Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den Villkorsstyrd åtkomst i Microsoft Entra optimeringsagenten hjälper dig att se till att alla användare, program och agentidentiteter skyddas av principer för villkorsstyrd åtkomst. Agenten kan rekommendera nya principer och uppdatera befintliga principer baserat på metodtips som är anpassade till Nulová dôvera (Zero Trust) och Microsofts utbildningar. Agenten skapar också principgranskningsrapporter (förhandsversion), som ger insikter om toppar eller dalar som kan tyda på en felaktig principkonfiguration.
Optimeringsagenten för villkorsstyrd åtkomst utvärderar principer som:
- Kräver multifaktorautentisering (MFA).
- Framtvinga enhetsbaserade kontroller (enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter).
- Blockerar äldre autentisering och enhetskodflöde.
Agenten utvärderar också alla befintliga aktiverade principer för att föreslå en eventuell konsolidering av liknande principer. När agenten identifierar ett förslag kan du låta agenten uppdatera den tillhörande principen med ett klick.
Viktigt!
ServiceNow-integreringen, filuppladdningsfunktionen och aktivitetsbaserade körningar i agenten för optimering av villkorsstyrd åtkomst är för närvarande i förhandsversion. Den här informationen gäller en förhandsversionsprodukt som kan ändras avsevärt före lanseringen. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.
Förutsättningar
- Du måste ha minst Microsoft Entra ID P1-licensen .
- Du måste ha tillgängliga säkerhetsberäkningsenheter (SCU:er). I genomsnitt förbrukar varje agentkörning mindre än en SCU.
- Du måste ha rätt Microsoft Entra-roll.
- En säkerhetsadministratörsroll krävs för att aktivera agenten första gången.
- Rollerna Säkerhetsläsare och Global läsare kan visa agenten och eventuella förslag, men kan inte vidta några åtgärder.
- Roller som administratör för villkorlig åtkomst och säkerhetsadministratör kan visa agenten och vidta åtgärder för förslagen.
- Du kan tilldela Konditionell åtkomstadministratörer med Microsoft Security Copilot åtkomst, vilket ger dina administratörer för villkorlig åtkomst möjlighet att använda agenten.
- Mer information om roller finns i Tilldela åtkomst till Security Copilot.
- Enhetsbaserade kontroller kräver Microsoft Intune-licenser.
- Granska Sekretess och datasäkerhet i Microsoft Security Copilot.
Begränsningar
- När agenten har startat kan du inte stoppa eller pausa körningen. Det kan ta några minuter att genomföra.
- För principkonsolidering utvärderar varje agentkörning 40 liknande princippar.
- Vi rekommenderar att du kör agenten från administrationscentret för Microsoft Entra.
- Skanning är begränsad till 24 timmar.
- Du kan inte anpassa eller åsidosätta förslag från agenten.
- Agenten kan granska upp till 300 användare och 150 program i en enda körning.
Så här fungerar det
Optimeringsagenten för villkorsstyrd åtkomst söker igenom din klientorganisation efter nya användare, program och agentidentiteter från de senaste 24 timmarna och avgör om principer för villkorsstyrd åtkomst är tillämpliga. Om agenten hittar användare, program eller agentidentiteter som principer för villkorsstyrd åtkomst inte omfattar, innehåller den föreslagna nästa steg.
Nästa steg kan vara att aktivera eller ändra en princip för villkorsstyrd åtkomst. Du kan granska förslaget, hur agenten identifierade lösningen och vad principen skulle innehålla.
Varje gång agenten körs utför den följande stegen. De här inledande genomsökningsstegen förbrukar inga SKU:er.
- Agenten söker igenom alla principer för villkorlig åtkomst i din klientorganisation.
- Agenten söker efter principluckor och om några principer kan kombineras.
- Agenten granskar tidigare förslag så att den inte föreslår samma princip igen.
Om agenten identifierar något som den inte tidigare har föreslagit, tar den följande steg. De här agentåtgärdsstegen använder SKU:er.
- Agenten identifierar ett principgap eller ett par principer som kan konsolideras.
- Agenten utvärderar eventuella anpassade instruktioner som du har angett.
- Agenten skapar en ny princip i rapportläge eller ger förslag på att ändra en princip, inklusive logik i de anpassade anvisningarna.
Anmärkning
Security Copilot kräver att minst en SCU har etablerats i din klientorganisation. Denna SCU faktureras varje månad, även om du inte använder några SKU:er. Om du inaktiverar agenten stoppas inte den månatliga faktureringen för SCU.
Bland principförslagen från agenten finns:
- Kräv MFA: Agenten identifierar användare som inte omfattas av en princip för villkorsstyrd åtkomst som kräver MFA och kan uppdatera principen.
- Kräv enhetsbaserade kontroller: Agenten kan framtvinga enhetsbaserade kontroller, till exempel enhetsefterlevnad, appskyddsprinciper och domänanslutna enheter.
- Blockera äldre autentisering: Användarkonton med äldre autentisering blockeras från att logga in.
- Blockera enhetskodflöde: Agenten söker efter en princip som blockerar enhetskodflödet.
- Riskfyllda användare: Agenten föreslår en princip för att kräva säker lösenordsändring för högriskanvändare. Kräver en Microsoft Entra ID P2-licens.
- Risky-inloggningar: Agenten föreslår en princip för att kräva multifaktorautentisering för högriskinloggningar. Kräver en Microsoft Entra ID P2-licens.
- Risky-agenter: Agenten föreslår en princip för att blockera autentisering för högriskinloggningar. Kräver en Microsoft Entra ID P2-licens.
- Principkonsolidering: Agenten söker igenom din princip och identifierar överlappande inställningar. Om du till exempel har fler än en princip som har samma beviljandekontroller föreslår agenten att dessa principer konsolideras till en.
- Djup analys: Agenten utvärderar principer som motsvarar viktiga scenarier för att identifiera avvikande principer som har fler än ett rekommenderat antal undantag (vilket leder till oväntade luckor i täckningen) eller inga undantag (vilket leder till eventuell utelåsning).
- Djupanalys av MFA-gap: Agenten skannar alla aktiverade principer för villkorsstyrd åtkomst i din klientorganisation för att identifiera användare som inte omfattas av någon MFA-princip. Den här genomsökningen omfattar användare som undantas från baslinjeprinciper, som missats i gruppmedlemskap eller som hamnar i luckor mellan överlappande principer. Till skillnad från standardgenomsökningar utvärderar den här analysen hela klientkonfigurationen och är inte begränsad till de senaste 24 timmarna.
- Åtkomst med minsta privilegier för agentidentiteter (förhandsversion): Agenten identifierar agentidentiteter som har oanvända eller för omfattande Microsoft Graph-behörigheter. Därefter rekommenderas tillämpning av principen om minsta privilegium, till exempel att ta bort oanvända behörigheter eller ersätta omfattande behörigheter med mer specifika.
Viktigt!
Agenten gör inga ändringar i befintliga principer om inte en administratör uttryckligen godkänner förslaget.
Alla nya principer som agenten föreslår skapas i rapportläge.
Två principer kan konsolideras om de skiljer sig åt med högst två villkor eller kontroller.
Komma igång
Logga in på Microsoft Entra administrationscenter med minst behörigheten Säkerhetsadministratör.
På den nya startsidan väljer du Gå till agenter från agentmeddelandekortet.
Du kan också välja Security Copilot-agenter i menyn till vänster.
På panelen Optimeringsagent för villkorsstyrd åtkomst väljer du Visa information.
Välj Starta agent för att påbörja din första session.
På fliken Översikt för agenten visas eventuella förslag i rutan Senaste förslag . Du kan sedan granska principen, fastställa princippåverkan och tillämpa ändringarna om det behövs. Mer information finns i Granska och tillämpa förslag från agenten för optimering av villkorsstyrd åtkomst.
Inställningar
Agenten innehåller flera kraftfulla inställningar för att utöka funktionerna samtidigt som de blir unika för din organisation. Du kan konfigurera följande funktioner på fliken Inställningar . Mer information finns i Inställningar för optimering av agenten för villkorsstyrd åtkomst.
- Låt agenten köras automatiskt var 24:e timme.
- Aktivera körningar baserade på aktiviteter för att utlösa agenten när relevanta ändringar sker i klientorganisationen (förhandsversion).
- Ange att agenten ska söka efter ändringar i användare och program.
- Tillåt att agenten skapar policyer i endast rapportläge.
- Tillåt agenten att skicka meddelanden via Microsoft Teams.
- Tillåt att agenten skapar stegvisa distributionsplaner.
- Aktivera integrering med ServiceNow för automatisk skapande av ärenden.
- Tillhandahålla kunskapskällor till agenten för organisationsspecifika förslag.
Inbyggda integreringar
Optimeringsagenten för villkorsstyrd åtkomst kan komma med principförslag för organisationer som använder Intune för enhetshantering och global säker åtkomst för nätverksåtkomst.
Intune-integrering
Optimeringsagenten för villkorsstyrd åtkomst integreras med Intune för att:
- Övervaka enhetsefterlevnads- och programskyddsprinciper som konfigurerats i Intune.
- Identifiera potentiella luckor i tillämpningen av villkorsstyrd åtkomst.
Den här proaktiva och automatiserade metoden säkerställer att principer för villkorsstyrd åtkomst förblir i linje med organisationens säkerhetsmål och efterlevnadskrav. Agentens förslag är desamma som de andra policyförslagen, förutom att Intune tillhandahåller en del av signalen till agenten.
Agentförslag för Intune-scenarier omfattar specifika användargrupper och plattformar (iOS eller Android). Agenten identifierar till exempel en aktiv Intune-princip för appskydd som riktar sig mot finansgruppen, men den fastställer att ingen tillräcklig princip för villkorsstyrd åtkomst framtvingar appskydd. Agenten skapar en rapportprincip som kräver att användarna endast får åtkomst till resurser via kompatibla program på iOS-enheter.
För att identifiera Intune-principer för enhetsefterlevnad och principer för appskydd måste agenten köras med rollen som Global administratör eller Administratör för villkorsstyrd åtkomst and Global läsare. Rollen administratör för villkorsstyrd åtkomst räcker inte för att agenten ska kunna ta fram Intune-förslag.
Global integrering av säker åtkomst
Microsoft Entra internetåtkomst och Microsoft Entra privatåtkomst (kallas gemensamt global säker åtkomst) integreras med agenten för optimering av villkorsstyrd åtkomst för att ge förslag som är specifika för organisationens principer för nätverksåtkomst. Förslaget Aktivera ny princip för att framtvinga krav på global åtkomst till nätverket hjälper dig att justera dina globala principer för säker åtkomst som omfattar nätverksplatser och skyddade program.
Med den här integreringen identifierar agenten användare eller grupper som inte omfattas av en princip för villkorsstyrd åtkomst för att kräva åtkomst till företagsresurser endast via godkända globala kanaler för säker åtkomst. Den här principen kräver att användarna ansluter till företagsresurser med hjälp av organisationens säkra globala nätverk för säker åtkomst innan de får åtkomst till företagsappar och data. Användare som ansluter från ohanterade eller ej betrodda nätverk uppmanas att använda global säker åtkomstklient eller webbgateway. Du kan granska inloggningsloggarna för att verifiera kompatibla anslutningar.
Agentborttagning
Om du inte längre vill använda optimeringsagenten för villkorsstyrd åtkomst väljer du Ta bort agent överst i agentfönstret. Befintliga data (agentaktivitet, förslag och mått) tas bort, men alla principer som skapas eller uppdateras baserat på agentförslagen förblir intakta. Tidigare tillämpade förslag förblir oförändrade, så du kan fortsätta att använda de principer som agenten skapade eller ändrade.
Att ge återkoppling
Om du vill ge feedback om Microsoft om agenten använder du knappen Give Microsoft feedback längst upp i agentfönstret.
FAQs
När ska jag använda optimeringsagenten för villkorsstyrd åtkomst jämfört med Copilot Chat?
Optimeringsagenten för villkorsstyrd åtkomst och Microsoft Copilot Chat ge olika insikter om dina principer för villkorsstyrd åtkomst. I följande tabell jämförs de två funktionerna.
| Scenario | Agent för optimering av villkorsstyrd åtkomst | Copilotchatt |
|---|---|---|
| Allmänna scenarier | ||
| Tenantspecifik konfiguration | ✅ | |
| Avancerade resonemang | ✅ | |
| Insikter på begäran | ✅ | |
| Interaktiv felsökning | ✅ | |
| Kontinuerlig principutvärdering | ✅ | |
| Förslag på automatiserad förbättring | ✅ | |
| Vägledning om metodtips och konfiguration för certifikatutfärdare | ✅ | ✅ |
| Specifika scenarier | ||
| Proaktiv identifiering av oskyddade användare eller program | ✅ | |
| Tillämpning av MFA och andra baslinjekontroller för alla användare | ✅ | |
| Kontinuerlig övervakning och optimering av CA-principer | ✅ | |
| Principändringar med ett klick | ✅ | |
| Granska befintliga CA-principer och tilldelningar ("Gäller principer för Alice?") | ✅ | ✅ |
| Felsöka en användares åtkomst ("Varför tillfrågades Alice om MFA?") | ✅ |
Jag aktiverade agenten, men aktivitetsstatusen är Misslyckas. Vad händer?
Det är möjligt att du aktiverade agenten innan Microsoft Ignite 2025 med hjälp av ett konto som krävde rollaktivering med Privileged Identity Management (PIM). Så när agenten försökte köra misslyckades det eftersom kontot inte hade de behörigheter som krävdes vid den tidpunkten. En agent för optimering av villkorsstyrd åtkomst som aktiverades efter den 17 november 2025 använder inte längre identiteten för den användare som aktiverade den.
Du kan lösa det här problemet genom att migrera till Microsoft Entra agent-ID. Välj Skapa agentidentitet från antingen banderollsmeddelandet på agentsidan eller avsnittet Behörigheter i agentinställningarna.