它们。
• 结构良好、编写良好的输入可产生更好的映射。 如果文档格式不佳或语言不明确，代理可能会生成低置信度匹配项。 为清楚起见，建议查看源文档。
• 可以添加最大大小为 25 KB 的文本文件。 具有数百页要求的大型或复杂文档可能会对代理有效处理这些文档的能力带来挑战。

使用代理

若要使用代理，请打开Intune管理中心，选择“代理>策略配置代理”。

以下选项卡可用：

添加、保存和查看知识源

知识源 是上传的文件。 这些文件以自然语言描述设备配置要求。 它们可以是内部策略文档和基线，例如安全性和合规性策略和框架、描述设置的行业标准或设备配置的风险评估准则。

例如，可以上传合规性标准和常见行业基准，例如：

• (STIG) 的安全技术实施指南
• 美国国家标准与技术研究院 (NIST) 指南

可以保存代理建议，以便在准备就绪时创建设备配置策略。

若要添加知识源，请使用以下步骤：

1. 在Intune管理中心，选择“代理>策略配置代理”。

2. 选择“ 创建新的>知识源”。

3. 配置以下设置：

   • 知识源名称 - 输入知识源的名称。
   • 说明 - 可选。 输入知识源的说明。
   • 上传文档 - 浏览文件或拖放文件。 代理支持已知的基线格式、自定义文档和项目符号要求列表。

4. 选择“审阅”。 代理会立即运行并分析上传的知识源。 选择链接将其打开。

   

   你将看到映射到已上传的知识源的建议设置。

5. 在“策略详细信息>标识设置”选项卡中，数据映射到Intune设置。 对于每个设置，代理会显示：

   • Intune策略设置的名称
   • 设置的建议值
   • 它映射到的原始要求文本
   • 映射的置信度分数

   代理将每个映射规则分类为以下类别：

   • 支持 – 提供直接Intune设置。 代理将规则映射到该设置，并建议配置。

   • 不支持 – 没有针对此要求的内置Intune设置。 代理指出该规则不受支持，这意味着Intune本身无法强制实施该规则。 例如，将标记有关Intune无法管理的非常利基 OS 设置的规则。

     如果任何设置不受支持，则会列出这些设置。

   建议查看并确认每个映射，尤其是低置信度映射。

6. 还可以 保存此映射 以保存建议的映射，并在以后在其他策略中使用它们。

   保存映射后，可以选择创建设备配置文件。

7. 查看建议后，选择“ 管理建议”。 使用此选项可更新建议状态。

   这些状态仅用于跟踪目的。 它们可帮助你跟踪你查看的建议和你需要处理的建议。 “已消除”状态会从“建议”选项卡中删除建议。

查看现有知识源

上传知识源时，该知识源可在“ 知识 ”选项卡中使用。若要查看现有知识源，请使用以下步骤：

1. 在Intune管理中心，选择“代理>策略配置代理”。
2. 在“ 知识 ”选项卡中，有现有知识源的列表。 选择知识源以查看其设置及其配置的值。
3. 可以 删除 知识源并 导出 其设置。

创建和查看策略草稿

代理可以根据上传的知识源或使用自然语言提示创建设置目录设备配置策略。

若要使用代理创建策略，请使用以下步骤：

1. 在Intune管理中心，选择“代理>策略配置代理”。

2. 选择“ 创建新>策略草稿”。

3. 配置以下设置：

   • 策略名称 - 输入策略草稿的名称。

   • 说明 - 可选。 输入策略的说明。

   • 知识源 - 选择要用于此策略草稿的知识源。

     如果为空，则不会上传任何知识源。 选择 “添加文档 ”以上传包含说明的文件。

   • 说明 - 使用自然语言描述要包含在策略中的设备配置设置。 例如，输入 Create a device configuration policy that enforces strong password requirements and enables BitLocker encryption on Windows devices。

4. 选择“创建”。 代理运行并根据所选源创建策略草稿。

5. 在“ 概述 ”和“ 建议 ”选项卡中，策略草稿显示为建议的下一步。 选择草稿链接。

   AI 摘要介绍了策略草案，并提供更有用的见解。 策略详细信息显示代理建议的设置及其配置的值。 还可以将设置导出为 .csv 文件。

   在此步骤中，查看每个设置及其值，以确保它们满足你的要求。 可以从置信度分数较低的设置开始。

6. 查看建议后，选择“ 管理建议”。 使用此选项可更新建议状态。

   这些状态仅用于跟踪目的。 它们可帮助你跟踪你查看的建议和你需要处理的建议。 “已消除”状态会从“建议”选项卡中删除建议。

7. 选择“ 创建配置策略 ”，将策略草稿保存为设备配置策略。 此步骤将转到设置目录，并使用代理生成的配置进行预填充。 保存的策略显示在 设备>管理设备>配置中。

   代理还会自动向策略添加任何所需的设置，包括父设置和子设置。 因此，代理策略草稿和设备配置策略之间的设置计数可能不同。

   在此阶段，策略是正常的Intune策略。 可以更改策略名称、更新策略设置，并在准备就绪时分配策略。

   在此步骤中，查看每个设置及其值，以确保它们满足你的要求。

查看现有策略草稿

可以查看现有的策略草稿。 请执行以下步骤：

1. 在Intune管理中心，选择“代理>策略配置代理”。
2. 在“概述和建议”选项卡中，策略草稿显示为建议的后续步骤。 选择策略草稿以查看其设置及其配置的值。

若要更新策略草稿中的任何设置及其值，必须从草稿创建设备配置策略。 创建策略后，可以像编辑任何其他Intune设备配置策略一样对其进行编辑。

常见错误

虽然代理运行可能因 SCU 不足而失败，但可能会出现其他可能的错误。 本部分列出了使用代理时可能会遇到的一些常见错误消息，以及说明和建议的作。

代理未提供准确的建议

在这种情况下，代理可能没有足够的数据来生成准确的建议，或者其设置可能与组织环境不完全一致。

为了帮助改进将来的建议，请使用每个建议上提供的“喜欢/不喜欢”按钮 来共享你的反馈。

你无权访问此代理 - 许可证

详： 你没有访问此代理所需的许可证。

检查此代理的许可和插件要求，并确保在租户中分配了必要的许可证和配置。

你无权访问此代理 - 工作区

详： 你不是访问此代理所需的工作区的一部分。

此消息指示帐户无权查看或使用Security Copilot工作区，该工作区是在将Security Copilot添加到租户时配置的。 请联系安装或管理Security Copilot订阅的管理员，获取访问权限方面的帮助，并参阅了解智能 Microsoft Security Copilot 副驾驶®中的身份验证。

你无权访问此代理 - 权限

详： 你没有访问此代理所需的权限。

查看角色要求以使用代理。 请与Intune管理员协作，为帐户分配所需的权限。

代理遇到错误，但未完成运行。 再次尝试运行代理。

详： 代理实例无法启动或成功完成其运行。 无法识别失败的详细信息。 尽管无法运行或完成，但管理员可以继续查看和管理过去运行的代理建议。

如果代理继续失败，则可能是其标识帐户的授权丢失，在重新授权之前无法运行。 丢失授权的可能原因包括但不限于：

• 代理的授权期限已达到 90 天。
• 安装代理时使用的用户帐户受需要定期重新身份验证的策略的约束。
• 访问令牌已被撤销。

代理重新授权要求删除代理，然后重新设置。

相关内容

• Intune中的策略配置代理 - 概述和设置
• Intune 中的Security Copilot代理 - 概述
• Intune中的Security Copilot - 概述