Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Agent optimalizace podmíněného přístupu pro Microsoft Entra obsahuje možnost postupného zavedení, která organizacím pomáhá bezpečně a efektivně nasazovat nové zásady podmíněného přístupu. Tato funkce Microsoft Security Copilot v Microsoft Entra umožňuje správcům zavést zásady postupně, sledovat jejich dopad a minimalizovat přerušení. Tato funkce postupného zavedení poskytuje postupné nasazování nových zásad, aby se minimalizovala pravděpodobnost rozsáhlého přerušení koncových uživatelů a snížila se potřeba ruční analýzy a plánování, což šetří týdny úsilí. Stejně jako u všech aspektů agenta optimalizace podmíněného přístupu si správci zachovají plnou kontrolu nad změnami zásad, jako je výběr skupiny a uvedení změn. K zajištění transparentnosti je rovněž poskytováno jasné odůvodnění plánu zavedení.
Tento článek vysvětluje, jak proces postupného zavedení funguje, popisuje požadavky a popisuje integrované záruky, které pomáhají zajistit bezproblémové nasazení.
Požadavky
- Musíte mít aspoň licenci Microsoft Entra ID P1 .
- Musíte mít dostupné výpočetní jednotky zabezpečení (SCU).
- Role Čtenář zabezpečení a Globální čtenář mohou zobrazit agenta a jakékoli návrhy, ale nemůžou provádět žádné akce.
- Role Správce podmíněného přístupu, Správce zabezpečení a Globální správce můžou zobrazit agenta a provádět akce s návrhy.
- Tenanti musí mít alespoň pět definovaných skupin, které se aktuálně používají v zásadách podmíněného přístupu, aby agent mohl vygenerovat plán postupného zavedení.
Jak to funguje
Když agent optimalizace podmíněného přístupu vytvoří novou zásadu v režimu pouze pro sestavy, může navrhnout zapnutí zásady s postupným zaváděním. Agent analyzuje přihlašovací data a existující zásady, aby definoval plán postupného zavedení.
Zásady, které se mají použít pro všechny uživatele a musí být zapnuté, mají nárok na postupné zavedení. Vzhledem k tomu, že plán zavedení má pět různých fází, musíte mít alespoň pět skupin, aby se plán zavedení mohl použít. Pokud chcete zjistit, které skupiny se mají použít, agent se podívá na skupiny, které byly dříve nebo se aktuálně používají v zásadách podmíněného přístupu. Agent se na tyto skupiny podívá a zjistí, jak je ovlivnily další zásady podmíněného přístupu, abyste mohli posoudit potenciální dopad. Agent se podívá na velikost skupin a pak použije všechny tyto faktory k přiřazení skupin k fázím začínajícím skupinami s nízkým dopadem a končící skupinami s vyšším dopadem.
Proces postupného zavedení zahrnuje tři kroky:
- Agent vytvoří zásadu jen pro sestavu s postupném uvedením.
- Správce zkontroluje, upraví a přijme plán uvedení.
- Agent nebo správce spustí schválený plán uvedení.
Skupiny zahrnuté v jednotlivých fázích a počet dní mezi jednotlivými fázemi můžete zkontrolovat a provést změny před a během postupného zavedení. Kdykoli během zavádění se můžete rozhodnout, jestli má být plán spuštěný agentem, nebo můžete ručně provést každou fázi plánu.
Bez ohledu na to, jak se plán provede nebo pokud jste v plánu provedli změny, vytvoří se při první fázi nová zásada a zapne se pro skupiny zahrnuté v první fázi. Původní zásady režimu jen pro sestavy zůstanou nedotčené.
Agent vytvoří zásadu pouze pro sestavu s postupným uvedením.
Agent vytvoří zásadu jen pro sestavu a vytvoří samostatný plán postupného zavedení. Plány zavedení zahrnují pět fází, počínaje malými skupinami s nízkým rizikem a pokrokem ve větších, vysoce rizikových skupinách.
V seznamu návrhů od agenta vyhledejte navrhované postupné zavedení ve sloupci Akce provedené agentem .
Správce zkontroluje, upraví a přijme plán uvedení.
Správci musí zkontrolovat podrobnosti plánu, včetně skupin zahrnutých v jednotlivých fázích, načasování jednotlivých fází a způsobu provedení plánu.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zabezpečení.
Přejděte do agenta optimalizace podmíněného přístupu a vyberte tlačítko Zkontrolovat návrhy pro návrh zásad, který zahrnuje postupné zavedení.
Na stránce s podrobnostmi o zásadách vyberte Fáze kontroly.
Vyberte Upravit skupiny a upravte skupiny zahrnuté ve fázi.
Výběrem šipky dolů na tlačítku Automatické zavedení fází vyberte režim provádění.
- Automatické zavádění fází: Agent automaticky zavede každou fázi na základě časování a signálu dopadu.
- Ruční zavedení fází: Správce ručně přejde do každé fáze zavedení.
Návod
Plány automatického a ručního zavedení můžete kdykoliv zasahovat. Během zavádění můžete také kdykoli změnit režimy provádění.
Úprava času mezi fázemi:
- Přejděte na kartu Nastavení z agenta optimalizace podmíněného přístupu.
- Upravte dny mezi fázemi v části Postupné zavedení .
- Pro uplatnění změn vyberte tlačítko Uložit.
Další informace najdete v nastavení postupného zavedení.
Agent nebo správce spustí schválený plán uvedení.
Možnosti, které jsou k dispozici ke správě postupného zavedení, se liší pro automatické a ruční spuštění.
Automatické zavádění fází
Pokud jste vybrali automatické zavedení, agent automaticky spustí plán vytvořením nové povolené zásady, které platí pro všechny skupiny v první fázi. Po spuštění uvedení se zobrazí několik ovládacích prvků, které řídí zavedení.
Agent nasadí zásadu do skupin v dalších fázích na základě definovaného plánu. Kdykoli během postupného zavedení můžete pozastavit provádění plánu nebo zvolit ruční zavedení zbývajících fází.
Můžete pokračovat v monitorování mezi jednotlivými fázemi zavádění, abyste měli jistotu, že zásada udělá to, co se očekává. Zatímco se zásady nasadí, původní zásada pouze pro sestavy zůstane v režimu jen pro zbývající fáze. Po dokončení postupného zavedení agent doporučuje odstranit zásady jen pro sestavu při příštím spuštění, abyste mohli udržovat čistý seznam zásad.
Ruční zavedení fází
Pokud jste se rozhodli plán postupného zavedení spustit ručně, máte k dispozici několik možností pro správu jednotlivých kroků.
Pokud chcete přejít k jednotlivým fázím zavedení, musíte vybrat přechod na další fázi . V libovolné fázi se můžete vrátit k předchozí fázi nebo se rozhodnout, že agent automaticky zavede zbývající fáze.
Integrovaná bezpečnostní opatření
Po zahájení postupného zavedení nemůžete aktualizovat ovládací prvky udělení zásad. Pokud jsou v ovládacích prvcích udělení provedeny změny, postupné zavedení se zruší. Pokud nové zásady během jakékoli fáze zablokují více než 10% přihlášení, zavedení se okamžitě pozastaví. Správce je upozorněn, aby bylo možné podrobnosti zkontrolovat a potenciálně upravit.
Nejčastější dotazy
Jak funguje funkce postupného zavedení?
Po výběru skupin, na které se jednotlivé fáze vztahují, vytvoří agent duplicitní zásady podmíněného přístupu, které zahrnují pouze skupinu první fáze. Původní zásady podmíněného přístupu zůstávají v režimu jen pro sestavy a cílí na všechny uživatele, takže můžete dál shromažďovat data. Když nasazení přejde do další fáze, přidá se dávka skupin do povolených zásad podmíněného přístupu. Agent monitoruje, jak každá fáze ovlivňuje přihlášení přidružená k této zásadě. Pokud míra úspěšnosti klesne pod 90 %, průběžné zavádění se zastaví a aktivovaná zásada se přepne zpět do režimu pouze pro sestavy. Potom si můžete projít protokoly a zjistit, proč přihlášení selhávala, než se pokusíte znovu postupně zavádět.
Musím zapnout postupné zavedení?
Funkce postupného zavedení je ve výchozím nastavení zapnutá. Pokud ho chcete vypnout, přejděte na kartu Nastavení na stránce Agent optimalizace podmíněného přístupu. V části Postupné uvedení přepněte přepínač na Vypnuto.