Microsoft Entra 条件访问优化代理

Microsoft Entra 条件访问优化代理可帮助你确保所有用户、应用程序和代理标识都受条件访问策略的保护。 代理可以根据与 零信任 和Microsoft学习相符的最佳做法，推荐新策略和更新现有策略。 该代理还会创建策略评审报告（预览版），该报告提供有关可能指示策略配置错误的峰值或低点的见解。

条件访问优化代理评估策略，例如：

• 需要多重身份验证（MFA）。
• 强制执行基于设备的控制措施（设备合规性、应用保护策略和已加入域的设备）。
• 阻止旧式身份验证和设备代码流。

代理还会评估所有已启用的现有策略，以建议合并类似的策略。 当代理识别出建议时，您可以让代理通过一键修复更新相关策略。

先决条件

• 必须至少具有 Microsoft Entra ID P1 许可证。
• 必须具有可用的安全计算单元（SCU）。 平均而言，每个代理运行消耗的 SCU 数少于一个。
• 你必须拥有适当的 Microsoft Entra 角色。
  • 需要安全管理员角色才能首次激活代理程序。
  • 安全读取者和全局读取者角色可以查看代理和任何建议，但无法执行任何操作。
  • 条件访问管理员 和安全 管理员 角色可以查看 代理，并针对建议采取措施。
  • 你可以为 条件访问管理员 分配 智能 Microsoft Security Copilot 副驾驶® 访问权限，从而使条件访问管理员能够使用该代理。
  • 有关角色的详细信息，请参阅分配 Security Copilot 访问权限。
• 基于设备的控件需要 Microsoft Intune 许可证。
• 查看 智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全。

局限性

• 代理启动后，无法停止或暂停运行。 代理运行起来可能需要几分钟。
• 在策略整合过程中，每次代理运行都会评估 40 对相似的策略。
• 建议从 Microsoft Entra 管理中心运行代理。
• 扫描时间限制为 24 小时。
• 无法自定义或替代代理的建议。
• 代理可以在一次运行中最多查看 300 个用户和 150 个应用程序。

工作原理

条件访问优化代理从过去 24 小时内扫描租户中的新用户、应用程序和代理标识，并确定条件访问策略是否适用。 如果代理发现条件访问策略未涵盖的用户、应用程序或代理标识，则会提供建议的后续步骤。

下一步可能是打开或修改条件访问策略。 可以查看建议、代理如何标识解决方案以及策略将包含的内容。

每次运行代理时，都会执行以下步骤。 这些初始扫描步骤不使用任何 SCU。

1. 代理会扫描您租户中的所有条件访问策略
2. 代理会检查策略差距，以及是否可以组合任何策略。
3. 代理会审查以前的建议，以便它不会再次建议相同的策略。

如果代理发现了之前未曾建议过的内容，则会执行以下步骤。 这些代理动作步骤消耗 SCU。

1. 代理会识别策略缺口或可合并的策略对
2. 代理会评估你提供的任何自定义说明。
3. 代理在仅报告模式下创建新的策略，或提供修改策略的建议，包括自定义说明中的任何逻辑。

代理的策略建议包括：

• 需要 MFA：代理识别不受要求 MFA 的条件访问策略覆盖的用户，并可能更新该策略。
• 需要基于设备的控件：代理可以强制实施基于设备的控件，例如设备符合性、应用保护策略和已加入域的设备。
• 阻止旧式身份验证：阻止使用旧式身份验证的用户帐户登录。
• 阻止设备代码流：代理查找阻止设备代码流的策略。
• 有风险的用户：代理建议策略要求对高风险用户进行安全密码更改。 需要Microsoft Entra ID P2 许可证。
• Risky 登录：代理建议策略要求对高风险登录进行多重身份验证。需要Microsoft Entra ID P2 许可证。
• Risky 代理：代理建议策略来阻止高风险登录的身份验证。需要Microsoft Entra ID P2 许可证。
• 策略合并：代理扫描策略并标识重叠设置。 例如，如果有多个策略具有相同的授予控制，代理建议将这些策略合并为一个策略。
• 深入分析：代理程序会评估与关键场景相对应的策略，以识别异常策略，即例外项数量超过建议值（从而导致覆盖范围出现意外缺口）或没有任何例外项（从而可能导致被锁定在外）的策略。
• 深入分析 MFA 差距分析：代理扫描租户中所有已启用的条件访问策略，以识别任何 MFA 策略未涵盖的用户。 此次扫描涵盖被基线策略排除在外、在组成员资格中被遗漏，或因重叠策略之间的空白而被漏掉的用户。 与标准扫描不同，此分析会评估整个租户配置，并且不限于过去 24 小时。
• 代理标识的最小特权访问（预览版）：该代理可识别出具有未使用或权限过高的 Microsoft Graph 权限的代理标识。 然后，它建议实施最低权限，例如删除未使用的权限或将广泛的权限替换为更具体的权限。

入门指南

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 在新主页上，从代理通知卡中选择 “转到代理 ”。

   还可以从左侧菜单中选择Security Copilot代理。

   

3. 在 “条件访问优化代理” 磁贴上，选择“ 查看详细信息”。

   

4. 选择 “启动代理 ”以开始首次运行。

   

在代理的 “概述 ”选项卡上，任何建议都显示在“ 最近建议 ”框中。 然后，可以查看策略，确定策略影响，并根据需要应用更改。 有关详细信息，请参阅 条件访问优化代理中的“查看并应用建议”。

设置

代理包含多个强大的设置，用于扩展功能，同时使其对组织而言是唯一的。 可以在 “设置” 选项卡上配置以下功能。有关详细信息，请参阅 条件访问优化代理设置。

• 允许代理每隔 24 小时自动运行一次。
• 启用 基于活动的运行 ，以便在发生相关租户更改时触发代理（预览版）。
• 设置代理以检查用户和应用程序的更改。
• 允许代理在仅报告模式下创建策略。
• 允许代理通过Microsoft Teams发送通知。
• 允许代理创建 分阶段推出计划。
• 启用 与 ServiceNow 的集成 ，以便自动创建票证。
• 为代理提供知识源，以便提供针对组织的特定建议。

内置集成

条件访问优化代理可以为使用 Intune 进行设备管理和使用全局安全访问进行网络访问的组织提供策略建议。

Intune 集成

条件访问优化代理与 Intune 集成，以便：

• 监视 Intune 中配置的设备符合性和应用程序保护策略。
• 确定条件访问强制实施中的潜在差距。

这种主动和自动化的方法可确保条件访问策略与组织安全目标和合规性要求保持一致。 代理建议与其他策略建议相同，不同之处在于 Intune 向代理提供了部分信号。

Intune 方案的代理建议涵盖特定的用户组和平台（iOS 或 Android）。 例如，代理检测到一项处于活动状态的 Intune 应用保护策略，该策略针对财务组，但它判定没有足以强制执行应用保护的条件访问策略。 代理创建一个仅报告策略，该策略要求用户仅通过 iOS 设备上的合规应用程序访问资源。

若要标识 Intune 设备符合性和应用保护策略，代理必须以全局管理员或条件访问管理员 和 全局读取者身份运行。 条件访问管理员角色本身不足以让代理生成 Intune 建议。

全局安全访问集成

Microsoft Entra Internet 访问 和 Microsoft Entra 专用访问（统称为全局安全访问）与条件访问优化代理集成，以提供特定于组织网络访问策略的建议。 建议 启用新策略以强制实施全局安全访问网络访问要求 ，帮助你调整全局安全访问策略，其中包括网络位置和受保护的应用程序。

通过此集成，代理标识条件访问策略未涵盖的用户或组，仅通过批准的全局安全访问通道要求访问公司资源。 此策略要求用户在访问企业应用和数据之前使用组织的安全全局安全访问网络连接到企业资源。 系统提示从非托管网络或不受信任的网络进行连接的用户使用全局安全访问客户端或 Web 网关。 可以查看登录日志以验证合规连接。

移除代理

如果不再想要使用条件访问优化代理，请选择代理窗口顶部的 “删除代理 ”。 将删除现有数据（代理活动、建议和指标），但根据代理建议创建或更新的任何策略保持不变。 以前应用的建议保持不变，因此可以继续使用代理创建或修改的策略。

提供反馈

若要向Microsoft提供有关代理的反馈，请使用代理窗口顶部的 Give Microsoft 反馈按钮。

FAQs

何时应使用条件访问优化代理与Copilot 对话助手？

条件访问优化代理和Microsoft Copilot 对话助手提供有关条件访问策略的不同见解。 下表比较了这两个功能。

我激活了代理，但活动状态为“失败”。 发生了什么事情？

您可能在 Microsoft Ignite 2025 之前，使用需要通过 Privileged Identity Management (PIM) 激活角色的帐户激活了代理程序。 因此，当代理尝试运行时，它失败，因为该帐户当时没有所需的权限。 在 2025 年 11 月 17 日之后激活的条件访问优化代理不再使用激活该代理的用户的标识。

可以通过迁移到 Microsoft Entra 智能体 ID 来解决此问题。 从代理页上的横幅消息或代理设置的“权限”部分选择“创建代理标识”。

相关内容

• 查看和批准代理建议
• 条件访问策略模板
• 详细了解 智能 Microsoft Security Copilot 副驾驶®。