Microsoft Entra 代理程式可以將組織中的許多身分識別和存取管理作業自動化,以協助減少手動工作負載。 這些代理程式與 Microsoft Security Copilot 無縫協作,以自動執行重複性任務、提供建議並幫助管理員專注於更高價值的策略工作。
Microsoft Entra 代理程式會分析您的身分識別環境、套用最佳做法,並採取自動化動作來改善您的身分識別和存取安全性狀態和作業效率。 它們會直接與 Microsoft Entra 服務整合,使用組織的身分識別資料和設定來提供內容相關、可採取動作的深入解析。
什麼是 Microsoft Entra 代理程式?
Microsoft Entra 代理程式是 AI 支援的工具,可在組織的身分識別環境中運作,以自動化和優化身分識別和存取管理工作。 代理程式以特定產品區域的概念和工作為基礎,例如條件式存取。 這些代理可以:
- 自動化日常任務 - 處理耗時、重複的身分識別和存取管理操作
- 提供建議 - 分析您的環境,並根據 Microsoft 最佳做法和零信任原則提出改善建議
- 自主運作 - 依排程或觸發程式執行,以持續監控和最佳化您的身分識別基礎架構
- 順暢整合 - 在組織現有的 Microsoft Entra 工作流程中工作
- 學習和適應 - 根據您的環境和反饋,隨著時間的推移改進建議
每個代理程式的工作方式略有不同,但從本質上講,它們首先在代理程式功能範圍內分析您目前的環境。 如果代理發現差距、機會或潛在問題,它可以代表您採取行動。 每個代理程式都會提供其如何提出建議的上下文、推理和活動歷史記錄。
管理員可以將代理程式設定為自動執行,或觸發代理程式手動執行。
由於每個代理執行特定的任務,因此需要特定的配置才能在該任務的邊界內運作。 管理員還需要特定的 Microsoft Entra 角色來設定和管理代理程式。
- 代理身份:當代理被啟用時,會產生唯一的代理身份。 了解更多關於 代理人身份的資訊。
- 權限:代理身份被賦予執行任務所需的特定讀寫權限。
- 基於角色的存取:管理員需要特定角色來設定、管理和使用代理程式。
可用的 Microsoft Entra 代理程式
下列代理程式目前可用於 Microsoft Entra。 由於這些代理程式的發行和更新速度很快,因此每個代理程式可能具有不同可用性階段的功能。 預覽功能經常新增。
存取檢閱代理程式
讓您的審閱者能夠做出快速、準確的存取決策。 具有 Microsoft Entra ID 控管的存取檢閱代理程式提供深入解析和建議,讓檢閱者可以在 Microsoft Teams 內透過簡單的交談完成其工作。
| Attribute | Description |
|---|---|
| 身份 | 啟用代理時會建立一個唯一的 代理身份 以供授權。 代理人會利用這個身份掃描你的租戶是否有主動存取的評論,收集更多見解,並將推薦與理由保存給審查者。 欲了解更多資訊,請參見: 運作方式。 最終決定透過 Microsoft Teams 對話提交,會使用審查者的身份。 |
| 許可證 | Microsoft Entra ID 控管或 Microsoft Entra 套件 |
| 權限 | 取得存取檢閱的詳細資料 閱讀使用者、群組、應用程式及存取套件的詳細資料及生命週期流程歷史。 儲存存取審查建議與理由 |
| Plugins | Microsoft Entra |
| Products | ID 治理存取審查 |
| 角色型存取 | Identity Governance Administrator 和 Lifecycle Workflows Administrator 都需要配置和使用代理程式 |
| 觸發程序 | 每 24 小時執行一次或手動觸發 |
應用程式生命週期管理代理程式(預覽版)
應用程式生命週期管理代理程式(預覽版)協助您管理 Microsoft Entra 應用程式的全生命週期,從發現與導入到風險修復與退役。 它將全球安全存取遙測資料中的身份與網路訊號,與未管理的私人應用程式及 Microsoft Entra 應用程式資料相互關聯。 它提供明確且由 AI 驅動的建議,以減少應用程式蔓延並大規模執行治理。 這個代理程式目前正在部署中,可能無法在所有租戶中使用。
| Attribute | Description |
|---|---|
| 身份 | 啟用代理時會建立一個唯一的 代理身份 以供授權。 代理會利用這個身份掃描你的租戶,並擁有特定 權限 ,以檢視網路日誌和應用程式資料,提供應用程式管理的見解與建議。 代理身份包含用於任何寫入動作的角色 基礎存取 權限,例如建立與停用應用程式、拒絕建議,以及發送電子郵件或 Teams 通知。 |
| 許可證 | Microsoft Entra ID P2 或 Workload Identity Premium P2 用於提供應用程式風險修復建議,以及/或 Microsoft Entra Suite 或 Microsoft Entra 私有存取授權用於提供應用程式探索與上線建議 |
| 權限 | 全球安全存取網路日誌的讀取權限。 使用者、應用程式及服務主體的讀取權限。 閱讀權限以獲取 Microsoft Entra 推薦。 |
| Plugins | Microsoft Entra |
| Products |
全球安全存取 Microsoft Entra 推薦 企業應用 應用程式管理 |
| 角色型存取 | 設定代理人並管理代理人: 雲端應用程式系統管理員 應用程式管理員 全球安全存取系統管理員 安全性系統管理員 查看代理的輸出建議: 報表閱讀器 安全性閱讀器 Globl Reader |
條件式存取優化代理程式
條件存取優化代理透過分析您的條件存取政策並提出改進建議,確保全面的用戶保護。 代理程式會根據 Microsoft 最佳做法和零信任原則評估您目前的原則設定。
| Attribute | Description |
|---|---|
| 身份 | 啟用代理時會建立一個唯一的 代理身份 以供授權。 代理會利用這個身份掃描租戶的條件存取政策與設定,尋找漏洞、重疊及設定錯誤。 |
| 許可證 | Microsoft Entra ID P1 |
| 權限 | 檢查政策設定 在僅限報告模式中建立新原則 建議需要核准的政策變更 |
| Plugins | Microsoft Entra |
| Products | Microsoft Entra 條件式存取 |
| 角色型存取 |
安全管理員 來設定代理程式 條件式存取管理員 ,以便使用代理程式 |
| 觸發程序 | 每 24 小時執行一次或手動觸發 |
身份風險管理代理(預覽版)
Microsoft Entra ID Protection 中的 身份風險管理代理 程式,協助管理員調查潛在風險、了解潛在影響,並採取果斷行動保護組織的關鍵資產。
| Attribute | Description |
|---|---|
| 身份 | 使用 Microsoft Entra Agent ID 進行授權 |
| 許可證 | Microsoft Entra Agent ID |
| 權限 | 閱讀 Microsoft Entra ID Protection 的風險偵測與風險歷史 閱讀登入與稽核紀錄 閱讀使用者資訊 |
| Plugins | Microsoft Entra |
| Products |
安全副駕駛 Microsoft Entra ID 保護功能 |
| 角色型存取 | 安全性系統管理員 |
| 觸發程序 | 每 24 小時運行一次、手動觸發,或持續監控 |
開始使用 Microsoft Entra 代理程式
先決條件
- 您必須具備可用的 安全性計算單位 (SCU) 。
- 為了購買安全性計算單位,您必須具有 Azure 訂用帳戶。 建立您的免費 Azure 帳戶。
- 檢閱 Microsoft Security Copilot 中的隱私權和數據安全性
設定程序
- 使用 Security Copilot 設定指南啟用 Security Copilot。
- 使用您要設定之代理程式所需的最低許可權角色登入 Microsoft Entra 系統管理中心 。
- 瀏覽至 客服專員, 然後選取您要設定的客服專員的檢視 詳細資料 。
Microsoft 生態系統中的代理程式
雖然本文著重於 Microsoft Entra 代理程式,但類似的代理程式可在其他 Microsoft 安全性產品中使用。 如需詳細資訊,請參閱 Microsoft Intune、 Microsoft Defender 和 Microsoft Purview。