Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прощайтесь с трудоемкими исследованиями и неопределенностью спешных решений. Агент проверки доступа работает для рецензентов, автоматически собирая аналитические сведения и создавая рекомендации. Затем он направляет рецензентов через процесс проверки в Microsoft Teams с естественным языком, с простыми сводками и предлагаемыми решениями, чтобы они могли принимать окончательный вызов с уверенностью и ясностью.
Предпосылки
- У вас должны быть лицензии Microsoft Entra ID Governance или Microsoft Entra Suite.
- Необходимо подключиться к Безопасности Copilot по крайней мере с одной подготовленной вычислительной единицой безопасности (SCU ).
- Завершение проверки доступа, включающее 20 решений, потребляет в среднем 4,5 SCU. Сюда входят сбор аналитических сведений агента и создание рекомендаций и беседа на естественном языке рецензента в Microsoft Teams с агентом. Потребление SCU может отличаться в зависимости от длины беседы между рецензентом и агентом.
- Администраторы должны иметь по крайней мере все следующие роли, чтобы настроить агент и управлять им в Центре администрирования Microsoft Entra:
- Чтобы рецензенты использовали агент проверки доступа, они должны иметь доступ к Microsoft Teams и должны иметь активный просмотр доступа. Они также должны иметь по крайней мере роль участника Безопасности Copilot , назначенную им.
- Проверка конфиденциальности и безопасности данных в Microsoft Security Copilot
Ограничения
- Избегайте использования учетной записи для настройки агента, требующего активации роли с помощью управления привилегированными пользователями (PIM). Использование учетной записи, которая не имеет постоянных разрешений, может привести к сбоям проверки подлинности агента.
- После запуска агентов их нельзя остановить или приостановить. Выполнение может занять несколько минут.
- Агент запускается с помощью удостоверения администратора, который активировал его в первый раз для сбора аналитических сведений и сохранения рекомендаций. Окончательные решения в рамках беседы Microsoft Teams записываются с удостоверением рецензента.
- Мы рекомендуем запустить агент из Центра администрирования Microsoft Entra.
Поддерживаемые сценарии
В следующих таблицах показана текущая поддержка агента проверки доступа на основе сценариев проверки:
| Scenario | Поддерживается |
|---|---|
| Ресурсы | |
| Teams + Группы | ✅ |
| Назначение пакета доступа | ✅ |
| Назначение приложения | ✅ |
| Роли ресурсов Azure | ❌ |
| Роли Microsoft Entra | ❌ |
| Группы, управляемые привилегированным управлением удостоверениями | ❌ |
| размера | |
| До 35 решений (на рецензирование, а не рецензент) | ✅ |
| >35 решений на обзор | ❌ |
| ЭТАПЫ | |
| Один этап | ✅ |
| Многоэтапный | ❌ |
| Рецензенты | |
| Специфический | ✅ |
| Владельцы групп | ✅ |
| Managers | ✅ |
| Самостоятельные проверки | ❌ |
| Языки | |
| English | ✅ |
| Остальные языки | ❌ |
Принцип работы
Агент проверки доступа упреждает проверку активных проверок доступа в клиенте, помеченных для обработки агентом. Затем агент анализирует выявленные проверки, собирая дополнительные сведения, и создает рекомендацию (утвердить или запретить) и сводку по обоснованием для каждого решения. После анализа рекомендаций и соответствующих сводок обоснования агент может направлять рецензентов на естественном языке через процесс проверки в Microsoft Teams. Рецензенты могут завершить свои отзывы с помощью чата естественного языка в Microsoft Teams. По мере того как агент направляет их через проверку, они могут просматривать причины агента за рекомендациями, задавать вопросы в контексте самого обзора и, наконец, принимать свое собственное обоснованное решение.
Рекомендация агентов (утвердить или запретить) для каждого решения зависит от детерминированного механизма оценки на основе нескольких сигналов. Затем сигналы, используемые для рекомендации, используются для предоставления понятной для пользователей сводки по обоснованием на основе крупной языковой модели (LLM). Последующий интерфейс чата естественного языка в Microsoft Teams упрощается крупной языковой моделью с ранее созданными рекомендациями и сводками оправданий в качестве доступного контекста.
Агент рассматривает следующие сигналы:
- Бездействие пользователя: если пользователь вошел в систему
- Присоединение пользователей к группе: если у пользователя низкая связь с другими пользователями, имеющими этот доступ
- Учетная запись включена: если учетная запись пользователя включена (свойство accountEnabled)
- Состояние занятости: если работа пользователя закончилась (свойство employeeLeaveDateTime)
- Журнал рабочих процессов жизненного цикла: если у пользователя был рабочий процесс перемещения за последние 30 дней
- Решения из предыдущих проверок: для повторяющихся проверок рассматриваются решения из предыдущих итераций проверки
- Журнал запросов на доступ: для проверки назначения пакетов доступа считается журнал запросов и утверждений
Замечание
Сводка по оправданию содержит сведения из этих сигналов и доступна рецензенту во время процесса проверки, даже если некоторые из этих сведений недоступны для рецензентов за пределами процесса проверки.
Как администратор, вы можете просмотреть рекомендации (утвердить или запретить) и сводки обоснования. Дополнительные сведения см. в журналах и метрик агентах проверки доступа (предварительная версия). Обратите внимание, что рекомендации агента могут отличаться от рекомендаций, отображаемых на портале "Мой доступ" и в центре администрирования Microsoft Entra.
Начало работы
Настройка агента проверки доступа
С учетной записью, которая имеет по крайней мере все следующие роли, войдите в Центр администрирования Microsoft Entra:
На новой домашней странице выберите "Перейти к агентам" из карточки уведомлений агента.
- Вы также можете выбрать агенты в меню навигации слева.
- Вы также можете выбрать агенты в меню навигации слева.
Выберите "Просмотреть сведения" на плитке "Агент проверки доступа".
Выберите «Запустить агент», чтобы начать первый запуск.
- Избегайте использования учетной записи с ролью, активированной с помощью PIM.
- Сообщение, которое говорит, что агент запускает свой первый запуск, отображается в правом верхнем углу.
- Первый запуск может занять несколько минут.
Включение агента проверки доступа для существующих проверок доступа
После запуска агента проверки доступа необходимо пометить проверки доступа для обработки агентом проверки доступа. Агент проверки доступа может обрабатывать как новые, так и существующие проверки доступа. В следующих разделах описано, как выполнить проверку доступа для добавления тегов в агент проверки доступа.
Включение агента проверки доступа для существующих проверок группы и приложений
Чтобы обновить существующую проверку доступа для обработки агентом проверки доступа, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Перейдите к управлению идентификаторами>проверкам доступа.
Выберите проверку доступа, которую будет поддерживать агент.
На странице обзора доступа выберите "Параметры " в разделе "Управление", если это однократная проверка или параметры в разделе "Серия", если это повторяющийся обзор.
В разделе "Дополнительные параметры" установите флажок в параметре, который говорит агент проверки доступа (предварительная версия).
Нажмите кнопку "Сохранить".
Включение агента проверки доступа для существующих проверок назначения пакетов доступа
Чтобы обновить существующую проверку доступа для обработки агентом проверки доступа, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
Выберите пакет доступа, который будет поддерживать агент.
На странице обзора пакета доступа выберите "Политики", а затем выберите политику, которую вы хотите обновить, и нажмите кнопку "Изменить".
На странице редактирования политики выберите жизненный цикл.
На вкладке жизненного цикла выберите параметры проверки расширенного доступа и установите флажок "Включить " в параметре, который говорит агент проверки доступа (предварительная версия).
Нажмите кнопку "Сохранить".
Убедитесь, что рецензенты могут использовать агент проверки доступа
Рецензенты получают доступ к агенту проверки доступа через приложение Microsoft Teams. Если параметры приложений microsoft Teams на уровне организации позволяют приложениям Майкрософт не выполнять никаких действий. Если ваша организация отключила приложения Майкрософт в параметрах приложений на уровне организации, администратор Microsoft Teams организации должен явно утвердить это приложение.
Необходимо также убедиться, что все рецензенты имеют по крайней мере роль участника Безопасности Copilot , чтобы они могли использовать агент для выполнения проверок. Это необходимо, так как беседа на естественном языке в Microsoft Teams открывает сеанс Microsoft Security Copilot за кулисами. Участвующие рецензенты получают доступ к агентическому интерфейсу через Microsoft Teams, но с назначением ролей они будут иметь право на доступ к порталу Security Copilot или интерфейсу Безопасности Copilot на других административных порталах Microsoft Security. Если рецензенты получают доступ к Security Copilot за пределами Microsoft Teams, доступ к данным с помощью Security Copilot по-прежнему распространяется на разрешения пользователей по умолчанию.
Использование агента проверки доступа в качестве рецензента
После запуска агента проверки доступа рецензенты назначили соответствующие разрешения и с приложением, доступным для них, рецензенты теперь готовы завершить свои проверки с помощью агента. Агент проверки доступа можно получить непосредственно в Microsoft Teams (прямая ссылка). Уведомления о проверке доступа, отправленные рецензентам, также будут включать прямую ссылку на Microsoft Teams.
Откройте приложение Microsoft Teams, выполнившего вход в качестве пользователя, назначенного рецензентом.
Выберите ссылку агента проверки доступа , чтобы открыть агент
На странице "Приложения" выполните поиск агента проверки доступа и нажмите кнопку "Добавить".
После добавления агента нажмите кнопку "Открыть".
При открытии можно выбрать доступный запрос, чтобы начать чат с
Settings
После включения агента можно настроить несколько параметров. Вы можете получить доступ к параметрам, выполнив следующие действия в Центре администрирования Microsoft Entra:
- > Изпараметров>.
Триггер
Агент настраивается для запуска каждые 24 часа на основе первоначальной настройки. Его можно запустить в определенное время, переключив параметр триггера , а затем вернувшись, когда он будет запущен.
Замечание
Если рецензенты немедленно отвечают на уведомления по электронной почте о доступе, агент, возможно, еще не обработал проверку. Только после запуска агента он может помочь с проверками доступа в Microsoft Teams. Если вы отвечаете перед тем, как агент обрабатывает проверку, агент отвечает на следующее сообщение рецензенту в Microsoft Teams: "Я не вижу ожидающих отзывов, которые я могу помочь вам в настоящее время. Так как мои возможности по-прежнему расширяются, я рекомендую проверить портал "Мой доступ", чтобы узнать, есть ли у вас другие ожидающие проверки.
Удаление агента
Если вы больше не хотите использовать агент проверки доступа, выберите "Удалить агент" в верхней части окна агента. Существующие действия и метрики агента удаляются, но рекомендации и обоснование для уже обработанных проверок сохраняются агентом в Microsoft Teams и по-прежнему могут помочь рецензентам с этими проверками. Чтобы завершить удаление, необходимо также отменить отложение проверки доступа, которые ранее помечены для обработки агентом.
Отключение агента проверки доступа для существующих проверок группы и приложений
Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Перейдите к
управлению идентификаторами проверкам доступа .Выберите проверку доступа, включающую поддержку агента.
На странице обзора доступа выберите "Параметры " в разделе "Управление", если это однократная проверка или параметры в разделе "Серия", если это повторяющийся обзор.
В разделе "Дополнительные параметры" снимите флажок с параметром, который говорит агент проверки доступа (предварительная версия).
Нажмите кнопку "Сохранить".
Отключение агента проверки доступа для существующих проверок назначения пакетов доступа
Войдите в Центр администрирования Microsoft Entra в качестве как минимум администратора управления удостоверениями.
Перейдите в раздел Управление идентификацией>Управление правами>Пакет доступа.
Выберите пакет доступа, который будет поддерживать агент.
На странице обзора пакета доступа выберите "Политики", а затем выберите политику, которую вы хотите обновить, и нажмите кнопку "Изменить".
На странице редактирования политики выберите жизненный цикл.
На вкладке жизненного цикла установите флажок "Отключить " в параметре, где говорится, что агент проверки доступа (предварительная версия).
Нажмите кнопку "Сохранить".
Отзыв доступа к Безопасности Copilot
Возможно, потребуется отменить доступ участника безопасности Copilot для рецензентов, если ни один другой сценарий не требует, чтобы они могли получить доступ к Безопасности Copilot.
Идентификация и разрешения
Агент запускается с удостоверением администратора, который настроит агент для сбора аналитических сведений и сохранения рекомендаций. Окончательные решения в рамках беседы Microsoft Teams будут написаны с удостоверением рецензента.
Предоставление отзывов
Нажмите кнопку "Отправить отзыв Майкрософт" в верхней части окна агента, чтобы предоставить отзыв корпорации Майкрософт об агенте.
FAQs
Почему агент в Microsoft Teams отвечает следующим образом: "Похоже, агент проверки доступа еще не включен для вашей организации или столкнулся с непредвиденными проблемами. Обратитесь к ИТ-отделу за помощью. В то же время вы можете завершить ожидающие проверки на портале "Мой доступ"?
Если агент отвечает с этим сообщением, скорее всего, программа установки агента, например запуск агента, назначение рецензентов безопасности Copilot и включение агента для существующих проверок, не завершена.
Почему агент в Microsoft Teams отвечает на "Вещи немного занят в данный момент, и я не смог обработать ваш запрос прямо сейчас. Можете ли вы повторите попытку в некоторое время? Если вы спешите, портал "Мой доступ" всегда доступен."?
Агент отвечает на это сообщение, если клиент не подготовлен и перегружен емкости Security Copilot.