Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Agent optimalizace podmíněného přístupu pro Microsoft Entra zahrnuje možnost postupného zavedení, která organizacím pomáhá bezpečně a efektivně nasazovat nové zásady podmíněného přístupu. Tato funkce Microsoft Security Copilot v Microsoft Entra umožňuje správcům zavést zásady postupně, sledovat jejich dopad a minimalizovat přerušení. Tato funkce postupného zavedení poskytuje postupné nasazování nových zásad, aby se minimalizovala pravděpodobnost rozsáhlého přerušení koncových uživatelů a snížila se potřeba ruční analýzy a plánování, což šetří týdny úsilí. Stejně jako u všech aspektů agenta optimalizace podmíněného přístupu si správci zachovají plnou kontrolu nad změnami zásad, jako je výběr skupiny, uvedení změn a nasazení. K zajištění transparentnosti je rovněž poskytováno jasné odůvodnění plánu zavedení.
Tento článek vysvětluje, jak proces postupného zavedení funguje, popisuje požadavky a popisuje integrované záruky, které pomáhají zajistit bezproblémové nasazení.
Požadavky
- Musíte mít alespoň licenci na Microsoft Entra ID P1.
- Musíte mít dostupné výpočetní jednotky zabezpečení (SCU).
- Role Správce podmíněného přístupu a Správce zabezpečení můžou měnit nastavení postupného zavedení.
- Tenanti musí mít alespoň pět definovaných skupin, které se aktuálně používají v zásadách podmíněného přístupu, aby agent mohl vygenerovat plán postupného zavedení.
Jak to funguje
Zásady pouze pro sestavy, které platí pro všechny uživatele, mají nárok na postupné zavedení. Agent může navrhnout plán postupného zavedení pro zásady, které agent vytvoří, nebo správci mohou aplikovat postupné zavedení na všechny existující zásady určené pouze pro sestavování, které cílí na všechny uživatele. Agent analyzuje přihlašovací data a existující zásady, aby definoval plán postupného zavedení.
Vzhledem k tomu, že plán zavedení má pět různých fází, musíte mít alespoň pět skupin, aby se plán zavedení mohl použít. Pokud chcete zjistit, které skupiny se mají použít, agent se podívá na skupiny, které byly dříve nebo se aktuálně používají v zásadách podmíněného přístupu. Agent se na tyto skupiny podívá a zjistí, jak je ovlivnily další zásady podmíněného přístupu, abyste mohli posoudit potenciální dopad. Agent se podívá na velikost skupin a pak použije všechny tyto faktory k přiřazení skupin k fázím začínajícím skupinami s nízkým dopadem a končící skupinami s vyšším dopadem.
Proces postupného zavedení zahrnuje tři kroky:
- Agent identifikuje zásady pouze pro hlášení pro postupné zavedení.
- Správce zkontroluje, upraví a přijme plán uvedení.
- Správce spustí schválený plán uvedení.
Skupiny zahrnuté v jednotlivých fázích můžete zkontrolovat a provést změny před a během postupného zavedení. Při spuštění první fáze se vytvoří nová zásada a zapne se pro skupiny zahrnuté v první fázi. Původní zásada režimu pouze pro sestavy zůstává nedotčená.
Agent identifikuje pouze pro hlášení zásady pro postupné zavedení.
Agent může navrhnout plán postupného zavedení, když vytváří nové zásady nebo existující zásady pouze pro sestavy, které jsou zaměřeny na všechny uživatele. Plány zavedení zahrnují pět fází, počínaje malými skupinami s nízkým rizikem a pokrokem ve větších, vysoce rizikových skupinách.
V případě zásad vytvořených agentem vyhledejte Navrhované postupné zavedení ve sloupci Akce provedené agentem v seznamu návrhů.
U stávajících zásad jen pro sestavy hledejte na stránce Podmíněný přístup – Zásady, jestli je k dispozici postupné zavedení (preview).
Správce zkontroluje, upraví a přijme plán uvedení.
Správci musí zkontrolovat podrobnosti plánu, včetně skupin zahrnutých v jednotlivých fázích, načasování jednotlivých fází a způsobu provedení plánu.
Přihlaste se do centra pro správu Microsoft Entra alespoň jako Správce zabezpečení.
Přejděte do agenta optimalizace podmíněného přístupu nebo podmíněného přístupu – Zásady a vyberte zásadu s návrhem postupného zavedení.
- Na stránce Podmíněný přístup – Zásady vyberte v panelu, který se otevře, vygenerovat plán .
Na stránce podrobností zásad Agenta optimalizace podmíněného přístupu nebo po vygenerování plánu vyberte Zkontrolovat fáze.
Vyberte Upravit skupiny a upravte skupiny zahrnuté ve fázi.
Na panelu podrobností o zásadách nebo na stránce podrobností postupného uvedení vyberte tlačítko Zahájit postupné uvedení . Agent vytvoří novou zásadu v režimu pouze pro sestavy.
Návod
Uvedení můžete pozastavit nebo kdykoli označit jako dokončené.
Správce spustí schválený plán nasazení.
Jakmile zahájíte postupné zavedení, agent vám pomůže s průběhem. Návrh postupného zavedení je k dispozici během celého procesu zavádění a může zobrazit, že není potřeba žádná akce, navrhnout přechod do další fáze nebo navrhnout vrácení změn. Pokyny se zobrazí v seznamu návrhů agenta optimalizace podmíněného přístupu i v seznamu zásad podmíněného přístupu. Obě zásady indikují, že postupné nasazení probíhá.
Během nasazování máte k dispozici několik možností pro správu postupného zavedení. Během každé fáze agent monitoruje aktivitu související se zásadou, aby se zajistilo, že nedošlo k žádným chybám nebo problémům. Skupiny můžete upravit pro fáze, které ještě nezačly. Přechod mezi fázemi nebo dokončením nasazení se provádí pomocí tlačítek v horní části stránky.
Výběrem možnosti Přesunout do další fáze přejdete k jednotlivým fázím zavedení.
Pokud chcete zrušit aktuální fázi a vrátit se do předchozí fáze, vyberte Možnost Vrátit zpět do předchozí fáze .
Výběrem možnosti Označit uvedení jako dokončené použijte novou zásadu pro všechny skupiny a dokončete nasazení.
Výběrem možnosti Přesunout do další fáze přejdete k jednotlivým fázím zavedení.
Pokud chcete zrušit aktuální fázi a vrátit se do předchozí fáze, vyberte Možnost Vrátit zpět do předchozí fáze .
Výběrem možnosti Označit uvedení jako dokončené použijte novou zásadu pro všechny skupiny a dokončete nasazení.
Integrovaná bezpečnostní opatření
Po zahájení postupného zavedení nemůžete aktualizovat ovládací prvky udělení zásad. Pokud jsou v ovládacích prvcích udělení provedeny změny, postupné zavedení se zruší. Pokud nové zásady během jakékoli fáze zablokují více než 10% přihlášení, zavedení se okamžitě pozastaví. Správce je upozorněn, aby bylo možné podrobnosti zkontrolovat a potenciálně upravit.
Nejčastější dotazy
Jak funguje funkce postupného zavedení?
Po výběru skupin, na které se jednotlivé fáze vztahují, vytvoří agent duplicitní zásady podmíněného přístupu, které zahrnují pouze skupinu první fáze. Původní zásady podmíněného přístupu zůstávají v režimu jen pro sestavy a cílí na všechny uživatele, takže můžete dál shromažďovat data. Když nasazení přejde do další fáze, přidá se dávka skupin do povolených zásad podmíněného přístupu. Agent monitoruje, jak každá fáze ovlivňuje přihlášení přidružená k této zásadě. Pokud míra úspěšnosti klesne pod 90 %, průběžné zavádění se zastaví a aktivovaná zásada se přepne zpět do režimu pouze pro sestavy. Potom si můžete projít protokoly a zjistit, proč přihlášení selhávala, než se pokusíte znovu postupně zavádět.
Musím zapnout postupné zavedení?
Funkce postupného zavedení je ve výchozím nastavení zapnutá. Pokud ho chcete vypnout, přejděte na kartu Nastavení na stránce Agent optimalizace podmíněného přístupu. V části Postupné uvedení přepněte přepínač na Vypnuto.