Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O agente de otimização de Acesso condicional do Microsoft Entra ajuda a garantir que todos os usuários, aplicativos e identidades de agente estejam protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar as políticas existentes, com base nas práticas recomendadas alinhadas com a Confiança Zero e os aprendizados da Microsoft. O agente também cria relatórios de revisão de política (versão prévia), que fornecem insights sobre picos ou quedas que podem indicar uma configuração incorreta da política.
O Agente de Otimização de Acesso Condicional avalia políticas como:
- Exigir MFA (autenticação multifator).
- Aplicando controles baseados no dispositivo (conformidade de dispositivo, políticas de proteção de aplicativos e dispositivos associados ao domínio).
- Bloqueio da autenticação herdada e do fluxo de código de dispositivo.
O agente também avalia todas as políticas habilitadas existentes para propor uma possível consolidação de políticas semelhantes. Quando o agente identifica uma recomendação, você pode fazer o agente atualizar a política associada com remediação em um clique.
Importante
A integração do ServiceNow, a funcionalidade de upload de arquivo e as execuções baseadas em atividade no Agente de Otimização de Acesso Condicional estão atualmente em versão prévia. Essas informações estão relacionadas a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não faz garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Pré-requisitos
- Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
- Você deve ter SCUs (unidades de computação de segurança) disponíveis. Em média, cada execução de agente consome menos de uma SCU.
- Você deve ter a função apropriada do Microsoft Entra.
- Uma função administrador de segurança é necessária para ativar o agente na primeira vez.
- As funções Leitor de Segurança e Leitor Global podem exibir o agente e qualquer sugestão, mas não podem executar nenhuma ação.
- As funções Administrador de Acesso Condicional e Administrador de Segurança podem exibir o agente e tomar medidas sobre as sugestões.
- Você pode conceder aos Conditional Access Administrators acesso ao Microsoft Security Copilot, o que permite que os Conditional Access Administrators usem o agente.
- Para obter mais informações sobre funções, consulte Atribuir acesso ao Security Copilot.
- Os controles baseados em dispositivo exigem licenças do Microsoft Intune.
- Examine a privacidade e a segurança de dados no Microsoft Security Copilot.
Limitações
- Depois que o agente iniciar, você não poderá parar ou pausar a execução. Pode levar alguns minutos para ser executado.
- Para a consolidação de políticas, cada execução do agente avalia 40 pares semelhantes de políticas.
- É recomendável executar o agente no Centro de administração do Microsoft Entra.
- A digitalização é limitada a um período de 24 horas.
- Você não pode personalizar ou substituir sugestões do agente.
- O agente pode examinar até 300 usuários e 150 aplicativos em uma única execução.
Como funciona
O Agente de Otimização de Acesso Condicional examina seu locatário em busca de novos usuários, aplicativos e identidades de agente das últimas 24 horas e determina se as políticas de Acesso Condicional são aplicáveis. Se o agente encontrar usuários, aplicativos ou identidades de agente que as políticas de Acesso Condicional não abrangem, ele fornecerá as próximas etapas sugeridas.
Uma próxima etapa pode ser ativar ou modificar uma política de Acesso Condicional. Você pode examinar a sugestão, como o agente identificou a solução e o que a política incluiria.
Sempre que o agente é executado, ele realiza as etapas a seguir. Essas etapas iniciais de verificação não consomem SCUs.
- O agente verifica todas as políticas de Acesso Condicional em seu locatário.
- O agente verifica se há lacunas de política e se alguma política pode ser combinada.
- O agente analisa sugestões anteriores para não sugerir a mesma política novamente.
Se o agente identificar algo que ele não sugeriu anteriormente, ele tomará as etapas a seguir. Essas etapas de ação do agente consomem SCUs.
- O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
- O agente avalia as instruções personalizadas que você forneceu.
- O agente cria uma nova política no modo somente relatório ou fornece a sugestão para modificar uma política, incluindo qualquer lógica nas instruções personalizadas.
Observação
O Security Copilot exige que pelo menos um SCU esteja provisionado em seu locatário. Esse SCU é cobrado a cada mês, mesmo que você não consuma SCUs. Desativar o agente não interrompe a cobrança mensal do SCU.
As sugestões de política do agente incluem:
- Exigir MFA: o agente identifica usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
- Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivo, como conformidade do dispositivo, políticas de proteção de aplicativo e dispositivos ingressados no domínio.
- Bloquear autenticação herdada: contas de usuário com autenticação herdada são impedidas de entrar.
- Bloquear o fluxo de código do dispositivo: o agente procura uma política que bloqueia o fluxo de código do dispositivo.
- Usuários arriscados: o agente sugere uma política para exigir alteração de senha segura para usuários de alto risco. Requer uma licença Microsoft Entra ID P2.
- Logons de risco: O agente sugere uma política para exigir autenticação multifator para logons de alto risco. Requer uma licença Microsoft Entra ID P2.
- Agentes de risco: o agente sugere uma política para bloquear a autenticação de logins de alto risco. Requer uma licença Microsoft Entra ID P2.
- Consolidação da política: o agente examina sua política e identifica as configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugerirá a consolidação dessas políticas em uma só.
- Análise detalhada: o agente avalia políticas que correspondem a cenários-chave para identificar políticas atípicas que têm mais exceções do que o número recomendado (o que leva a lacunas inesperadas na cobertura) ou nenhuma exceção (o que pode levar a um possível bloqueio de acesso).
- Análise aprofundada de lacunas de MFA: o agente examina todas as políticas de Acesso Condicional habilitadas em seu locatário para identificar usuários não protegidos por nenhuma política de MFA. Esta varredura inclui usuários excluídos das políticas de referência, não incluídos na associação ao grupo ou afetados por lacunas entre políticas sobrepostas. Ao contrário das verificações padrão, essa análise avalia toda a configuração do cliente e não se limita às últimas 24 horas.
- Acesso com privilégios mínimos para identidades de agente (versão prévia): O agente identifica identidades de agente com permissões do Microsoft Graph não usadas ou excessivamente privilegiadas. Em seguida, recomenda a imposição de privilégios mínimos, como remover permissões não usadas ou substituir permissões amplas por outras mais específicas.
Importante
O agente não faz nenhuma alteração nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.
Todas as novas políticas que o agente sugere são criadas no modo somente de relatório.
Duas políticas poderão ser consolidadas se forem diferentes por não mais do que duas condições ou controles.
Como começar
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Na nova página inicial, selecione Ir para Agentes no cartão de notificação dos agentes.
Você também pode selecionar Agentes no menu à esquerda.
No bloco do Agente de Otimização de Acesso Condicional , selecione Exibir detalhes.
Selecione Iniciar agente para iniciar sua primeira execução.
Na guia Visão geral do agente, todas as sugestões são exibidas na caixa Sugestões recentes . Em seguida, você pode examinar a política, determinar o impacto da política e aplicar as alterações, se necessário. Para obter mais informações, consulte Examinar e aplicar sugestões do Agente de Otimização de Acesso Condicional.
Configurações
O agente inclui várias configurações avançadas para expandir os recursos, tornando-os exclusivos para sua organização. Você pode configurar os seguintes recursos na guia Configurações . Para obter mais informações, consulte as configurações do Agente de Otimização de Acesso Condicional.
- Permitir que o agente seja executado automaticamente, a cada 24 horas.
- Habilite execuções baseadas em atividade para disparar o agente quando ocorrerem alterações relevantes no locatário (versão prévia).
- Defina o agente para verificar se há alterações em usuários e aplicativos.
- Permitir que o agente crie políticas no modo somente de relatório.
- Permitir que o agente envie notificações por meio do Microsoft Teams.
- Permitir que o agente crie planos de distribuição em fases.
- Permitir que o agente crie campanhas de adoção de chaves de acesso.
- Habilite a integração com o ServiceNow para criação automática de tíquetes.
- Forneça fontes de conhecimento ao agente para sugestões específicas da organização.
- Veja o painel de insights para acompanhar melhorias de Confiança Zero orientadas por agente na postura de segurança (versão prévia).
Integrações internas
O Agente de Otimização de Acesso Condicional pode fazer sugestões de políticas para organizações que usam o Intune para gerenciamento de dispositivos e o Acesso Seguro Global para acesso à rede.
Integração do Intune
O Agente de Otimização de Acesso Condicional integra-se ao Intune para:
- Monitore a conformidade do dispositivo e as políticas de proteção de aplicativo configuradas no Intune.
- Identificar possíveis lacunas na imposição do Acesso Condicional.
Essa abordagem proativa e automatizada garante que as políticas de Acesso Condicional permaneçam alinhadas com os requisitos de conformidade e metas de segurança organizacional. As sugestões do agente são as mesmas que as outras sugestões de política, exceto que o Intune fornece parte do sinal para o agente.
As sugestões de agente para cenários do Intune abrangem grupos de usuários e plataformas específicas (iOS ou Android). Por exemplo, o agente identifica uma política ativa do Intune para proteção de aplicativo direcionada ao grupo Finanças, mas determina que nenhuma política de Acesso Condicional suficiente impõe a proteção do aplicativo. O agente cria uma política somente de relatório que exige que os usuários acessem recursos somente por meio de aplicativos em conformidade em dispositivos iOS.
Para identificar a conformidade de dispositivos do Intune e as políticas de proteção de aplicativos, o agente deve ser executado como Administrador Global ou Administrador de Acesso Condicional e Leitor Global. A função Administrador de Acesso Condicional, por si só, não é suficiente para que o agente gere sugestões do Intune.
Integração global do Acesso Seguro
O Acesso à Internet do Microsoft Entra e o Acesso privado do Microsoft Entra (coletivamente conhecido como Acesso Seguro Global) integram-se ao Agente de Otimização de Acesso Condicional para fornecer sugestões específicas às políticas de acesso à rede da sua organização. A sugestão Ativar uma nova política para impor requisitos de acesso à rede de Acesso Seguro Global ajuda você a alinhar suas políticas de Acesso Seguro Global que incluem locais de rede e aplicativos protegidos.
Com essa integração, o agente identifica usuários ou grupos que não são cobertos por uma política de Acesso Condicional para exigir acesso aos recursos corporativos somente por meio de canais de Acesso Seguro Global aprovados. Essa política exige que os usuários se conectem aos recursos corporativos usando a rede segura de Acesso Seguro Global da organização antes de acessar aplicativos e dados corporativos. Os usuários que se conectam de redes não gerenciadas ou não confiáveis são solicitados a usar o cliente de Acesso Seguro Global ou o gateway da Web. Você pode examinar os logs de entrada para verificar conexões compatíveis.
Remoção do agente
Se você não quiser mais usar o Agente de Otimização de Acesso Condicional, selecione Remover agente na parte superior da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas todas as políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente permanecem inalteradas, portanto, você pode continuar a usar as políticas que o agente criou ou modificou.
Fornecendo comentários
Para fornecer comentários para Microsoft sobre o agente, use o botão Give Microsoft feedback na parte superior da janela do agente.
FAQs
Quando devo usar o Agente de Otimização de Acesso Condicional versus Copilot Chat?
O Agente de Otimização de Acesso Condicional e o Microsoft Copilot Chat fornecem insights diferentes sobre suas políticas de Acesso Condicional. A tabela a seguir compara os dois recursos.
| Scenario | Agente de Otimização de Acesso Condicional | Bate-papo do Copiloto |
|---|---|---|
| Cenários genéricos | ||
| Configuração específica do locatário | ✅ | |
| Raciocínio avançado | ✅ | |
| Insights sob demanda | ✅ | |
| Solução de problemas interativa | ✅ | |
| Avaliação de política contínua | ✅ | |
| Sugestões de melhoria automatizadas | ✅ | |
| Diretrizes sobre as melhores práticas e configuração da AC (autoridade de certificação) | ✅ | ✅ |
| Cenários específicos | ||
| Identificação proativa de usuários ou aplicativos desprotegidos | ✅ | |
| Imposição de MFA e outros controles de linha de base para todos os usuários | ✅ | |
| Monitoramento contínuo e otimização de políticas de CA | ✅ | |
| Alterações de política com um clique | ✅ | |
| Revisão de políticas e atribuições de AC existentes ("As políticas se aplicam a Alice?") | ✅ | ✅ |
| Solução de problemas de acesso de um usuário ("Por que Alice foi solicitada para MFA?") | ✅ |
Ativei o agente, mas o status da atividade é Fail. O que está a acontecer?
É possível que você tenha ativado o agente antes de Microsoft Ignite 2025 usando uma conta que exigia ativação de função com o PIM (Privileged Identity Management). Portanto, quando o agente tentou executar, ele falhou porque a conta não tinha as permissões necessárias naquele momento. Um Agente de Otimização de Acesso Condicional que foi ativado após 17 de novembro de 2025, não usa mais a identidade do usuário que a ativou.
Você pode resolver esse problema migrando para ID do agente Microsoft Entra. Selecione Criar identidade do agente na mensagem do banner na página do agente ou na seção Identidade e permissões das configurações do agente.