Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Агент конфигурации политики Intune использует функции на основе искусственного интеллекта в Security Copilot. Она помогает ИТ-администраторам преобразовать сложные требования и отраслевые стандартные документы в практические параметры Intune.
Администраторы могут быстро создавать Intune политики каталога параметров, которые соответствуют организационным или нормативным базовым показателям, включая любые инициативы по ужесточения.
С помощью агента вы:
Отправьте документ или отраслевой тест производительности, и агент определяет релевантные и соответствующие параметры Intune.
Вы можете передавать стандарты соответствия и общие отраслевые тесты, такие как руководства по технической реализации безопасности (STIG) и рекомендации Национального института стандартов и технологий (NIST).
Может передавать документы и базовые показатели внутренней политики, такие как политики безопасности вашей организации или требования к соответствию.
Получение соответствующих параметров конфигурации и практических предложений на основе отправленных документов.
Можно настроить предложения, чтобы создать базовый план, соответствующий вашей среде. Например, если в вашей организации есть исключение из правила CIS, это правило можно удалить из конечной политики.
Агент также поможет вам создать политику с помощью рекомендаций и настроить каждый параметр в соответствии с потребностями вашей организации. Эти предложения можно просмотреть и сохранить.
В этой статье:
- Список предварительных требований для использования агента
- Описание работы агента
- Показано, как настроить агент
- Показано, как продлить или удалить агент
Сведения об использовании агента см. в статье Использование агента конфигурации политики.
Предварительные условия
Требования к облаку
Агент поддерживается только в общедоступном облаке. Он не поддерживается в облаках государственных организаций.
Требования к лицензированию
Для использования агентов Security Copilot в Microsoft Intune требуются следующие лицензии:
- подписка Microsoft Intune (план 1)
- Microsoft Security Copilot с достаточным количеством единиц вычислений безопасности
Требования к подключаемым модулям
Подключаемые модули позволяют агентам Security Copilot подключаться к службам Майкрософт и выполнять специализированные действия. Для этого агента требуется следующий подключаемый модуль:
Если вы используете Copilot в Intune, подключаемый модуль Intune уже включен. Дополнительные сведения о подключаемых модулях.
Требования к платформе устройства
Эта функция поддерживает следующие платформы:
- Windows
Требования к ролям
Чтобы включить и настроить агент, используйте учетную запись со следующими ролями:
Security Copilot роли:
Дополнительные сведения о ролях Security Copilot см. в разделе Security Copilot роли и разрешения.
Intune роли:
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Конфигурации устройств/Чтение
Чтобы использовать агент, создавать предложения и получать рекомендации по политике, используйте учетную запись со следующими ролями:
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Конфигурации устройств/Чтение
Чтобы использовать агент, создавать предложения, получать рекомендации по политикам и создавать политики, используйте учетную запись со следующими ролями:
- Диспетчер политик и профилей или пользовательская роль со следующими разрешениями:
- Конфигурации устройств/Создание
- Конфигурации устройств/Обновление
Принцип работы агента
На высоком уровне агент выполняет следующие действия.
Прием входных данных. Вы предоставляете агенту входные данные, которые имеют требования политики. Это может быть отправляемый документ или прямой текстовый ввод, например
All laptops must have BitLocker enabled with AES-256 encryption.Агент поддерживает пользовательские документы и маркированные списки требований.
Обработка и синтаксический анализ на естественном языке. При запуске агента с входными данными агент использует Security Copilot для анализа и сопоставления входных данных. Он считывает язык и определяет отдельные параметры, описываемые в тексте.
Например, если в документе указано "Запретить использование USB-устройств хранения", агент интерпретирует текст как требование о политике внешнего хранилища.
Security Copilot настраивается для распознавания общих политик и технических элементов управления из текстовых описаний. Он может обрабатывать сложные формулировки или различные форматы.
Сопоставляет правила с параметрами Intune. Для каждого проанализированного требования агент пытается найти соответствующий параметр каталога параметров, который достигает этой цели. Агент использует встроенные знания о возможностях Intune, чтобы выбрать правильный параметр и значение параметра, соответствующее требованию.
Создает предложения политики. Агент компилирует результаты сопоставления в черновик Intune профиля конфигурации с рекомендуемыми параметрами.
Администратор проверки и подтверждения. Прежде чем что-либо применить, просмотрите выходные данные агента. В Центре администрирования выберите предложение агента, чтобы просмотреть подробные сведения. Вы можете увидеть список рекомендуемых параметров (поддерживаемых сопоставлений) и отдельные списки для неподдерживаемых или несопоставленных элементов.
На этом этапе необходимо:
-
Просмотр сведений . Вы можете детализировать каждый рекомендуемый параметр, чтобы прочитать обоснование и настроить. Например, агент может предложить пароль длиной 14 символов, так как в базовом плане указано
at least 12. - Удалить или исключить . Если есть определенные предложения, которые вы не хотите реализовать, их можно удалить, когда сообщите агенту о необходимости создать политику конфигурации устройства.
- Подтверждение неподдерживаемых элементов. Для любых требований, которые Intune не может применить, задокументируйте, как вы планируете их обрабатывать, или подтвердите их. Роль агента является информационной и гарантирует, что вы знаете о любых пробелах.
-
Просмотр сведений . Вы можете детализировать каждый рекомендуемый параметр, чтобы прочитать обоснование и настроить. Например, агент может предложить пароль длиной 14 символов, так как в базовом плане указано
Создание политики. После подтверждения предложений можно создать новый профиль конфигурации со всеми рекомендуемыми параметрами. Эта политика каталога параметров не применяется, пока вы не назначите ее, как и любая политика Intune, созданная вручную.
На этом этапе политика является обычной политикой Intune. Его можно назначить соответствующим группам и переименовать политику.
Развертывание и мониторинг. После назначения политики устройства начинают отчеты с новыми параметрами. Задание агента будет выполнено до тех пор, пока вы не запустите его снова.
Удостоверение агента
Агент запускается под удостоверением и разрешениями учетной записи, используемой во время этой установки. Действия ограничены разрешениями этой учетной записи, и удостоверение обновляется при каждом запуске. Таким образом, любые изменения разрешений учетной записи влияют на возможности агента во время его следующего запуска.
Для настройки агента рекомендуется войти с помощью роли владельца Security Copilot. Некоторые роли могут автоматически иметь необходимые разрешения. Дополнительные сведения см. в разделе Security Copilot роли.
Настройка агента
Перед включением агента:
- Администратор должен вручную запустить агент. После запуска невозможно остановить или приостановить работу агента.
- Агент можно запустить только из центра администрирования Intune.
- Сведения о сеансе на портале Microsoft Security Copilot видны только пользователю, настроившему агент.
- Для каждого клиента поддерживается только один экземпляр агента.
Чтобы настроить агент, выполните следующие действия.
В Центре администрирования Intune выберитеАгент настройки политикиагентов>.
В разделе Обзор выберите Настроить агент.
В области Настройка агента конфигурации политики перечислены необходимые разрешения для настройки агента, а также приведены дополнительные сведения о требованиях к настройке.
Выберите Настроить агент.
По завершении агент будет готов к использованию. Дополнительные сведения об использовании агента см. в статье Использование агента конфигурации политики.
Обновление агента
Если вы не используете агент в течение 90 дней, срок авторизации агента истечет, а его запуск завершается сбоем до повторной проверки подлинности. Проверку подлинности агента можно продлить в любое время.
По мере приближения срока действия Intune отображает предупреждение на странице обзора агента, которое могут видеть каждый владелец Copilot и участник Copilot. Предупреждение предлагает обновить удостоверение агента.
Чтобы повторно авторизовать удостоверение агента, выберите Продлить проверку подлинности. При продлении проверки подлинности агента агент автоматически использует учетные данные для входа. Если вы не хотите использовать учетные данные для входа, выберите вкладку >Параметры агента >Выберите другое удостоверение.
После продления баннер предупреждения исчезнет, а всплывающее уведомление подтверждает успешность продления.
Удаление агента
При удалении агента удаляются все связанные данные, включая предложения и действия. Ранее примененные предложения остаются без изменений.
Действия по удалению экземпляра агента:
- В Центре администрирования Microsoft Intune выберите Агенты.
- Выберите экземпляр агента, который требуется удалить.
- Выберите Удалить агент и подтвердите удаление.
После удаления:
- Область агента возвращается в исходное состояние.
- Администратор может переустановить агент позже, повторив процесс установки.
Помощь в формировании будущего агентов Intune
Присоединяйтесь к форуму отзывов агентов Intune, чтобы поделиться аналитическими сведениями и повлиять на предстоящие возможности в Microsoft Intune.
Зарегистрируйтесь и узнайте больше: https://aka.ms/IntuneAgentsForum