Compartir a través de

Agente de configuración de directivas en Microsoft Intune

El agente de configuración de directivas de Intune usa las características generativas con tecnología de inteligencia artificial en Security Copilot. Ayuda a los administradores de TI a traducir los requisitos complejos y los documentos estándar del sector en configuraciones de Intune accionables.

Los administradores pueden generar rápidamente directivas de catálogo de configuración de Intune que se alineen con las líneas base organizativas o normativas, incluidas las iniciativas de protección.

Con el agente, haga lo siguiente:

  • Cargue un documento o un punto de referencia del sector, y el agente identifica la configuración de Intune pertinente y coincidente.

    Puede cargar estándares de cumplimiento y pruebas comparativas comunes del sector, como guías de implementación técnica de seguridad (STIG) y directrices del Instituto Nacional de Estándares y Tecnología (NIST).

  • Puede cargar documentos de directivas internas y líneas base, como las directivas de seguridad o los requisitos de cumplimiento de su organización.

  • Obtenga los valores de configuración pertinentes y sugerencias accionables en función de los documentos cargados.

  • Puede personalizar las sugerencias para crear una línea base que se ajuste a su entorno. Por ejemplo, si su organización tiene una excepción a una regla CIS, puede quitar esa regla de la directiva final.

El agente también le guía a través de la creación de una directiva mediante las sugerencias y ayuda a configurar cada configuración en función de las necesidades de su organización. Puede revisar y guardar estas sugerencias.

En este artículo:

  • Enumera los requisitos previos para usar el agente.
  • Explica cómo funciona el agente
  • Muestra cómo configurar el agente
  • Muestra cómo renovar o quitar el agente

Para obtener información sobre cómo usar el agente, consulte Uso del agente de configuración de directivas.

Requisitos previos

Requisitos de la nube

El agente solo se admite en la nube pública. No se admite en nubes gubernamentales.

Requisitos de licencia

Para usar Security Copilot agentes en Microsoft Intune, se requieren las siguientes licencias:

Requisitos de complementos

Los complementos permiten a Security Copilot agentes conectarse a los servicios de Microsoft y realizar acciones especializadas. Este agente requiere el siguiente complemento:

Si usa Copilot en Intune, el complemento Intune ya está habilitado. Obtenga más información sobre los complementos.

Requisitos de la plataforma de dispositivos

Esta característica admite las siguientes plataformas:

  • Windows

Requisitos de roles

Para habilitar y configurar el agente, use una cuenta con los siguientes roles:

Security Copilot roles:

Intune roles:

Para usar el agente, generar sugerencias y obtener recomendaciones de directiva, use una cuenta con los siguientes roles:

Security Copilot roles:

Intune roles:

Para usar el agente, generar sugerencias, obtener recomendaciones de directiva ycrear directivas, use una cuenta con los siguientes roles:

Security Copilot roles:

Intune roles:

Funcionamiento del agente

Diagrama que muestra los diferentes pasos y fases del flujo de trabajo del agente de configuración de directivas en Microsoft Intune.

En un nivel alto, el agente realiza los pasos siguientes.

  1. Ingesta de entrada: proporcione al agente una entrada que tenga los requisitos de la directiva. Puede ser un documento que cargue o dirija la entrada de texto, como All laptops must have BitLocker enabled with AES-256 encryption.

    El agente admite documentos personalizados y listas de requisitos con viñetas.

  2. Procesamiento y análisis de lenguaje natural: al ejecutar el agente en la entrada, el agente usa Security Copilot para analizar y asignar la entrada. Lee el idioma e identifica la configuración individual que describe el texto.

    Por ejemplo, si el documento dice "No permitir el uso de dispositivos de almacenamiento USB", el agente interpreta el texto como un requisito sobre la directiva de almacenamiento externo.

    Security Copilot está optimizado para reconocer instrucciones de directiva comunes y controles técnicos a partir de descripciones textuales. Puede controlar textos complejos o formatos variados.

  3. Asigna reglas a Intune configuración: para cada requisito analizado, el agente intenta encontrar una configuración de catálogo de configuración correspondiente que logre ese objetivo. El agente usa el conocimiento integrado de las funcionalidades de Intune para elegir la configuración correcta y el valor de configuración que cumple el requisito.

  4. Genera sugerencias de directiva: el agente compila los resultados de la asignación en un borrador Intune perfil de configuración con la configuración recomendada.

  5. Administración revisión y confirmación: antes de aplicar cualquier cosa, revise la salida del agente. En el centro de administración, seleccione la sugerencia del agente para ver los detalles. Es posible que vea una lista de la configuración recomendada (asignaciones admitidas) y listas independientes para los elementos no admitidos o no asignados.

    En esta fase, debe:

    • Ver detalles : puede profundizar en cada configuración recomendada para leer la lógica y ajustarla. Por ejemplo, el agente podría sugerir una longitud de contraseña de 14 caracteres porque la línea base dijo at least 12.
    • Quitar o excluir : si hay ciertas sugerencias que no desea implementar, puede quitarlas cuando indique al agente que cree la directiva de configuración del dispositivo.
    • Confirmar elementos no admitidos: para los requisitos que Intune no puedan aplicar, documente cómo planea controlarlos o confirmarlos. El rol del agente es informativo y para asegurarse de que es consciente de las lagunas.

  6. Creación de directivas: después de confirmar las sugerencias, puede optar por crear un nuevo perfil de configuración con todas las opciones recomendadas. Esta directiva de catálogo de configuración no se aplica hasta que se asigna, al igual que cualquier directiva de Intune que cree manualmente.

    En esta fase, la directiva es una directiva de Intune normal. Puede asignarla a los grupos adecuados y cambiar el nombre de la directiva.

  7. Implementación y supervisión: una vez asignada la directiva, los dispositivos comienzan a notificar con la nueva configuración. El trabajo del agente se realiza hasta que se vuelve a ejecutar.

Identidad del agente

El agente se ejecuta con la identidad y los permisos de la cuenta usada durante esta configuración. Las acciones se limitan a los permisos de esa cuenta y la identidad se actualiza con cada ejecución. Por lo tanto, los cambios en los permisos de la cuenta afectan a las funcionalidades del agente durante su siguiente ejecución.

Se recomienda iniciar sesión con el rol propietario de Security Copilot para configurar el agente. Algunos roles pueden tener automáticamente los permisos necesarios. Para más información, consulte roles de Security Copilot.

Configuración del agente

Antes de habilitar el agente:

  • Un administrador debe iniciar manualmente el agente. Una vez iniciado, no hay ninguna opción para detener o pausar el agente.
  • El agente solo se puede iniciar desde el centro de administración de Intune.
  • Los detalles de la sesión del portal de Microsoft Security Copilot solo son visibles para el usuario que configuró el agente.
  • Solo se admite una instancia de agente por inquilino.

Siga estos pasos para configurar el agente:

  1. En el centro de administración de Intune, seleccione Agente deconfiguración de directivas de agentes>.

  2. En Información general, seleccione Configurar agente.

    En el panel Configurar el agente de configuración de directivas se enumeran los permisos necesarios para configurar el agente y se proporciona más información sobre los requisitos de instalación.

  3. Seleccione Configurar agente.

Cuando se complete, el agente estará listo para su uso. Para más información sobre el uso del agente, consulte Uso del agente de configuración de directivas.

Renovación del agente

Si no usa un agente durante 90 días, la autorización del agente expira y se ejecuta el agente hasta que se vuelve a autenticar. Puede renovar la autenticación del agente en cualquier momento.

A medida que se acerca la expiración, Intune muestra una advertencia en la página de información general del agente que puede ver cada propietario de Copilot y colaborador de Copilot. La advertencia le pide que renueve la identidad del agente.

Para volver a autenticar la identidad del agente, seleccione Renovar autenticación. Al renovar la autenticación del agente, el agente usa automáticamente las credenciales de sesión iniciadas. Si no desea usar las credenciales de inicio de sesión, seleccione la pestaña >Configuración del agente >Elija otra identidad.

Después de la renovación, el banner de advertencia desaparece y una notificación del sistema valida que la renovación se realiza correctamente.

Captura de pantalla de la pantalla de cambio de identidad del agente de configuración de directivas en Microsoft Intune.

Quitar el agente

Al quitar un agente, se eliminan todos los datos asociados generados, incluidas las sugerencias y las actividades. Las sugerencias aplicadas anteriormente permanecen sin cambios.

Pasos para quitar una instancia del agente:

  1. En el centro de administración de Microsoft Intune, seleccione Agentes.
  2. Seleccione la instancia del agente que desea quitar.
  3. Seleccione Quitar agente y confirme la eliminación.

Después de la eliminación:

  • El panel del agente vuelve a su estado original.
  • Un administrador puede volver a instalar el agente más adelante si repite el proceso de instalación.

Ayudar a dar forma al futuro de los agentes de Intune

Únase a nuestro foro de comentarios de Intune Agents para compartir información e influir en las próximas funcionalidades en Microsoft Intune.

Regístrese y obtenga más información: https://aka.ms/IntuneAgentsForum

Contenido relacionado

  • Last updated on