Microsoft Entra 条件访问优化代理

条件访问优化代理可帮助你确保所有用户都受策略保护。 它根据与 零信任 和Microsoft学习相符的最佳做法建议策略和更改。

在预览版中，代理评估需要多重身份验证的策略（MFA）、强制实施基于设备的控制（设备符合性、应用保护策略和已加入域的设备），并阻止旧的身份验证和设备代码流。

代理还会评估所有已启用的现有策略，以建议合并类似的策略。

• 对于初始代理启用/设置，需要在预览期间担任 安全管理员 或 全局管理员 角色。 默认情况下，这些角色拥有访问 Security Copilot 的权限。 设置完成后，可以分配条件访问管理员，并赋予他们安全 Copilot 访问权限。 这样，条件访问管理员也能够使用代理。
• 必须至少有 Microsoft Entra ID P1。
• 必须具有可用的安全计算单元（SCU）。 平均而言，每个代理运行消耗的 SCU 数少于一个。
• 基于设备的控件需要 Microsoft Intune 许可证。

• 在预览期间，请避免使用帐户来设置需要通过 Privileged Identity Management 进行角色激活的服务代理。 使用没有站立权限的帐户可能会导致代理的身份验证失败。
• 启动代理后，就无法停止或暂停代理。 运行可能需要几分钟时间。
• 对于策略合并，每次代理运行仅考察四对类似的策略
• 当前，代理以启用它的用户身份运行。
• 在预览版中，应仅从 Microsoft Entra 管理中心运行代理。

1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心。

2. 在新的主页中，从代理通知卡中选择 前往代理。

   

3. 在条件访问优化代理下选择 “查看详细信息 ”，然后选择 “启动代理 ”以开始首次运行。

   

4. 当代理概述页加载时，你将看到最新的和下一个计划运行时、性能亮点、最近的建议和最近的活动。

   

5. 通过选择建议，可以查看建议的更改，进行编辑。

6. 新建的策略是在仅报告模式下创建的。 最佳实践是，组织应将其紧急账户排除在策略之外，以避免因配置不当而导致无法访问。

管理员使用策略影响或仅报告模式评估策略设置后，可以将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。

代理可以运行并：

• 不识别任何未受保护的用户或建议进行任何更改
• 建议在仅报告模式下创建新的条件访问策略
• 建议将新创建的用户添加到现有策略

使用代理窗口顶部的“ 提供Microsoft反馈 ”按钮向Microsoft提供有关代理的反馈。

代理被配置为从最初配置时开始每隔24小时运行一次。 在代理的设置页下，将 触发器 切换为关闭，并在特定时间切换为开启，以重新配置代理在该时间运行。

使用 “对象 ”下的复选框指定在发出策略建议时代理应监视的内容。 默认情况下，代理将在前 24 小时内查找租户中的新用户和应用程序。

代理在您的租户中启用代理的用户的 标识和权限 下运行。 由于此要求，应避免使用需要提升的帐户，例如使用 PIM 进行即时提升的帐户。

可以使用可选的 自定义说明 字段根据需求定制策略。 这使得您能够在代理执行过程中向代理提供提示。 例如：“用户”Break Glass“应从创建的策略中排除。保存自定义指令提示时，安全 Copilot 将尝试解释结果，结果将显示在设置页中。

如果不再想要使用条件访问优化代理，可以使用代理窗口顶部的 “删除代理 ”按钮将其删除。

• 条件访问策略模板
• 详细了解Microsoft安全副驾