Intune 政策配置代理程式採用 Security Copilot 中由 AI 驅動的生成功能。 它幫助 IT 管理員將複雜的需求與業界標準文件轉化為可執行的 Intune 設定。
管理員能快速產生符合組織或法規基準的 Intune 設定目錄政策,包括任何強化措施。
有了經紀人,你:
上傳文件或產業基準,客服人員會辨識出相關且相符的 Intune 設定。
您可以上傳合規標準及常見產業基準,如安全技術實施指南 (STIGs) 及國家標準與技術研究院 (NIST) 指引。
可以上傳內部政策文件和基準,例如貴組織的安全政策或合規要求。
根據你上傳的文件,取得相關的設定和可行的建議。
你可以自訂建議,建立適合你環境的基準。 例如,如果您的組織對某個 CIS 規則有例外,您可以將該規則從最終政策中移除。
客服人員也會引導您根據建議建立政策,並根據組織需求協助配置每個設定。 你可以檢視並保存這些建議。
本文內容:
- 列出使用該代理人的先決條件
- 解釋了代理的運作方式
- 會教你如何設定代理人
- 會教你如何續約或移除代理人
欲了解如何使用代理程式,請參閱 「使用政策設定代理程式」。
必要條件
雲端需求
該代理僅支援公有雲。 政府雲端不支援。
執照要求
要在 Microsoft Intune 中使用 Security Copilot 代理,需取得以下授權:
- Microsoft Intune 方案 1 訂閱
- Microsoft Security Copilot擁有足夠安全運算單元 (SCU)
插件需求
外掛程式使 Security Copilot 代理能與 Microsoft 服務連接並執行專門操作。 此代理程式需要以下外掛:
如果你在 Intune 裡使用 Copilot,那 Intune 外掛已經啟用了。 了解更多關於插件的資訊。
裝置平台需求
此功能支援以下平台:
- Windows
職務要求
要 啟用並設定 代理,請使用具有以下角色的帳號:
Security Copilot 職務:
欲了解 Security Copilot 角色,請參閱 Security Copilot 角色與權限。
Intune 職務:
要 使用客服人員、 產生建議並 獲得政策建議,請使用具有以下角色的帳號:
要 使用代理、 產生建議、 取得政策建議及 建立政策,請使用具有以下角色的帳號:
代理人的運作原理
在高層次,代理人會執行以下步驟。
輸入擷取:你給代理人一個包含你保單需求的輸入。 它可以是你上傳的文件,也可以直接輸入文字,比如
All laptops must have BitLocker enabled with AES-256 encryption。代理程式支援自訂文件及項目符號清單的需求。
自然語言處理與解析:當你對輸入執行代理時,代理會使用 Security Copilot 來解析並映射輸入。 它會閱讀語言,並識別文本中描述的個別場景。
例如,如果文件寫著「禁止使用 USB 儲存裝置」,則代理會將該文字解讀為關於外部儲存政策的要求。
Security Copilot 已調整為從文字描述中辨識常見政策聲明與技術控制。 它能處理複雜的措辭或多樣格式。
將規則映射到 Intune 設定:針對每個解析需求,代理嘗試尋找對應的設定目錄設定以達成該目標。 代理利用內建對 Intune 能力的認知,選擇符合需求的正確設定與設定值。
產生政策建議:代理會將映射結果彙整成包含建議設定的草擬 Intune 設定檔。
管理員審查與確認:在應用任何東西之前,你先審查代理人的輸出。 在管理中心,選擇客服人員的建議以查看詳細資訊。 你可能會看到一份推薦設定清單 (支援映射) ,以及不支援或未映射項目的獨立清單。
在這個階段,你應該:
-
查看細節 - 你可以深入每個建議設定,閱讀理由並做出調整。 例如,代理人可能會建議密碼長度為 14 個字元,因為基準線顯示
at least 12。 - 移除或排除 - 如果有某些建議你不想實作,可以在告訴代理建立裝置設定政策時移除它們。
- 確認不支援項目——對於 Intune 無法強制執行的任何需求,請記錄你打算如何處理或確認它們。 代理人的角色是資訊性,確保你知道任何缺口。
-
查看細節 - 你可以深入每個建議設定,閱讀理由並做出調整。 例如,代理人可能會建議密碼長度為 14 個字元,因為基準線顯示
政策建立:確認建議後,您可以選擇建立包含所有推薦設定的新設定檔。 這個設定目錄政策在你指派之前不會強制執行,就像你手動建立的任何 Intune 政策一樣。
此時,保單仍是一般的 Intune 保單。 你可以把它指派到適當的群組,並重新命名政策。
部署與監控:一旦政策指派完成,裝置就會開始回報新的設定。 代理人的工作完成,直到你再次執行。
代理人身份
代理程式會以設定時所使用的帳號的身份與權限運作。 動作限制於該帳號的權限,且每次執行時身份都會刷新。 因此,帳號權限的任何變更都會影響代理在下一次執行時的能力。
我們建議您以 Security Copilot 擁有者角色登入,以便設定客服人員。 有些角色可能自動擁有所需的權限。 欲了解更多,請參閱 Security Copilot 職務。
設定代理人
在啟用代理之前:
- 管理員必須手動啟動代理程式。 一旦開始,就沒有停止或暫停代理的選項。
- 該代理只能從 Intune 管理中心啟動。
- Microsoft Security Copilot 入口網站中的會話細節僅對設定代理程式的使用者可見。
- 每個租戶只支援一個代理實例。
請依照以下步驟設定代理人:
在 Intune 管理中心,選擇 Agents>Policy Configuration Agent。
在總覽中,選擇設定代理。
設定政策組態代理的窗格列出設置代理所需的權限,並提供更多設定需求的資訊。
選擇 設定代理人。
完成後,代理即可使用。 欲了解更多使用代理程式,請參閱 「使用政策設定代理程式」。
續約代理人
如果你在 90 天內沒有使用代理,代理授權會失效,代理執行會失敗,直到重新認證為止。 你可以隨時續簽代理認證。
隨著到期日越來越近,Intune 會在客服員總覽頁面顯示警告,每位 Copilot 擁有者和 Copilot 貢獻者都能看到。 警告提示更新代理身份。
若要重新授權代理身份,請選擇 「更新認證」。 當你續約代理認證時,代理會自動使用登入的憑證。 如果你不想使用登入的憑證,請選擇「agent >設定」標籤>「選擇另一個身份」。
續約後,警告橫幅會消失,並會顯示祝酒通知以確認續約成功。
移除該藥劑
當你移除代理人時,所有產生的相關資料,包括建議和活動都會被刪除。 先前使用的建議保持不變。
移除代理實例的步驟:
- 在 Microsoft Intune 管理中心,選擇代理。
- 選擇你想移除的代理實例。
- 選擇 移除代理 並確認移除。
移除後:
- agent 面板會回復到原始狀態。
- 管理員可以透過重複設定流程來重新安裝代理程式。
協助塑造 Intune 客服人員的未來
加入我們的 Intune 客服人員回饋論壇,分享見解並影響 Microsoft Intune 未來的功能。
註冊並了解更多: https://aka.ms/IntuneAgentsForum