Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Acesso Condicional do Microsoft Entra Optimization Agent ajuda-o a garantir que todos os utilizadores, aplicações e identidades de agentes estão protegidos por políticas de Acesso Condicional. O agente pode recomendar novas políticas e atualizar políticas existentes, com base em práticas recomendadas alinhadas com o Confiança Zero e os aprendizados da Microsoft. O agente também cria relatórios de revisão de políticas (preview), que fornecem informações sobre picos ou quedas que podem indicar uma má configuração da política.
O Agente de Otimização de Acesso Condicional avalia políticas tais como:
- Requer autenticação multifatorial (MFA).
- Aplicar controlos baseados em dispositivos (conformidade com dispositivos, políticas de proteção de aplicações e dispositivos ligados ao domínio).
- Bloquear a autenticação legada e o fluxo de código de dispositivo.
O agente também avalia todas as políticas habilitadas existentes para propor a potencial consolidação de políticas semelhantes. Quando o agente identifica uma sugestão, pode fazer com que o agente atualize a política associada com remediação de um clique.
Importante
A integração do ServiceNow, a capacidade de carregamento de ficheiros e as execuções baseadas em atividades no Agente de Otimização de Acesso Condicional estão atualmente em pré-visualização. Estas informações referem-se a um produto de pré-lançamento que pode ser substancialmente modificado antes do lançamento. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações fornecidas aqui.
Pré-requisitos
- Você deve ter pelo menos a licença Microsoft Entra ID P1 .
- Deve ter unidades de computação de segurança (SCUs) disponíveis. Em média, cada agente executado consome menos de uma SCU.
- Você deve ter a função apropriada do Microsoft Entra.
- É necessário um papel de Administrador de Segurança para ativar o agente pela primeira vez.
- As funções de Leitor de Segurança e Leitor Global podem ver o agente e quaisquer sugestões, mas não podem tomar qualquer ação.
- As funções de Administrador de Acesso Condicional e Administrador de Segurança podem visualizar o agente e tomar medidas de acordo com as sugestões.
- Pode atribuir acesso ao Microsoft Security Copilot aos Administradores de Acesso Condicional, o que dá aos seus Administradores de Acesso Condicional a capacidade de utilizar o agente.
- Para mais informações sobre papéis, consulte Atribuir acesso ao Security Copilot.
- Os controlos baseados em dispositivos requerem licenças do Microsoft Intune.
- Consulte Privacidade e segurança de dados no Microsoft Security Copilot.
Limitações
- Depois de o agente começar, não podes parar nem pausar a corrida. Pode demorar alguns minutos a executar.
- Para a consolidação de apólices, cada execução do agente avalia 40 pares semelhantes de apólices.
- Recomendamos executar o agente a partir do centro de administração do Microsoft Entra.
- A digitalização está limitada a um período de 24 horas.
- Não podes personalizar nem anular sugestões do agente.
- O agente pode revisar até 300 usuários e 150 aplicativos em uma única execução.
Como funciona
O Agente de Otimização do Acesso Condicional analisa o seu tenant em busca de novos utilizadores, aplicações e identidades de agente criados nas últimas 24 horas e determina se as políticas de Acesso Condicional são aplicáveis. Se o agente encontrar utilizadores, aplicações ou identidades de agentes que as políticas de Acesso Condicional não cobrem, fornece os passos seguintes sugeridos.
Um passo seguinte pode ser ativar ou modificar uma política de Acesso Condicional. Pode rever a sugestão, como o agente identificou a solução e o que a política incluiria.
Cada vez que o agente é executado, ele realiza as seguintes etapas. Estes passos iniciais de varrimento não consomem quaisquer SCUs.
- O agente verifica todas as políticas de Acesso Condicional em seu locatário.
- O agente verifica se há lacunas na política e se alguma política pode ser combinada.
- O agente revê sugestões anteriores para não sugerir novamente a mesma política.
Se o agente identificar algo que não tinha sugerido anteriormente, segue os passos seguintes. Essas etapas de ação do agente consomem SCUs.
- O agente identifica uma lacuna de política ou um par de políticas que podem ser consolidadas.
- O agente avalia quaisquer instruções personalizadas que tenha fornecido.
- O agente cria uma nova política em modo apenas de relatório ou sugere modificar uma política, incluindo qualquer lógica nas instruções personalizadas.
Observação
O Security Copilot exige que pelo menos uma SCU esteja aprovisionada no seu tenant. Este SCU é cobrado todos os meses, mesmo que não consuma nenhum SCU. Desligar o agente não interrompe o faturamento mensal da SCU.
As sugestões de política do agente incluem:
- Exigir MFA: o agente identifica os usuários que não são cobertos por uma política de Acesso Condicional que requer MFA e pode atualizar a política.
- Exigir controles baseados em dispositivo: o agente pode impor controles baseados em dispositivos, como conformidade de dispositivos, políticas de proteção de aplicativos e dispositivos associados a domínios.
- Bloquear autenticação herdada: as contas de utilizador com autenticação herdada são impedidas de iniciar sessão.
- Bloquear fluxo de código de dispositivo: O agente procura uma política que bloqueie o fluxo de código de dispositivo.
- Utilizadores de risco: O agente sugere uma política para exigir alteração segura de palavra-passe para utilizadores de alto risco. Requer uma licença Microsoft Entra ID P2.
- Logins arriscados: O agente sugere uma política para exigir autenticação multifator para logins de alto risco. Requer uma licença Microsoft Entra ID P2.
- Agentes arriscados: O agente sugere uma política para bloquear a autenticação para logins de alto risco. Requer uma licença Microsoft Entra ID P2.
- Consolidação de políticas: o agente verifica sua política e identifica configurações sobrepostas. Por exemplo, se você tiver mais de uma política que tenha os mesmos controles de concessão, o agente sugere consolidar essas políticas em uma.
- Análise aprofundada: O agente avalia apólices que correspondem a cenários-chave para identificar apólices atípicas que tenham um número de exceções superior ao recomendado (o que leva a lacunas inesperadas na cobertura) ou nenhuma exceção (o que pode levar a bloqueio).
- Análise profunda da lacuna MFA: O agente analisa todas as políticas de Acesso Condicional ativadas no seu tenant para identificar utilizadores não abrangidos por qualquer política MFA. Esta varredura inclui utilizadores excluídos das políticas base, não pertencentes ao grupo ou que atravessam lacunas entre políticas sobrepostas. Ao contrário das análises padrão, esta avaliação examina toda a configuração da instância e não se limita às últimas 24 horas.
- Acesso menos privilegiado para identidades de agentes (pré-visualização): O agente identifica as identidades dos agentes com permissões de Microsoft Graph não utilizadas ou sobrevalorizadas. Depois, recomenda a aplicação dos privilégios mínimos, como remover permissões não utilizadas ou substituir permissões gerais por permissões mais específicas.
Importante
O agente não faz alterações nas políticas existentes, a menos que um administrador aprove explicitamente a sugestão.
Todas as novas políticas sugeridas pelo agente são criadas apenas em modo de relatório.
Duas políticas podem ser consolidadas se não diferirem por mais do que duas condições ou controlos.
Como Começar
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Na nova página inicial, selecione Ir para agentes a partir do cartão de notificação do agente.
Também pode selecionar agentes do Security Copilot no menu à esquerda.
No mosaico Agente de Otimização de Acesso Condicional , selecione Ver detalhes.
Selecione Iniciar agente para iniciar sua primeira execução.
No separador Visão Geral do agente, quaisquer sugestões aparecem na caixa Sugestões Recentes . Pode então rever a política, determinar o impacto da política e aplicar as alterações, se necessário. Para mais informações, consulte Rever e aplicar sugestões do Agente de Otimização de Acesso Condicional.
Configurações
O agente inclui várias definições poderosas para expandir as capacidades, tornando-as únicas para a sua organização. Pode configurar as seguintes funcionalidades no separador Definições . Para mais informações, consulte Definições do Agente de Otimização de Acesso Condicional.
- Permita que o agente funcione automaticamente, a cada 24 horas.
- Permitir execuções baseadas em atividades para acionar o agente quando ocorrerem alterações relevantes no inquilino (versão preliminar).
- Defina o agente para verificar alterações nos utilizadores e aplicações.
- Permitir que o agente crie políticas apenas em modo de relatório.
- Permita que o agente envie notificações através de Microsoft Teams.
- Permitir que o agente crie planos de implementação faseados.
- Ative a integração com o ServiceNow para criação automática de bilhetes.
- Forneça fontes de conhecimento ao agente para sugestões específicas da organização.
Integrações integradas
O Agente de Otimização de Acesso Condicional pode fazer sugestões de políticas para organizações que utilizam o Intune para gestão de dispositivos e o Global Secure Access para acesso à rede.
Integração com o Intune
O Agente de Otimização de Acesso Condicional integra-se com o Intune para:
- Monitorizar as políticas de conformidade com dispositivos e proteção de aplicações configuradas no Intune.
- Identificar potenciais lacunas na fiscalização do Acesso Condicional.
Essa abordagem proativa e automatizada garante que as políticas de Acesso Condicional permaneçam alinhadas com as metas de segurança organizacionais e os requisitos de conformidade. As sugestões do agente são as mesmas que as outras sugestões de política, exceto que o Intune fornece parte do sinal ao agente.
As sugestões de agentes para cenários do Intune abrangem grupos de utilizadores e plataformas específicos (iOS ou Android). Por exemplo, o agente identifica uma política ativa do Intune para proteção de aplicações que visa o grupo de Finanças, mas determina que nenhuma política suficiente de Acesso Condicional aplica a proteção da aplicação. O agente cria uma política somente de relatório que exige que os usuários acessem recursos somente por meio de aplicativos compatíveis em dispositivos iOS.
Para identificar políticas de conformidade de dispositivos do Intune e políticas de proteção de aplicações, o agente tem de estar em execução como Administrador Global ou Administrador de Acesso Condicional e Leitor Global. O papel de Administrador de Acesso Condicional não é suficiente, por si só, para que o agente produza sugestões no Intune.
Integração de Acesso Seguro Global
O Acesso à Internet do Microsoft Entra e o Acesso privado do Microsoft Entra (coletivamente conhecidos como Global Secure Access) integram-se ao Agente de Otimização de Acesso Condicional para fornecer sugestões específicas para as políticas de acesso à rede da sua organização. A sugestão Ativar a nova política para impor os requisitos de acesso à rede do Global Secure Access ajuda-o a alinhar as suas políticas do Global Secure Access que incluem localizações de rede e aplicações protegidas.
Com essa integração, o agente identifica usuários ou grupos que não são cobertos por uma política de Acesso Condicional para exigir acesso a recursos corporativos somente por meio de canais de Acesso Seguro Global aprovados. Esta política exige que os utilizadores se liguem aos recursos corporativos utilizando a rede segura Global Secure Access da organização antes de aceder às aplicações e dados corporativos. Os utilizadores que se ligam a partir de redes não geridas ou não confiáveis são convidados a usar o cliente ou gateway web Global Secure Access. Pode rever os registos de início de sessão para verificar as ligações compatíveis.
Remoção de agentes
Se já não quiser usar o Agente de Otimização de Acesso Condicional, selecione Remover agente no topo da janela do agente. Os dados existentes (atividade do agente, sugestões e métricas) são removidos, mas quaisquer políticas criadas ou atualizadas com base nas sugestões do agente permanecem intactas. As sugestões aplicadas anteriormente mantêm-se inalteradas, por isso pode continuar a usar as políticas que o agente criou ou modificou.
Fornecer comentários
Para dar feedback a Microsoft sobre o agente, use o botão Dar Microsoft feedback no topo da janela do agente.
FAQs
Quando devo usar o Agente de Otimização de Acesso Condicional vs. o Copilot Chat?
O Agente de Otimização de Acesso Condicional e o Microsoft Copilot Chat fornecem diferentes perspetivas sobre as suas políticas de Acesso Condicional. A tabela seguinte compara as duas características.
| Scenario | Agente de otimização de acesso condicional | Bate-papo do copiloto |
|---|---|---|
| Cenários genéricos | ||
| Configuração específica do locatário | ✅ | |
| Raciocínio avançado | ✅ | |
| Informações sob demanda | ✅ | |
| Solução de problemas interativa | ✅ | |
| Avaliação contínua das políticas | ✅ | |
| Sugestões de melhoria automatizadas | ✅ | |
| Orientações sobre as melhores práticas e configuração das autoridades certificadoras (CA) | ✅ | ✅ |
| Cenários específicos | ||
| Identificação proativa de utilizadores ou aplicações não protegidos | ✅ | |
| Aplicação do MFA e de outros controlos de base para todos os utilizadores | ✅ | |
| Monitoramento contínuo e otimização das políticas de CA | ✅ | |
| Alterações na política com um clique | ✅ | |
| Revisão das políticas e atribuições existentes da CA ("As políticas aplicam-se à Alice?") | ✅ | ✅ |
| Resolução de problemas de acesso de um utilizador ("Porque foi pedida MFA à Alice?") | ✅ |
Ativei o agente, mas o estado da atividade é Falhado. O que está a acontecer?
É possível que tenha ativado o agente antes do Microsoft Ignite 2025 usando uma conta que exigia ativação de função com o Privileged Identity Management (PIM). Então, quando o agente tentou executar, falhou porque a conta não tinha as permissões necessárias naquele momento. Um Agente de Otimização de Acesso Condicional que foi ativado após 17 de novembro de 2025 já não utiliza a identidade do utilizador que o ativou.
Pode resolver este problema migrando para ID do Agente Microsoft Entra. Selecione Criar identidade de agente a partir da mensagem banner na página do agente ou na secção de Permissões nas definições do agente.