Freigeben über

Bereitstellen von Passkey-Einführungskampagnen mit dem Agent für die Optimierung des bedingten Zugriffs (Vorschau)

Der Optimierungs-Agent für bedingten Zugriff hilft Organisationen beim Planen und Bereitstellen von Kampagnen, die Benutzer zu stärkeren Authentifizierungsmethoden führen. In der öffentlichen Vorschau unterstützt der Agent die Bereitstellung von Passkey-Einführungskampagnen, um Organisationen bei der Einführung von phishingsicherer Authentifizierung auf strukturierte, intelligente und automatisierte Weise zu unterstützen.

Der Agent wurde entwickelt, um den manuellen Aufwand für große Kampagnen zu reduzieren. Der Agent kann:

  • Benutzer- und Gerätebereitschaft bewerten
  • Generieren eines empfohlenen Bereitstellungsplans
  • Führen Sie Die Benutzer durch die erforderlichen Schritte
  • Erzwingen Sie die Richtlinien für bedingten Zugriff, sobald die Benutzer bereit sind

Der Agent wertet kontinuierlich den Fortschritt aus und setzt die Benutzer durch die Kampagne voran, da die Voraussetzungen erfüllt sind.

Voraussetzungen

Aktivieren Sie Zugangsschlüsselkampagnen im Agenten

Sie können dem Agent für die Optimierung des bedingten Zugriffs die Erstellung von Passkey-Einführungskampagnen über das Microsoft Entra Admin Center gestatten.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsadministrator an.

  2. Navigieren Sie zu Conditional Access Optimization Agent>Einstellungen.

  3. Aktivieren Sie unter Agent-Funktionen das Kontrollkästchen Agent zulassen, Passkey-Akzeptanzkampagnen zu erstellen.

    Screenshot der Agenteinstellung zum Aktivieren von Passkey-Kampagnenvorschlägen.

Sobald diese Einstellung aktiviert ist, beginnt der Agent mit der Analyse Ihres Tenants, um Benutzer zu identifizieren, die für eine Passkey-Kampagne teilnahmeberechtigt sind. Derzeit richtet sich der Agent standardmäßig auf privilegierte Administratorbenutzer. Weitere Informationen finden Sie unter "Unterstützte Administratorrollen".

Hinweis

Die anfängliche Analyse kann mehrere Minuten dauern. Wenn die Überprüfungskampagne nicht angezeigt wird, können Sie "Analyse ausführen" auf der Vorschlagskarte auswählen oder auf die nächste geplante Ausführung des Agenten warten.

Kampagnenübersicht anzeigen

Wenn eine Passkey-Kampagne verfügbar ist, wird sie als Vorschlag im Überblick über den Optimierungsagent für bedingten Zugriff angezeigt.

So überprüfen Sie die Kampagne:

  1. Navigieren Sie zum Conditional Access Optimization Agent.

  2. Suchen Sie unter Aktuelle Vorschläge die Einführungskampagne für die Einführung von Passkeys für Administratoren.

  3. Wählen Sie "Kampagne überprüfen" aus.

    Screenshot der Agentenvorschläge, bei dem das Ergebnis einer Passkey-Kampagne hervorgehoben ist.

Die Übersicht über die erste Kampagne bietet eine Zusammenfassung des vorgeschlagenen Plans des Agenten, einschließlich:

  • Das Kampagnenziel
  • Ein KI-generierter Ausblick auf die Bereitschaft der Zielbenutzer
  • Wichtige Kampagnenmetriken, z. B.:
    • Geschätzte Kampagnendauer
    • Anzahl der Zielbenutzer
  • Aufschlüsselung der Benutzerbereitschaft:
    • Benutzer, die Geräteupdates benötigen: Benutzer mit mindestens einem Gerät, das bei Microsoft Entra registriert ist, aber die Mindestanforderungen des Betriebssystems für Passkeys nicht erfüllt.
    • Benutzer, die einen Kennungsschlüssel registrieren müssen: Benutzer mit kompatiblen Geräten, aber keine registrierte Kennung.
    • Benutzer sind bereit für die Erzwingung: Benutzer mit kompatiblen Geräten und einem registrierten Passkey.

In dieser Ansicht können Sie die Kampagne sofort bereitstellen oder die detaillierte Kampagnenerfahrung öffnen. Es wird empfohlen, den detaillierten Kampagnenplan vor der Bereitstellung der Kampagne zu überprüfen.

Screenshot der Zusammenfassung der Passkey-Kampagne.

Überprüfen und Anpassen des detaillierten Kampagnenplans

Wählen Sie " Kampagne überprüfen", um die detaillierte Kampagnenerfahrung zu öffnen, in der Sie die Benutzerbereitschaft genauer überprüfen und die Kampagnenkonfiguration vor der Bereitstellung anpassen können. Die Passwortschlüssel-Kampagne umfasst vier Stufen:

  • Zielbenutzer für eine Passkey-Kampagne
  • Überprüfen der Gerätebereitschaft
  • Schlüsselregistrierung erforderlich
  • Erzwingung der Passkey-Nutzung

Zielbenutzer überprüfen

Mit der detaillierten Kampagnenansicht können Sie alle Benutzer überprüfen, die für die Kampagne bestimmt sind, und Anpassungen vor der Bereitstellung vornehmen. Die Kampagnenanpassung ist nur verfügbar, während sich die Kampagne im Zustand "Nicht gestartet " befindet. Nach Beginn der Bereitstellung können diese Einstellungen nicht mehr geändert werden.

  • Um die Benutzer anzuzeigen, die für die Kampagne vorgesehen sind: Wählen Sie den Link "Gesamtnutzeranzahl" für diese Kategorie aus.
  • So bearbeiten Sie die Zielbenutzer für die Kampagne: Wählen Sie die Schaltfläche "Zielbenutzer bearbeiten" aus.

Screenshot der Details der Passkey-Kampagne mit hervorgehobenen Optionen für Zielbenutzer.

Tipp

Empfehlung: Notfall- oder Adminzugriffskonten von der Kampagne ausschließen.

Die Stufe "Gerätebereitschaft überprüfen" verfügt möglicherweise nicht über die gleiche Anzahl von Benutzern wie die Gesamtzahl der Zielbenutzer für die Kampagne. Wenn alle Benutzer über aktuelle Geräte mit dem neuesten Betriebssystem verfügen, das Passkeys unterstützt, werden sie in dieser Phase nicht einbezogen. Wenn für diese Phase keine Benutzer vorhanden sind, wechselt die Kampagne automatisch zur nächsten Stufe.

Kulanzfristen anpassen

Karenzzeiträume definieren, wie lange Benutzer eine erforderliche Aktion ausführen müssen. Karenzzeiträume können auf das Aktualisieren eines Geräts, das Registrieren eines Kennungsschlüssels oder die Zeit zwischen Informationsbenachrichtigungen und Erzwingung angewendet werden.

So zeigen Sie die Karenzzeiten für eine Phase der Kampagne an und passen sie an:

  1. Wählen Sie den Pfeil in der oberen rechten Ecke des Bildschirms aus, um die Details zu erweitern.

  2. Passen Sie die Nachfrist an, indem Sie den Schieberegler anpassen oder eine Zahl in das Textfeld eingeben.

    Screenshot der Details der Passkey-Kampagne mit hervorgehobenen Optionen für die Karenzzeit.

Wenn ein Benutzer eine Nachfrist überschreitet, um eine erforderliche Aktion abzuschließen, setzt der Agent den Fortschritt dieses Benutzers nicht durch die Kampagne fort. Um diese Benutzer anzuzeigen, wählen Sie die Aggregierte Benutzeranzahl für die entsprechende Kampagnenkategorie aus. Die Spalte "Überschreitung der Nachfrist " gibt an, wann ein Benutzer seine Karenzzeit überschritten hat.

Konfigurieren von Verschiebungsoptionen

Die Verschiebung kann zusätzlich zu Nachfristen aktiviert werden, um Benutzern mehr Flexibilität zu bieten. Wenn die Verschiebung aktiviert ist:

  • Benutzer können eine erforderliche Aktion oder Erzwingungsbenachrichtigung für einen begrenzten Zeitraum zurückstellen.
  • Sobald die Dauer der Verschiebung endet, setzt der Agent die Erinnerungen und Benachrichtigungen für die erforderliche Aktion oder bevorstehende Maßnahme fort.

So konfigurieren Sie Verschiebungsdetails:

  1. Wählen Sie Kampagne überprüfen für den Vorschlag zur Bereitstellung der Passwortkampagne aus.

  2. Aktivieren Sie das Kontrollkästchen "Benutzeraufschub aktivieren".

  3. Legen Sie aus den angezeigten neuen Optionen die Anzahl der Tage fest.

    Screenshot der Passkey-Kampagnendetails mit hervorgehobenen Verschiebungsdetails.

Inaktive Geräte filtern

Filtern Sie inaktive Geräte, um zu verhindern, dass Benutzer mit alten oder nicht verwendeten Geräten in der Phase " Gerätebereitschaft überprüfen " hängen bleiben.

Diese Einstellung gilt auf Kampagnenebene und ermöglicht Administratoren, festzulegen, was als aktives Gerät gilt. Der Agent schließt Geräte aus, die nicht innerhalb des angegebenen Zeitfensters verwendet wurden, wodurch sichergestellt wird, dass Benutzer basierend auf Geräten ausgewertet werden, mit denen sie sich aktiv anmelden. Standardmäßig betrachtet der Agent Geräte, die innerhalb der letzten ein Jahr verwendet werden.

Screenshot der Details der Passkey-Kampagne mit hervorgehobener Option

Bereitstellen und Ausführen der Kampagne

Nachdem Sie den detaillierten Kampagnenplan überprüft und angepasst haben, können Sie die Kampagne bereitstellen.

Um die Kampagne zu starten, wählen Sie "Kampagne bereitstellen" aus der Kampagnenübersicht oder der detaillierten Kampagnenansicht aus.

Die Kampagnenbereitstellung wird in der Regel innerhalb weniger Minuten abgeschlossen. Während der Bereitstellung erstellt der Agent die erforderlichen Ressourcen und bereitet sich darauf vor, Die Benutzer durch die Kampagne zu führen. Sie erhalten Statusbenachrichtigungen, wenn die Bereitstellung fortgesetzt wird. In dem seltenen Fall, dass eine Bereitstellung eine Zeitüberschreitung erreicht, werden die Aktionsschaltflächen erneut aktiviert, sodass Sie den Vorgang wiederholen können.

Nach Abschluss der Bereitstellung ändert sich der Kampagnenstatus auf der Übersichtsseite für den Optimierungs-Agent für bedingten Zugriff in " In Bearbeitung ".

Überwachen und Verwalten der Kampagnenausführung

Nachdem Sie eine Kampagne bereitgestellt haben, ändert sich der Status auf der Übersichtseite für den Bedingten Zugriffsoptimierungs-Agent in "In Bearbeitung". Der Agent verwaltet dann die Kampagnenausführung automatisch und aktualisiert den Fortschritt, wenn Benutzer erforderliche Aktionen ausführen. Die Kampagnenübersicht und detaillierte Kampagnenansichten spiegeln immer den neuesten Kampagnenstatus, Aufschlüsselungen der Benutzerkategorie und Details auf Benutzerebene wider, sodass Administratoren den Fortschritt überwachen und Probleme bei Bedarf untersuchen können.

Während eine Kampagne ausgeführt wird:

  • Kampagnenkonfigurationseinstellungen sind gesperrt (mit Ausnahme von Richtlinienbearbeitungen für bedingten Zugriff).
  • Die Ausführung kann aus der detaillierten Kampagnenansicht verwaltet werden.

Zu den verfügbaren Aktionen gehören:

  • Pause: Stoppt vorübergehend alle Agentaktionen. Es werden keine neuen Benutzer kontaktiert oder weitergeführt.
  • Ende: Stoppt die Kampagne dauerhaft und setzt ihren Zustand auf "Nicht gestartet" zurück.

Wenn Sie eine Kampagne anhalten oder beenden, werden aktionen, die bereits abgeschlossen wurden, nicht rückgängig gemacht.

Wie der Agent Benutzer leitet

Während die Kampagne aktiv ist, wird der Optimierungs-Agent für bedingten Zugriff alle 24 Stunden automatisch ausgeführt, um den Fortschritt zu bewerten und Benutzer basierend auf ihrer aktuellen Bereitschaft zu fördern.

Während der Ausführung:

  • Benutzer, die Geräteupdates benötigen
    • Empfangen von Microsoft Teams-Benachrichtigungen, in denen sie aufgefordert werden, ihre Geräte zu aktualisieren, um die Mindestanforderungen des Betriebssystems zu erfüllen
    • Empfangen von Erinnerungsbenachrichtigungen während der konfigurierten Nachfrist
  • Benutzer, die einen Kennungsschlüssel einrichten müssen
    • Empfangen von Teams-Benachrichtigungen mit Passkey-Einrichtungsanleitung
    • Empfangen von Erinnerungsbenachrichtigungen während der Nachfrist
  • Benutzer bereit für die Durchsetzung
    • Sie erhalten eine Benachrichtigung, die sie über die bevorstehende Durchsetzung informiert.
    • Nachdem die Erzwingungs-Nachfrist endet, werden Benutzer einer Richtliniengruppe für bedingten Zugriff hinzugefügt, die eine Phishing-beständige Authentifizierung erfordert
    • Die Richtlinie für bedingten Zugriff wird im Nur-Bericht-Modus erstellt.

Richtlinienverhalten für bedingten Zugriff

Wenn Benutzer zur Erzwingung berechtigt sind, erstellt der Agent eine Richtlinie für bedingten Zugriff, um eine phishingsichere Authentifizierung zu erfordern.

  • Die Richtlinie wird erst erstellt, nachdem mindestens ein Benutzer die Schonfrist nach Erhalt der Erzwingungsbenachrichtigung abgeschlossen hat.
  • Die Richtlinie wird zunächst im Nur-Bericht-Modus erstellt, sodass Administratoren Die Auswirkungen überwachen können, bevor Authentifizierungsanforderungen erzwungen werden.
  • Richtlinienkonfiguration kann direkt über bedingten Zugriff überprüft und verwaltet werden.

Bekannte Einschränkungen

  • Der Optimierungs-Agent für bedingten Zugriff überprüft derzeit nicht, ob betroffene Benutzer in der Richtlinie für Authentifizierungsmethoden für Passkeys freigeschaltet sind. Stellen Sie sicher, dass diese Voraussetzung konfiguriert ist, bevor Sie eine Kampagne bereitstellen.
  • Kampagneneinstellungen wie Zielgruppenadressierung, Karenzzeit und Verschiebungskonfiguration können nach Beginn der Kampagnenausführung nicht mehr geändert werden.
  • Richtlinien für Bedingten Zugriff werden erst erstellt, nachdem mindestens ein Benutzer die Karenzzeit für Erzwingungsbenachrichtigungen abgeschlossen hat.
  • Richtlinienverwaltungsoptionen werden erst angezeigt, nachdem die Richtlinie erstellt wurde.
  • Die Verschiebung wird derzeit nur für Benutzer unterstützt, die entweder über die Rolle "Security Copilot Owner" oder "Security Copilot Contributor" verfügen. Administratoren können überprüfen, welche Benutzer diese Rollen im Security Copilot-Verwaltungsportal haben.

Unterstützte Administratorrollen

  • Authentifizierungsadministrator
  • Abrechnungsadministrator
  • Cloudanwendungsadministrator
  • Administrator für bedingten Zugriff
  • Exchange-Administrator
  • Globaler Administrator
  • Helpdesk-Administrator
  • Intune-Dienstadministrator
  • Kennwortadministrator
  • Privilegierter Authentifizierungsadministrator
  • Administrator für privilegierte Rollen
  • Sicherheitsadministrator
  • SharePoint-Administrator
  • Teams-Administrator
  • Benutzeradministrator
  • Last updated on