告別耗時的研究和倉促決策的不確定性。 Access Review Agent 透過自動收集見解並產生建議來為您的檢閱者工作。 然後,它會使用自然語言引導檢閱者完成 Microsoft Teams 中的檢閱程式,並提供簡單的摘要和建議的決策,以便他們能夠自信且清晰地做出最終決定。
先決條件
- 您必須擁有 Microsoft Entra ID 控管或 Microsoft Entra Suite 授權。
- 您必須將至少一個安全性計算單元 (SCU) 佈建到安全性 Copilot。
- 完成包含 20 個決策的存取檢閱平均會耗用 4.5 SCU。 這包括客服專員收集見解並產生建議,以及檢閱者在 Microsoft Teams 中與客服專員的自然語言對話。 SCU 耗用量可能會根據檢閱者與客服專員之間的交談長度而有所不同。
- 系統管理員必須至少具有下列 所有 角色,才能在 Microsoft Entra 系統管理中心設定和管理代理程式:
- 若要讓檢閱者使用存取檢閱代理程式,他們必須具有 Microsoft Teams 的存取權,而且必須指派作用中的存取檢閱給他們。 他們也必須至少指派給他們的 Security Copilot 參與者 角色。
- 檢閱 Microsoft Security Copilot 中的隱私權和數據安全性
局限性
- 一旦啟動代理程式,就無法停止或暫停它們。 執行可能需要幾分鐘的時間。
- 建議您從 Microsoft Entra 系統管理中心執行代理程式。
支援的案例
下表顯示根據檢閱案例的目前存取檢閱代理程式支援:
| Scenario | 支持 |
|---|---|
| 資源 | |
| 團隊 + 群組 | ✅ |
| 存取套件指派 | ✅ |
| 應用程式指派 | ✅ |
| Azure 資源角色 | ❌ |
| Microsoft Entra 角色 | ❌ |
| 由 Privileged Identity Management 管理的群組 | ❌ |
| Size | |
| 最多 35 個決定(每個評論,而不是評論者) | ✅ |
| >每次審查 35 個決定 | ❌ |
| 階段 | |
| 單級 | ✅ |
| 多階段 | ❌ |
| 評論家 | |
| 特效的 | ✅ |
| 群組擁有者 | ✅ |
| Managers | ✅ |
| 自我審查 | ❌ |
| 語言 | |
| English | ✅ |
| 其他語言 | ❌ |
運作方式
存取檢閱代理程式會主動掃描租使用者中標示為由代理程式處理的作用中存取檢閱。 然後,代理程式會透過收集額外的見解來分析已識別的評論,並為每個決策產生建議(批准/拒絕)和理由摘要。 一旦代理程式分析建議和對應的理由摘要,它就能夠以自然語言引導檢閱者完成 Microsoft Teams 中的檢閱程式。 檢閱者有權透過 Microsoft Teams 中的自然語言聊天體驗完成檢閱。 當客服專員引導他們完成審查時,他們能夠審查客服專員建議背後的推理,在審查本身的背景下提出問題,並最終做出明智的決定。
每個決策的客服專員建議(批准/拒絕)依賴於由多個信號提供支持的確定性評分機制。 然後,用於建議的訊號用於提供由大型語言模型 (LLM) 提供支援的最終使用者友善的理由摘要。 大型語言模型可促進 Microsoft Teams 中後續的自然語言聊天體驗,並將先前產生的建議和理由摘要作為可用內容。
代理程式會考慮下列訊號:
- 使用者閒置:如果使用者已 登入
- 使用者與群組隸屬關係:如果使用者與具有此存取權的其他使用者的隸屬關係較低
- 已啟用帳戶:如果已啟用使用者的帳戶 (accountEnabled 屬性)
- 就業狀態:如果使用者的就業結束 (employeeLeaveDateTime 屬性)
- 生命週期工作流程歷程記錄:如果使用者在過去 30 天內已為其執行移動程式工作流程
- 先前檢閱的決策:針對週期性檢閱,會考慮先前檢閱反覆專案的決策
- 存取要求歷程記錄:針對存取套件指派檢閱,會考慮要求和核准歷程記錄
備註
理由摘要包含來自這些訊號的資訊,而且檢閱者可以在檢閱程式期間使用,即使檢閱程式之外的檢閱者無法使用其中部分資訊。
身為系統管理員,您可以檢閱建議 (核准/拒絕) 和理由摘要。 如需詳細資訊,請參閱 存取檢閱代理程式記錄和計量 (預覽版)。 請注意,代理程式建議可能與 Microsoft Entra 系統管理中心 [我的存取入口網站] 和 [存取檢閱] 體驗上顯示的建議不同。
入門指南
設定存取檢閱代理程式
使用至少具有下列 所有 角色的帳戶,登入 Microsoft Entra 系統管理中心:
從新的首頁,從代理程式通知卡選取 [移至代理程式 ]。
- 您也可以從左側導覽功能表中選取 [代理程式 ]。
- 您也可以從左側導覽功能表中選取 [代理程式 ]。
選取 [存取檢閱代理程式] 磚上的 [ 檢視詳細資料 ]。
選取 [啟動代理程式 ] 以開始您的第一次執行。
- 請避免使用透過 PIM 啟用角色的帳戶。
- 右上角會出現一則訊息,指出「代理程式正在開始其第一次執行」。
- 首次執行可能需要花費幾分鐘才能完成。
啟用現有存取檢閱的存取檢閱代理程式
啟動「存取檢閱代理程式」之後,您必須標示要由「存取檢閱代理程式」處理的存取檢閱。 存取檢閱代理程式能夠處理新的和現有的存取檢閱。 下列各節會逐步引導您標幟要由存取檢閱代理程式處理的存取檢閱。
啟用現有群組和應用程式存取檢閱的存取檢閱代理程式
若要更新要由存取檢閱代理程式處理的現有存取檢閱,請執行下列步驟:
以至少 身分識別治理系統管理員 的身分登入 Microsoft Entra 系統管理中心。
流覽至 身份治理>存取權檢閱。
選取您希望代理程式支援的存取檢閱。
在存取檢閱概觀頁面上,選取 [管理] 底下的 [ 設定 ] (如果是一次性檢閱),或選取 [系列] 底下的 [ 設定 ] (如果是週期性檢閱)。
在 [進階設定] 底下,核取設定上的方塊,該方塊顯示 [存取檢閱代理程式 (預覽版)] 。
選取 [儲存]。
針對現有的存取套件指派檢閱啟用存取檢閱代理程式
若要更新要由存取檢閱代理程式處理的現有存取檢閱,請執行下列步驟:
以至少 身分識別治理系統管理員 的身分登入 Microsoft Entra 系統管理中心。
流覽至 身分識別管理>權利管理>存取套件。
選取您希望代理程式支援的存取套件。
在存取套件概觀頁面上,選取 [原則],然後選取您要更新的原則,然後選取 [編輯]。
在編輯原則頁面上,選取 [ 生命週期]。
在生命週期索引標籤上,選取 [進階存取檢閱設定],然後核取 [存取檢閱代理程式 (預覽版)] 設定上的 [啟用] 方塊。
選取 [儲存]。
確定檢閱者可以使用存取檢閱代理程式
檢閱者會透過 Microsoft Teams 應用程式存取存取檢閱代理程式。 如果您組織的 Microsoft Teams 組織範圍應用程式設定 允許 Microsoft 應用程式,則不需要採取任何動作。 如果您的組織已在 Microsoft Teams 組織範圍的應用程式設定中停用 Microsoft 應用程式,則組織的 Microsoft Teams 系統管理員必須明確核准應用程式。
您還必須確保所有檢閱者至少具有 Security Copilot 參與者 角色,以便他們可以使用代理程式完成檢閱。 這是必要的,因為 Microsoft Teams 中的自然語言交談會在幕後開啟 Microsoft 安全性 Copilot 會話。 參與的檢閱者會透過 Microsoft Teams 存取代理程式體驗,但透過角色指派,他們將有權存取其他 Microsoft 安全性系統管理入口網站中的 Security Copilot 入口網站 或 Security Copilot 體驗。 如果檢閱者在 Microsoft Teams 外部存取 Security Copilot,則其使用 Security Copilot 的資料存取仍受限 於預設使用者許可權。
使用存取檢閱代理程式作為檢閱者
啟動「存取檢閱代理程式」後,檢閱者已指派適當的權限,並且應用程式可供他們使用,您的檢閱者現在已準備好在代理程式的協助下完成檢閱。 存取檢閱代理程式可以直接在 Microsoft Teams 中存取 (直接連結) 。 傳送給檢閱者的存取檢閱電子郵件通知也會包含 Microsoft Teams 的直接連結。
開啟以指派為稽核者的使用者身分登入的 Microsoft Teams 應用程式。
選取 [存取檢閱代理程式 ] 連結以開啟代理程式
在 [ 應用程式 ] 頁面上,搜尋 [存取檢閱代理程式],然後選取 [ 新增]。
新增代理程式後 ,選取開啟。
開啟時,您可以選取可用的提示來開始與客服專員聊天存取
設定
啟用代理程序之後,您可以調整一些設定。 您可以在 Microsoft Entra 系統管理中心執行下列動作來存取設定:
- 從 客服專員>存取檢閱客服專員>設定。
觸發程序
代理程式設定為根據一開始設定時每隔 24 小時執行一次。 您可以透過關閉觸發 器 設定在特定時間執行它,然後在您想要執行時重新開啟。
備註
如果檢閱者立即回應其存取檢閱電子郵件通知,則代理程式可能尚未處理檢閱。 只有在代理程式執行之後,它才能協助 Microsoft Teams 中的存取檢閱。 如果您在代理程式處理檢閱之前回應,代理程式會以下列訊息回應給 Microsoft Teams 中的檢閱者:「我目前看不到任何可協助您處理的擱置檢閱。由於我的能力仍在擴展,我建議您查看我的訪問門戶,看看您是否還有任何其他待處理的審查。
移除代理程式
如果您不想再使用存取檢閱代理程式,請從代理程式視窗頂端選取移除 代理程式 。 現有的客服專員活動和計量會移除,但客服專員會在 Microsoft Teams 中保留已處理檢閱的建議和理由,並繼續能夠協助檢閱者進行這些檢閱。 若要完成移除,您也應該取消標示先前標示為由代理程式處理的存取檢閱。
停用現有群組和應用程式存取檢閱的存取檢閱代理程式
以至少 身分識別治理系統管理員 的身分登入 Microsoft Entra 系統管理中心。
流覽至 身份識別治理>存取審核。
選取已啟用代理程式支援的存取檢閱。
在存取檢閱概觀頁面上,選取 [管理] 底下的 [ 設定 ] (如果是一次性檢閱),或選取 [系列] 底下的 [ 設定 ] (如果是週期性檢閱)。
在 [進階設定] 底下,取消核取 [存取檢閱代理程式 (預覽版)] 設定上的方塊。
選取 [儲存]。
停用現有存取套件指派檢閱的存取檢閱代理程式
以至少 身分識別治理系統管理員 的身分登入 Microsoft Entra 系統管理中心。
流覽至 身分識別管理>權利管理>存取套件。
選取您希望代理程式支援的存取套件。
在存取套件概觀頁面上,選取 [原則],然後選取您要更新的原則,然後選取 [編輯]。
在編輯原則頁面上,選取 [ 生命週期]。
在生命週期索引標籤上,核取 [存取檢閱代理程式 (預覽版)] 設定上的 [停用] 方塊。
選取 [儲存]。
撤銷安全性 Copilot 存取權
如果沒有其他案例要求檢閱者存取 Security Copilot,您可能想要撤銷檢閱者的 Security Copilot 參與者 存取權。
身分識別和許可權
當代理被啟用時,會產生唯一的代理身份。 欲了解更多資訊,請參閱: 管理代理人身份。
代理會使用此身份掃描您的租戶進行中的存取審查,收集額外的見解,並將其推薦和理由儲存給審查者。 更多資訊請參見: 運作方式
權限
- 取得存取檢閱的詳細資料
- 讀取使用者、群組、應用程式和存取套件的詳細數據和生命週期工作流程歷程記錄
- 儲存存取審查建議與理由
最終決定會使用審查者的身分識別,透過 Microsoft Teams 對話提交。
代理設定頁面顯示目前分配給代理的身份: 
如果你的代理程式之前是用管理員身份設定的,你必須將其遷移到專用代理身份。 完成此遷移時,請選擇位於代理總覽頁面藍色橫幅或代理設定頁面上的「建立代理身份」選項。
提供意見反應
使用代理程式視窗頂端的 [ 提供Microsoft意見 反應] 按鈕,提供Microsoft有關代理程序的意見反應。
FAQs
為什麼 Microsoft Teams 中的代理程式會回應「您的組織似乎尚未啟用存取檢閱代理程式,或遇到非預期的問題。 請聯絡您的 IT 部門尋求協助。 同時,您可以在“我的訪問門戶”中完成待處理的審查?
如果代理程式回應此訊息,則代理程式設定(例如啟動代理程式、指派檢閱者安全性 Copilot 存取權,以及為現有檢閱啟用代理程式)可能尚未完成。
為什麼 Microsoft Teams 中的代理程式會回應「目前事情有點忙,我現在無法處理您的請求。 請稍後再試一次嗎? 如果您趕時間,我的訪問門戶隨時可用。
如果您的租用戶已超出佈建且超額的 Security Copilot 容量,代理程式會回應此訊息。