Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В общедоступной предварительной версии агент проверки изменений Microsoft Intune использует генеративный ИИ Microsoft Security Copilot для оценки запросов на утверждение нескольких Администратор для сценариев PowerShell на устройствах Windows. Он предоставляет рекомендации на основе рисков и контекстные аналитические сведения, помогающие администраторам понять поведение скриптов и связанные с ним риски. Эти аналитические сведения помогают Intune администраторам быстрее принимать обоснованные решения о том, следует ли утверждать или отклонять запросы.
Чтобы создать эти рекомендации, агент объединяет сигналы из нескольких источников:
- Управление уязвимостями Microsoft Defender — для аналитики угроз
- Идентификатор Microsoft -Entra — для риска идентификации
- Microsoft Intune — для запросов на утверждение нескольких Администратор и исторический контекст аналогичных запросов
Агент анализирует эти сигналы, чтобы оценить потенциальный риск, связанный с каждым запросом, а затем предоставляет практические аналитические сведения для поддержки безопасного и эффективного управления изменениями.
Предварительные условия
Требования к облаку
Агент поддерживается только в общедоступном облаке. Он не поддерживается в облаках государственных организаций.
Требования к лицензированию
Чтобы использовать агенты Security Copilot в Microsoft Intune, ваша организация должна соответствовать определенным требованиям к лицензированию.
Обязательные лицензии:
- подписка Microsoft Intune (план 1)
- Microsoft Entra ID P2
- Управление уязвимостями в Microsoft Defender
- Microsoft Security Copilot с достаточным количеством единиц вычислений безопасности
Требования к подключаемым модулям
Подключаемые модули позволяют агентам Security Copilot подключаться к службам Майкрософт и выполнять специализированные действия.
Агенту проверки изменений требуются следующие подключаемые модули:
Требования к платформе и сценарии
Агент поддерживает оценку и рекомендации для следующих платформ и сценариев:
- Windows
- Сценарии PowerShell в Intune
Требования к ролям
Требования к роли зависят от того, настраиваете ли вы агент или используете его, а также от конкретных выполняемых действий.
Чтобы включить и настроить агент проверки изменений, используйте учетную запись со следующими ролями:
Роли Entra:
- Администратор Intune
- Читатель сведений о безопасности
- Entra/Identity risky user (read) — это разрешение сопоставляется с состоянием безопасности единого разрешения RBAC, риском идентификации и рискованными пользователями (чтение).
Роли Defender . Роли управления доступом на основе ролей Defender (RBAC) зависят от реализации Defender XDR:
Unified RBAC. Назначьте читатель безопасности Microsoft Entra ID учетной записи удостоверений агента. Эта роль предоставляет доступ только для чтения к Управление уязвимостями Defender данным и автоматически применяет область действия группы устройств.
Детализированный RBAC. Назначьте настраиваемую роль RBAC с разрешениями, эквивалентными роли читателя единой системы безопасности RBAC. Например:
- Просмотр данных — Управление уязвимостями Defender. Это разрешение сопоставляется с состоянием безопасности единого разрешения RBAC, управлением состоянием состояния или управлением уязвимостями (чтение).
Дополнительные сведения о сопоставлении разрешений с ролью читателя безопасности Единого RBAC см. в статье Microsoft Entra доступ к глобальным ролям в статье Сопоставление Microsoft Defender XDR единого управления доступом на основе ролей (RBAC) документации По Defender.
Убедитесь, что удостоверение агента находится в области Microsoft Defender, чтобы включить все соответствующие группы устройств. Агент не может получать доступ к устройствам за пределами назначенных область или сообщать о ней.
Security Copilot роли:
Чтобы использовать агент и выполнять действия по отключению, используйте учетную запись со следующими ролями:
Intune роли:
- Оператор только для чтения или настраиваемая роль с эквивалентными разрешениями.
- Для использования агента требуется тот же доступ, что и включение и настройка агента.
Принцип работы агента
Агент проверки изменений работает с использованием удостоверения учетной записи Intune администраторов и запускается вручную, когда администратор запускает его.
На высоком уровне агент выполняет следующие действия при каждом запуске:
Агрегирование сигналов . Агент начинается с агрегирования сигналов из следующих источников:
- Управление уязвимостями Microsoft Defender — для аналитики угроз
- Microsoft Entra ID — для риска идентификации
- Microsoft Intune — для запросов на утверждение нескольких Администратор и исторический контекст аналогичных запросов
Оценка. Агент оценивает Windows PowerShell скрипты для запросов утверждения нескольких Администратор с помощью предопределенной логики, встроенной в конфигурацию агента.
Рекомендации . Агент проверяет, а затем предоставляет рекомендации по 10 запросам на каждый запуск.
Предложения — это только предложения . Утверждение или отклонение запроса остается у администратора Intune.
В первом столбце списка рекомендаций представлены рекомендуемые дальнейшие действия, в которых отображается рекомендуемое действие, за которым следует имя запроса. Возможные действия:
- Утверждение — запрос с низким риском; скорее всего, безопасно утвердить.
- Отклонение — запрос с высоким риском; не должен быть утвержден.
- Требуется дополнительная информация. Не удалось полностью оценить риск. Этот запрос требует дополнительной проверки.
Каждая рекомендация содержит вспомогательные сведения, объясняющие:
- Обоснование рекомендаций агента.
- Что предназначено для выполнения или выполнения скрипта.
- Подробный список факторов, рассмотренных агентом в процессе.
Удостоверение агента
Агент запускается под удостоверением и разрешениями учетной записи администратора Intune, используемой во время установки. Действия агента ограничены разрешениями этой учетной записи, и удостоверение обновляется при каждом запуске. Если агент не работает в течение 90 дней подряд, его проверка подлинности истечет, а последующие запуски завершаются сбоем до возобновления. Чтобы сохранить функциональность, обновите удостоверение агента до 90-дневного ограничения.
Рекомендации по эксплуатации
Перед настройкой и запуском агента в первый раз ознакомьтесь со следующими рекомендациями.
- Администратор должен вручную запустить агент. После запуска его нельзя остановить или приостановить.
- Агент можно запустить только из центра администрирования Microsoft Intune.
- Сведения о сеансе на портале Microsoft Security Copilot видны только пользователю, настроившему агент.
- Агент проверяет, а затем предоставляет рекомендации по максимум 10 запросам на каждый запуск.
- Для каждого контекста клиента или пользователя поддерживается только один экземпляр агента.
Настройка агента
Агент работает с удостоверением и разрешениями учетной записи администратора Intune, используемой во время установки. Его операции ограничены разрешениями этой учетной записи, и удостоверение обновляется при каждом запуске. Любые изменения разрешений учетной записи влияют на возможности агента во время его следующего запуска.
Чтобы настроить агент проверки изменений, выполните следующие действия.
В Центре администрирования Microsoft Intune перейдите в раздел Агенты>проверки изменений.
В разделе Обзор выберите Настроить агент , чтобы открыть панель Настройка агента проверки изменений .
На панели Настройка агента проверки изменений перечислены необходимые разрешения и приведены сведения о требованиях к настройке. При выполнении требований выберите Запустить агент.
Агент работает до завершения оценки и отображает результаты на вкладке Обзор. Когда выполнение завершится, агент будет готов к использованию.
Дополнительные сведения об использовании агента см. в статье Использование агента проверки изменений.
Удаление агента
При удалении агента удаляются все связанные данные, включая предложения и действия. Ранее примененные предложения остаются без изменений.
Действия по удалению экземпляра агента:
- В Центре администрирования Microsoft Intune выберите Агенты.
- Выберите экземпляр агента, который требуется удалить.
- Выберите Удалить агент и подтвердите удаление.
После удаления:
- Область агента возвращается в исходное состояние.
- Администратор может переустановить агент позже, повторив процесс установки.
Помощь в формировании будущего агентов Intune
Присоединяйтесь к форуму отзывов агентов Intune, чтобы поделиться аналитическими сведениями и повлиять на предстоящие возможности в Microsoft Intune.
Зарегистрируйтесь и узнайте больше: https://aka.ms/IntuneAgentsForum