条件访问优化代理通过自动分析登录模式和建议策略优化来帮助组织改善其安全状况。 此Microsoft安全 Copilot 代理标识不受保护的用户和应用程序,建议策略改进,并帮助合并冗余策略。
为了确保透明度并保持对自动建议的控制,Microsoft Entra ID 为所有代理活动提供全面的日志记录和指标。 本文介绍如何监视代理性能、查看审核日志,并了解有助于衡量代理对安全环境的影响的指标。
先决条件
- 若要查看Microsoft Entra 审核日志,至少需要 报表读取者 角色。
- 全局读取者和安全读取者角色可以查看代理和任何建议,但无法执行任何作。
-
全局管理员、 安全管理员和 条件访问管理员 角色可以查看代理,并针对建议采取措施。
- 有关条件访问优化代理角色的更多信息,请参阅 分配安全 Copilot 访问
- 查看智能 Microsoft Security Copilot 副驾驶® 中的隐私和数据安全性
代理摘要
条件访问优化代理页面顶部的代理摘要提供了过去 30 天内代理发现的内容的简要总结。 还提供代理所消耗的安全计算单元(SCU)总数。
- 发现未受保护的用户:代理标识的用户数,并受代理建议的策略保护。
- 发现未保护的应用:由代理识别并根据建议策略保护的应用程序数量。
- 受保护的登录:由代理建议的策略保护的登录数。
- 使用的安全计算单元:过去 30 天内代理使用的 SCU 总数。
代理摘要中的值反映应用建议后的活动。 如果运行代理并且不应用任何建议,则代理摘要中的值不会更改。
见解仪表板(预览版)
条件访问优化代理包括一个见解仪表板,该仪表板提供应用代理建议后改进效果的数据可视化。 仪表板是与领导层共享进度的好方法,用于演示零信任投资的价值,而无需生成自定义报表。
见解仪表板提供以下指标:
- 覆盖面有所改进的对象:用户、应用程序或被代理识别为存在关键策略差距的代理身份,现在在过去 30 天内至少有一个新的控制措施覆盖。
- 缺少覆盖范围的对象:用户、应用程序或代理标识当前缺少一个或多个关键策略的覆盖范围。
仪表板提供用于向下钻取到特定指标的链接,以及将报表下载为 CSV 的选项。
审核日志
Microsoft Entra 中与安全 Copilot 代理关联的活动显示在 Microsoft Entra 审核日志和 Microsoft Purview 中的安全 Copilot 审核日志中。 每个服务提供有关代理活动的不同信息。
Microsoft Purview 日志包括 Security Copilot 平台中的租户级管理操作和用户交互。 有关详细信息,请参阅 访问安全 Copilot 审核日志。
Microsoft Entra 审核日志包括代理对 Microsoft Entra 资源(例如条件访问策略)所做的更改。 由代理创建或修改的策略在条件访问策略窗格中使用 条件访问优化代理 进行标记。
在 Audit logs 中,启动者(行动者) 字段显示启动代理的用户名称。 若要快速查看代理活动,请筛选到 服务:条件访问。
