Sdílet prostřednictvím

Nasazení kampaní adopce přístupových klíčů pomocí agenta optimalizace podmíněného přístupu (Preview)

Agent optimalizace podmíněného přístupu pomáhá organizacím plánovat a nasazovat kampaně, které uživatele vedou k silnějším metodám ověřování. Ve verzi Public Preview agent podporuje nasazování kampaní přechodu na heslový klíč, které organizacím pomáhají zavést ověřování odolné proti phishingovým útokům strukturovaným, inteligentním a automatizovaným způsobem.

Agent je navržený tak, aby snížil ruční úsilí pro rozsáhlé kampaně. Agent může:

  • Posouzení připravenosti uživatelů a zařízení
  • Vygenerování doporučeného plánu nasazení
  • Průvodce uživateli požadovanými kroky
  • Vynucení zásad podmíněného přístupu, jakmile budou uživatelé připravení

Agent průběžně vyhodnocuje průběh a v rámci kampaně postupuje uživatele, jakmile jsou splněny podmínky.

Předpoklady

Povolte kampaně pro přístupové klíče v softwarovém agentu

Můžete povolit agentovi pro optimalizaci podmíněného přístupu vytváření kampaní na zavedení přístupových klíčů z Centra pro správu Microsoft Entra.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.

  2. Přejděte donastavení agenta >optimalizace podmíněného přístupu.

  3. V části Schopnosti agenta zaškrtněte políčko Povolit agentu vytvářet kampaně pro přijetí přístupových klíčů.

    Snímek obrazovky nastavení agenta pro umožnění návrhů kampaní na přístupový klíč

Po povolení nastavení začne agent analyzovat tenant, aby identifikoval uživatele, kteří jsou způsobilí pro kampaň na klíče. V současné době agent cílí na uživatele s oprávněními správce ve výchozím nastavení. Další informace najdete v tématu Podporované role správce.

Poznámka:

Počáteční analýza může trvat několik minut. Pokud se kampaně recenze nezobrazí, můžete na kartě se doporučením vybrat Spustit analýzu nebo počkat na další naplánované spuštění agenta.

Zobrazení přehledu kampaně

Pokud je k dispozici kampaň s klíčem pro přístup, zobrazí se jako doporučení v přehledu agenta optimalizace podmíněného přístupu.

Kontrola kampaně:

  1. Přejděte k agentu optimalizace podmíněného přístupu.

  2. V části Poslední návrhy vyhledejte návrh Nasazení kampaně na zavedení přístupových klíčů pro správce.

  3. Vyberte Zkontrolovat kampaň.

    Snímek obrazovky s návrhy agenta se zvýrazněným výsledkem kampaně klíče

Přehled počáteční kampaně obsahuje souhrn navrhovaného plánu agenta, včetně:

  • Cíl kampaně
  • Outlook připravenosti vygenerovaný AI pro cílové uživatele
  • Klíčové metriky kampaní, například:
    • Odhadovaná doba trvání kampaně
    • Počet cílových uživatelů
  • Rozpis připravenosti uživatelů:
    • Uživatelé, kteří potřebují aktualizace zařízení: uživatelé s alespoň jedním zařízením zaregistrovaným v Microsoft Entra, ale nesplňují minimální požadavky na operační systém pro klíče.
    • Uživatelé, kteří potřebují zaregistrovat klíč: uživatelé s kompatibilními zařízeními, ale bez registrovaného klíče.
    • Uživatelé připravení k vynucení: uživatelé s kompatibilními zařízeními a registrovaným klíčem.

Z tohoto zobrazení můžete kampaň nasadit okamžitě nebo otevřít podrobné prostředí kampaně. Před nasazením kampaně doporučujeme zkontrolovat podrobný plán kampaně.

Snímek obrazovky se souhrnem kampaně hesel

Kontrola a přizpůsobení podrobného plánu kampaně

Výběrem možnosti Zkontrolovat kampaň otevřete podrobné prostředí kampaně, kde můžete zkontrolovat připravenost uživatelů podrobněji a přizpůsobit konfiguraci kampaně před nasazením. Kampaň s přístupovým klíčem zahrnuje čtyři fáze:

  • Cíloví uživatelé pro kampaň na přístupové klíče
  • Kontrola připravenosti zařízení
  • Vyžadovat registraci přístupového klíče
  • Vynucení použití klíče

Přezkum cílových uživatelů

Podrobné zobrazení kampaně umožňuje zkontrolovat všechny uživatele cílené na kampaň a provést úpravy před nasazením. Přizpůsobení kampaně je k dispozici pouze v době, kdy je kampaň ve stavu Nezahajovaná . Po zahájení nasazení se tato nastavení nedají upravit.

  • Pokud chcete zobrazit uživatele cílené na kampaň: Vyberte odkaz agregovaného počtu uživatelů pro danou kategorii.
  • Pokud chcete upravit uživatele cílené na kampaň: Vyberte tlačítko Upravit uživatele, na které cílí .

Snímek obrazovky s podrobnostmi kampaně s přístupovým klíčem, kde jsou zvýrazněny možnosti cílových uživatelů.

Návod

Doporučujeme z kampaně vyloučit správcovské účty určené pro nouzové situace nebo pohotovostní přístupové účty.

Fáze Kontroly připravenosti zařízení nemusí mít stejný počet uživatelů jako celkový počet cílových uživatelů kampaně. Pokud mají všichni uživatelé aktuální zařízení s nejnovějším operačním systémem, který podporuje klíče, nebudou v této fázi zahrnuti. Pokud pro tuto fázi nejsou žádní uživatelé, kampaň se automaticky přesune do další fáze.

Úprava období odkladu

Období odkladu definují, jak dlouho uživatelé musí dokončit požadovanou akci. Období odkladu se můžou vztahovat na aktualizaci zařízení, registraci klíče nebo dobu mezi informačními oznámeními a vynucením.

Pro zobrazení a úpravu období prodlení pro fázi kampaně:

  1. Výběrem šipky v pravém horním rohu fáze rozbalte podrobnosti.

  2. Upravte období odkladu úpravou posuvníku nebo zadáním čísla do textového pole.

    Snímek obrazovky s podrobnostmi kampaně s přístupovým klíčem, se zvýrazněnými možnostmi období odkladu

Pokud uživatel překročí období odkladu k dokončení požadované akce, agent nebude pokračovat v postupu uživatele v rámci kampaně. Pokud chcete zobrazit tyto uživatele, vyberte agregovaný počet uživatelů pro příslušnou kategorii kampaně. Sloupec Překročené období odkladu ukazuje, kdy uživatel překročil období odkladu.

Konfigurace možností odložení

Odložení je možné povolit kromě období odkladu, aby uživatelé měli větší flexibilitu. Při povolení odložení:

  • Uživatelé se můžou rozhodnout odložit požadovanou akci nebo oznámení o vynucení po omezenou dobu.
  • Po skončení doby trvání odložení agent obnoví připomenutí a oznámení o požadované akci nebo nadcházejícím vynucení.

Konfigurovat podrobnosti odložení:

  1. Vyberte Zkontrolovat kampaň pro návrh nasazení kampaně typu passkey.

  2. Zaškrtněte políčko Povolit odložení uživatele .

  3. Z nových možností, které se zobrazí, nastavte počet dní.

    Snímek obrazovky s podrobnostmi o kampani přístupových klíčů se zvýrazněnými podrobnostmi o odložení.

Filtrování neaktivních zařízení

Odstraňte neaktivní zařízení, aby uživatelé se starými nebo nepoužívanými zařízeními nezůstávali uvíznuti ve fázi kontroly připravenosti zařízení.

Toto nastavení platí na úrovni kampaně a umožňuje správcům definovat, co se kvalifikuje jako aktivní zařízení. Agent vyloučí zařízení, která se v zadaném časovém intervalu nepoužila, a pomáhá tak zajistit, aby se uživatelé vyhodnotili na základě zařízení, se kterými se aktivně přihlašují. Ve výchozím nastavení agent považuje zařízení používaná během posledního roku.

Snímek obrazovky s podrobnostmi kampaně přístupového klíče se zvýrazněnou volbou neaktivních zařízení.

Nasazení a spuštění kampaně

Po kontrole a přizpůsobení podrobného plánu kampaně můžete kampaň nasadit.

Pokud chcete zahájit kampaň, vyberte v přehledu kampaně nebo v podrobném zobrazení kampaně možnost Nasadit kampaň.

Nasazení kampaně se obvykle dokončí během několika minut. Během nasazování agent vytvoří požadované prostředky a připraví uživatele k vedení kampaně. Během nasazování se vám budou zobrazovat oznámení o průběhu. Ve výjimečných případech, kdy vyprší časový limit nasazení, jsou tlačítka akcí znovu povolená, abyste to mohli opakovat.

Po dokončení nasazení se stav kampaně změní na Probíhající na stránce Přehled agenta optimalizace podmíněného přístupu.

Monitorování a správa spouštění kampaní

Po nasazení kampaně se stav na stránce Přehled agenta optimalizace podmíněného přístupu změní na Probíhající . Agent pak spravuje spouštění kampaní automaticky a aktualizuje průběh, jakmile uživatelé dokončí požadované akce. Přehled kampaně a podrobná zobrazení kampaní vždy odrážejí nejnovější stav kampaně, rozpisy kategorií uživatelů a podrobnosti na úrovni uživatele, což správcům umožňuje sledovat průběh a zkoumat problémy podle potřeby.

Zatímco kampaň běží:

  • Nastavení konfigurace kampaně jsou uzamčená (s výjimkou úprav zásad podmíněného přístupu).
  • Realizaci lze spravovat z detailního zobrazení kampaně.

Mezi dostupné akce patří:

  • Pozastavení: Dočasně zastaví všechny akce agenta. Noví uživatelé nejsou kontaktováni ani povyšováni.
  • Konec: Trvale zastaví kampaň a obnoví její stav na Nezačíná.

Pozastavení nebo ukončení kampaně nevrátí akce, které už byly dokončeny.

Jak agent vede uživatele

Zatímco je kampaň aktivní, agent optimalizace podmíněného přístupu se spouští automaticky každých 24 hodin, aby vyhodnotil průběh a posunul uživatele na základě jejich aktuální připravenosti.

Během provádění:

  • Uživatelé, kteří potřebují aktualizace zařízení
    • Příjem oznámení Microsoft Teams s výzvou k aktualizaci svých zařízení tak, aby splňovala minimální požadavky operačního systému
    • Příjem oznámení připomenutí během nakonfigurovaného období odkladu
  • Uživatelé, kteří potřebují nastavit přístupový klíč
    • Přijímejte oznámení Teams s pokyny k nastavení přístupového klíče
    • Příjem oznámení připomenutí během období odkladu
  • Uživatelé připravení k vynucení
    • Dostanou oznámení informující je o nadcházejícím prosazení.
    • Po skončení období odkladu vynucení se uživatelé přidají do skupiny zásad podmíněného přístupu, která vyžaduje ověřování odolné proti útokům phishing.
    • Zásada podmíněného přístupu je vytvořena v režimu pouze pro zprávy.

Chování zásad podmíněného přístupu

Když se uživatelé stanou způsobilými k vynucení, vytvoří agent zásadu podmíněného přístupu, která bude vyžadovat ověřování odolné proti útoku phishing.

  • Zásada se vytvoří až poté, co alespoň jeden uživatel dokončí období odkladu oznámení vynucení.
  • Zásady se zpočátku vytvářejí v režimu pouze pro hlášení, což správcům umožňuje sledovat dopad před vynucováním požadavků na ověřování.
  • Konfiguraci zásad je možné zkontrolovat a spravovat přímo z podmíněného přístupu.

Známá omezení

  • Agent optimalizace podmíněného přístupu v současné době neověřuje, jestli jsou v zásadách metod ověřování povolené cílové uživatele pro klíče. Před nasazením kampaně se ujistěte, že je tento předpoklad nakonfigurovaný.
  • Nastavení kampaně, jako je cílení, lhůta odkladu a konfigurace odkladu, se po zahájení kampaně nedají upravit.
  • Zásady podmíněného přístupu se vytvoří až poté, co alespoň jeden uživatel dokončí období odkladu oznámení vynucení.
  • Možnosti správy zásad se zobrazí až po vytvoření zásady.
  • Odložení je v současné době podporováno pouze pro uživatele, kteří mají buď roli vlastníka Security Copilot, nebo roli přispěvatele Security Copilot. Správci můžou ověřit, kteří uživatelé mají tyto role, na portálu pro správu Security Copilot.

Podporované role správce

  • Správce ověřování
  • Správce fakturace
  • Správce cloudové aplikace
  • Správce podmíněného přístupu
  • Správce Exchange
  • Globální správce
  • Správce helpdesku
  • Správce služeb Intune
  • Správce hesel
  • Správce privilegovaného ověřování
  • Správce privilegovaných rolí
  • Správce zabezpečení
  • Správce SharePointu
  • Správce Teams
  • Správce uživatelů
  • Last updated on