Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Optimeringsagenten för villkorsstyrd åtkomst hjälper dig att se till att alla användare, program och agentidentiteter skyddas av principer för villkorlig åtkomst. Agenten kan rekommendera nya principer och uppdatera befintliga principer baserat på metodtips som är anpassade till Zero Trust och Microsofts utbildningar. Agenten skapar också principgranskningsrapporter (förhandsversion), som ger insikter om toppar eller dalar som kan tyda på en felaktig principkonfiguration.
Optimeringsagenten för villkorsstyrd åtkomst utvärderar principer som att kräva multifaktorautentisering (MFA), framtvinga enhetsbaserade kontroller (enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter) och blockera äldre autentisering och enhetskodflöde. Agenten utvärderar också alla befintliga aktiverade principer för att föreslå en eventuell konsolidering av liknande principer. När agenten identifierar ett förslag kan du låta agenten uppdatera den associerade policyn med ett klick.
Viktigt!
ServiceNow-integreringen i optimeringsagenten för villkorsstyrd åtkomst är för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Förutsättningar
- Du måste ha minst Microsoft Entra ID P1-licensen .
- Du måste ha tillgängliga Security Compute Units (SCU: säkerhetsenheter för beräkning).
- I genomsnitt förbrukar varje agentkörning mindre än en SCU.
- Du måste ha rätt Microsoft Entra-roll.
- Säkerhetsadministratör krävs för att aktivera agenten första gången.
- Rollerna Säkerhetsläsare och Global läsare kan visa agenten och eventuella förslag, men kan inte vidta några åtgärder.
- Roller som administratör för villkorlig åtkomst och säkerhetsadministratör kan visa agenten och vidta åtgärder för förslagen.
- Du kan tilldela administratörer för villkorlig åtkomst åtkomst med åtkomst till Security Copilot, vilket ger dina administratörer för villkorsstyrd åtkomst möjlighet att använda agenten också.
- Mer information finns i Tilldela åtkomst till Security Copilot.
- Enhetsbaserade kontroller kräver Microsoft Intune-licenser.
- Granska Sekretess och datasäkerhet i Microsoft Security Copilot.
Begränsningar
- När agenterna har startats kan de inte stoppas eller pausas. Det kan ta några minuter att genomföra.
- För policysammanslagning tittar varje agent bara på fyra liknande policyspar.
- Vi rekommenderar att du kör agenten från administrationscentret för Microsoft Entra.
- Genomsökningen är begränsad till en period av 24 timmar.
- Förslag från agenten kan inte anpassas eller åsidosättas.
- Agenten kan granska upp till 300 användare och 150 program i en enda körning.
Så här fungerar det
Optimeringsagenten för villkorsstyrd åtkomst söker igenom din klientorganisation efter nya användare, program och agentidentiteter från de senaste 24 timmarna och avgör om principer för villkorsstyrd åtkomst är tillämpliga. Om agenten hittar användare, program eller agentidentiteter som inte skyddas av principer för villkorsstyrd åtkomst, innehåller den föreslagna nästa steg, till exempel att aktivera eller ändra en princip för villkorsstyrd åtkomst. Du kan granska förslaget, hur agenten identifierade lösningen och vad som skulle ingå i principen.
Varje gång agenten körs utför den följande stegen. De här inledande genomsökningsstegen förbrukar inga SKU:er.
- Agenten söker igenom alla principer för villkorlig åtkomst i din klientorganisation.
- Agenten söker efter principluckor och om några principer kan kombineras.
- Agenten granskar tidigare förslag så att den inte föreslår samma princip igen.
Om agenten identifierar något som inte föreslogs tidigare, vidtar den följande steg. De här agentåtgärdsstegen använder SKU:er.
- Agenten identifierar ett principgap eller ett par principer som kan konsolideras.
- Agenten utvärderar eventuella anpassade instruktioner som du har angett.
- Agenten skapar en ny princip i rapportläge eller ger förslag på att ändra en princip, inklusive logik som tillhandahålls av de anpassade anvisningarna.
Anmärkning
Security Copilot kräver att minst en SCU etableras i din klientorganisation, men den SCU debiteras varje månad även om du inte använder några SCU:er. Om du inaktiverar agenten stoppas inte den månatliga faktureringen för SCU.
Bland de principförslag som identifierats av agenten finns:
- Kräv MFA: Agenten identifierar användare som inte omfattas av en princip för villkorsstyrd åtkomst som kräver MFA och kan uppdatera principen.
- Kräv enhetsbaserade kontroller: Agenten kan framtvinga enhetsbaserade kontroller, till exempel enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter.
- Blockera äldre autentisering: Användarkonton med äldre autentisering blockeras från att logga in.
- Blockera enhetskodflöde: Agenten söker efter en princip som blockerar enhetskodflödesautentisering.
- Riskfyllda användare: Agenten föreslår en princip för att kräva säker lösenordsändring för högriskanvändare. Kräver Microsoft Entra ID P2-licens.
- Riskfyllda inloggningar: Agenten föreslår en princip för att kräva multifaktorautentisering för högriskinloggningar. Kräver Microsoft Entra ID P2-licens.
- Riskfyllda agenter: Agenten föreslår en princip för att blockera autentisering för högriskinloggningar. Kräver Microsoft Entra ID P2-licens.
- Principkonsolidering: Agenten söker igenom din princip och identifierar överlappande inställningar. Om du till exempel har fler än en princip som har samma beviljandekontroller föreslår agenten att dessa principer konsolideras till en.
- Djupanalys: Agenten tittar på principer som motsvarar viktiga scenarier för att identifiera avvikande principer som har mer än ett rekommenderat antal undantag (vilket leder till oväntade luckor i täckningen) eller inga undantag (vilket leder till eventuell utelåsning).
Viktigt!
Agenten gör inga ändringar i befintliga principer om inte en administratör uttryckligen godkänner förslaget.
Alla nya policyer som föreslås av agenten skapas i endast-rapportläge.
Två principer kan konsolideras om de skiljer sig åt med högst två villkor eller kontroller.
Komma igång
Logga in på Microsoft Entra administrationscenter med minst behörigheten Säkerhetsadministratör.
På den nya startsidan väljer du Gå till agenter från agentmeddelandekortet.
- Du kan också välja Agenter på den vänstra navigeringsmenyn.
Välj Visa information på panelen Optimeringsagent för villkorsstyrd åtkomst.
Välj Starta agent för att påbörja din första session.
När översiktssidan för agenten läses in visas eventuella förslag i rutan Senaste förslag. Om ett förslag har identifierats kan du granska principen, fastställa princippåverkan och tillämpa ändringarna om det behövs. Mer information finns i Granska och godkänna agentförslag för villkorsstyrd åtkomst.
Inställningar
Agenten innehåller flera kraftfulla inställningar för att utöka funktionerna samtidigt som de blir unika för din organisation. Följande funktioner kan konfigureras från fliken Inställningar . Mer information finns i Inställningar för optimering av agenten för villkorsstyrd åtkomst.
- Tillåt agenten att köras automatiskt varje 24:e timme
- Ange att agenten ska söka efter ändringar i användare och program
- Tillåt att agenten skapar principer i rapportläge
- Tillåt att agenten skickar meddelanden via Microsoft Teams
- Tillåt att agenten skapar stegvisa distributionsplaner
- Aktivera integrering med ServiceNow för automatisk skapande av biljett
- Tillhandahålla kunskapskällor till agenten för organisationsspecifika förslag
Inbyggda integreringar
Optimeringsagenten för villkorsstyrd åtkomst kan komma med principförslag för organisationer som använder Intune för enhetshantering och global säker åtkomst för nätverksåtkomst.
Intune-integrering
Optimeringsagenten för villkorsstyrd åtkomst integreras med Microsoft Intune för att övervaka enhetsefterlevnads- och programskyddsprinciper som konfigurerats i Intune och identifiera potentiella luckor i tillämpningen av villkorsstyrd åtkomst. Den här proaktiva och automatiserade metoden säkerställer att principer för villkorsstyrd åtkomst förblir i linje med organisationens säkerhetsmål och efterlevnadskrav. Agentens förslag är desamma som de andra policyförslagen, förutom att Intune tillhandahåller en del av signalen till agenten.
Agentförslag för Intune-scenarier omfattar specifika användargrupper och plattformar (iOS eller Android). Agenten identifierar till exempel en aktiv Intune-appskyddsprincip som riktar sig mot gruppen "Finance", men fastställer att det inte finns någon tillräcklig princip för villkorsstyrd åtkomst som tillämpar appskydd. Agenten skapar en rapportprincip som kräver att användarna endast får åtkomst till resurser via kompatibla program på iOS-enheter.
För att identifiera Intune-enhetsefterlevnad och appskyddsprinciper måste agenten köras med rollerna som Global Administratör eller Villkorsstyrd Åtkomst-administratör OCH Global Läsare. Administratören för villkorsstyrd åtkomst räcker inte för att agenten ska kunna ta fram Intune-förslag.
Global integrering av säker åtkomst
Microsoft Entra Internet Access och Microsoft Entra Private Access (kallas gemensamt global säker åtkomst) integreras med agenten för optimering av villkorsstyrd åtkomst för att ge förslag som är specifika för organisationens principer för nätverksåtkomst. Förslaget , Aktivera ny princip för att framtvinga krav på global åtkomst till nätverket, hjälper dig att justera dina globala principer för säker åtkomst som omfattar nätverksplatser och skyddade program.
Med den här integreringen identifierar agenten användare eller grupper som inte omfattas av en princip för villkorsstyrd åtkomst för att kräva åtkomst till företagsresurser endast via godkända globala kanaler för säker åtkomst. Den här principen kräver att användarna ansluter till företagsresurser med hjälp av organisationens säkra globala nätverk för säker åtkomst innan de får åtkomst till företagsappar och data. Användare som ansluter från ohanterade eller ej betrodda nätverk uppmanas att använda global säker åtkomstklient eller webbgateway. Du kan granska inloggningsloggarna för att verifiera kompatibla anslutningar.
Ta bort agent
Om du inte längre vill använda optimeringsagenten för villkorsstyrd åtkomst väljer du Ta bort agent överst i agentfönstret. Befintliga data (agentaktivitet, förslag och mått) tas bort, men alla principer som skapas eller uppdateras baserat på agentförslagen förblir intakta. Tidigare tillämpade förslag förblir oförändrade så att du kan fortsätta att använda de principer som skapats eller ändrats av agenten.
Att ge återkoppling
Använd knappen Ge Microsoft feedback överst i agentfönstret för att ge feedback till Microsoft om agenten.
FAQs
När ska jag använda optimeringsagenten för villkorsstyrd åtkomst jämfört med Copilot Chat?
Båda funktionerna ger olika insikter om dina principer för villkorsstyrd åtkomst. Följande tabell innehåller en jämförelse av de två funktionerna:
| Scenario | Agent för optimering av villkorsstyrd åtkomst | Copilotchatt |
|---|---|---|
| Allmänna scenarier | ||
| Använda klientspecifik konfiguration | ✅ | |
| Avancerade resonemang | ✅ | |
| Insikter på begäran | ✅ | |
| Interaktiv felsökning | ✅ | |
| Kontinuerlig principutvärdering | ✅ | |
| Förslag på automatiserad förbättring | ✅ | |
| Få vägledning om bästa praxis och konfiguration för certifikatutfärdare | ✅ | ✅ |
| Specifika scenarier | ||
| Identifiera oskyddade användare eller program proaktivt | ✅ | |
| Framtvinga MFA och andra baslinjekontroller för alla användare | ✅ | |
| Kontinuerlig övervakning och optimering av CA-principer | ✅ | |
| Principändringar med ett klick | ✅ | |
| Granska befintliga CA-principer och tilldelningar (Gäller principer för Alice?) | ✅ | ✅ |
| Felsöka en användares åtkomst (Varför tillfrågades Alice om MFA?) | ✅ |
Jag aktiverade agenten men ser "Misslyckas" i aktivitetsstatusen. Vad händer?
Det är möjligt att agenten aktiverades före Microsoft Ignite 2025 med ett konto som krävde rollaktivering med Privileged Identity Management (PIM). Så när agenten försökte köra misslyckades det eftersom kontot inte hade de behörigheter som krävdes vid den tidpunkten. Optimeringsagenter för villkorsstyrd åtkomst som aktiverades efter den 17 november 2025 använder inte längre identiteten för den användare som aktiverade agenten.
Du kan lösa det här problemet genom att migrera till att använda Microsoft Entra-agent-ID. Välj Skapa agentidentitet från antingen banderollsmeddelandet på agentsidan eller avsnittet Identitet och behörigheter i agentinställningarna.