Implementación por fases del Agente de optimización de acceso condicional

El Agente de optimización de acceso condicional para Microsoft Entra incluye una funcionalidad de lanzamiento por fases que ayuda a las organizaciones a implementar nuevas directivas de acceso condicional de forma segura y eficaz. Esta característica de Microsoft Security Copilot en Microsoft Entra permite a los administradores introducir directivas gradualmente, supervisar su impacto y minimizar las interrupciones. Esta funcionalidad de lanzamiento por fases proporciona una implementación gradual de nuevas directivas para minimizar la posibilidad de una interrupción generalizada a los usuarios finales y reducir la necesidad de análisis y planeamiento manuales, lo que ahorra semanas de esfuerzo. Al igual que con todos los aspectos del Agente de optimización de acceso condicional, los administradores conservan el control total de los cambios de directiva, como la selección de grupos, el ritmo de lanzamiento y la implementación. También se proporciona un razonamiento claro para el plan de lanzamiento para mantener la transparencia.

En este artículo se explica cómo funciona el proceso de implementación por fases, se describen los requisitos previos y se describen las medidas de seguridad integradas que ayudan a garantizar una implementación sin problemas.

Prerrequisitos

Cómo funciona

Cualquier directiva de solo informe que se aplique a todos los usuarios es apta para un lanzamiento por fases. El agente puede sugerir un plan de implementación por fases para las directivas que crea o los administradores pueden aplicar la implementación por fases a cualquier directiva de solo informe existente que tenga como destino a todos los usuarios. El agente analiza los datos de inicio de sesión y las directivas existentes para definir un plan de lanzamiento por fases.

Dado que hay cinco fases distintas en un plan de implementación, debe tener al menos cinco grupos para que se aplique el plan de lanzamiento. Para determinar qué grupos usar, el agente examina los grupos que se usaron anteriormente o que se usan actualmente en las directivas de acceso condicional. El agente examina esos grupos para ver cómo otras directivas de acceso condicional las afectan, para medir el posible impacto. El agente examina el tamaño de los grupos y, a continuación, usa todos estos factores para asignar los grupos a las fases a partir de los grupos de impacto bajo y terminar con los grupos de impacto más altos.

Hay tres pasos en el proceso de lanzamiento por fases:

  1. El agente identifica una directiva de solo informe para el lanzamiento por fases
  2. El administrador revisa, edita y acepta el plan de lanzamiento
  3. El administrador ejecuta el plan de lanzamiento aprobado.

Puede revisar los grupos incluidos en cada fase y realizar cambios antes y durante el lanzamiento por fases. Cuando se inicia la primera fase, se crea una nueva directiva y se activa para los grupos incluidos en la primera fase. La directiva de modo 'solo informe' original permanece sin cambios.

El agente identifica una directiva de solo informe para el lanzamiento por fases

El agente puede sugerir un plan de implementación por fases cuando crea nuevas directivas o para cualquier directiva existente de solo informe dirigida a todos los usuarios. Los planes de implementación incluyen cinco fases, empezando por grupos pequeños y de bajo riesgo y progresando a grupos de alto riesgo más grandes. Hay varias maneras de encontrar las sugerencias de lanzamiento por fases en la Centro de administración Microsoft Entra:

  • En el caso de las directivas creadas por agente, busque Implementación por fases sugerida en la columna Acciones realizadas por agente en la lista de sugerencias.

    Captura de pantalla de las sugerencias del agente con un tipo de lanzamiento por fases resaltado.

  • Para las directivas de solo informe existentes, vaya a la pestaña Implementación por fases en la página de Acceso condicional - Directivas. Esta pestaña dedicada proporciona una vista completa del ciclo de vida del proceso de lanzamiento por fases.

    Captura de pantalla de la página Directivas de acceso condicional con el menú Implementación por fases resaltado.

  • Use el botón Mostrar directivas aptas para el filtro de lanzamiento por fases en la lista Directivas de acceso condicional para buscar directivas que califiquen para un lanzamiento por fases.

    Captura de pantalla de la lista de directivas con un tipo de lanzamiento por fases resaltado.

El administrador revisa, edita y acepta el plan de lanzamiento.

Los administradores deben revisar los detalles del plan, incluidos los grupos incluidos en cada fase, el tiempo de cada fase y cómo se ejecuta el plan.

  1. Inicie sesión en el centro de administración de Microsoft Entra como mínimo un Administrador de seguridad.

  2. Vaya al Agente de optimización de acceso condicional o al Acceso condicional - Directivas y seleccione una directiva con la sugerencia de lanzamiento por fases.

    1. En la página Acceso condicional - Directivas , seleccione Generar plan en el panel que se abre.

  3. En la página de detalles de la directiva del Agente de optimización de acceso condicional o después de generar el plan, seleccione Revisar fases.

    Captura de pantalla de una sugerencia de directiva de lanzamiento por fases.

  4. Seleccione Editar grupos para editar los grupos incluidos en la fase.

    Captura de pantalla de las fases que se pueden editar con el botón Editar grupos resaltado.

  5. Seleccione el botón Iniciar implementación por fases en el panel de detalles de la directiva o en la página de detalles del lanzamiento por fases. El agente crea la nueva directiva en modo de solo informe.

Sugerencia

Puede pausar el lanzamiento o marcar el lanzamiento completado en cualquier momento.

El administrador ejecuta el plan de lanzamiento aprobado.

Una vez que inicie una implementación por fases, el agente le ayudará a avanzar. La sugerencia de lanzamiento por fases está presente en todo el proceso de implementación y no puede mostrar ninguna acción necesaria, sugerir progreso a la siguiente fase o sugerir la reversión. Las instrucciones aparecen en la lista de sugerencias del Agente de optimización de acceso condicional y en la lista Acceso condicional: directivas. Ambas políticas indican que el despliegue por fases está en curso.

Se proporcionan varias opciones para administrar la implementación por fases durante la implementación. Durante cada fase, el agente supervisa la actividad relacionada con la directiva para asegurarse de que no hay errores ni problemas. Puede ajustar los grupos para las fases que aún no se han iniciado. Pasar entre fases o completar la implementación se realiza mediante los botones de la parte superior de la página.

  • Seleccione Mover a la siguiente fase para avanzar en cada fase del lanzamiento.
  • Seleccione Revertir a la fase anterior para cancelar la fase actual y volver a la fase anterior.
  • Seleccione Marcar lanzamiento como completado para aplicar la nueva directiva a todos los grupos y completar la implementación.

Captura de pantalla de un plan de lanzamiento por fases en modo de ejecución manual.

Medidas de seguridad integradas

Una vez que comience el lanzamiento por fases, no podrá actualizar los controles de otorgamiento de la directiva. Si se realizan cambios en los controles de concesión, se cancela la implementación por fases. Si la nueva política bloquea más del 10% de los inicios de sesión durante cualquier fase, el lanzamiento se pausa inmediatamente. Se proporciona una notificación al administrador y se proporcionan instrucciones de solución de problemas, que incluye un informe que muestra por qué se produjo un error en los inicios de sesión. Esta guía siempre aparece cuando se recomienda una reversión, lo que ayuda a los administradores a identificar y resolver problemas rápidamente antes de reanudar el lanzamiento.

Señales utilizadas para recomendaciones de grupos para la implementación gradual

Para garantizar un lanzamiento seguro y eficaz de las directivas de acceso condicional, el Agente de optimización de acceso condicional analiza varias señales clave para recomendar los mejores grupos para cada fase de implementación. Este enfoque ayuda a minimizar la interrupción al maximizar la cobertura de seguridad.

  • Tamaño y alcance del grupo: el agente considera el tamaño de cada grupo en relación con la base de usuarios total. A partir de grupos más pequeños, los grupos representativos permiten realizar pruebas más seguras antes de expandirse a poblaciones más amplias.
  • Rendimiento histórico de directivas: el agente analiza cómo los usuarios de un grupo han interactuado con las directivas existentes a lo largo del tiempo.
    • Las altas tasas de éxito indican que los usuarios ya cumplen los requisitos de seguridad.
    • Las altas tasas de bloqueo pueden indicar posibles puntos de fricción que necesitan abordar antes de un lanzamiento estricto.
    • El agente también analiza con qué frecuencia se aplican las directivas a los inicios de sesión del grupo.
  • Patrones de uso: el agente evalúa el volumen de actividad de cada grupo. Los grupos con niveles de actividad altos proporcionan más puntos de datos para la validación, mientras que los grupos de baja actividad podrían no generar suficientes señales para un piloto seguro.
  • Controles de seguridad existentes: el agente identifica qué tipos de controles ya son efectivos para que el grupo sugiera eficazmente nuevos tipos de directiva, lo que reduce la probabilidad de confusión o bloqueo del usuario.
  • Contexto administrativo reciente: el agente considera los grupos que han participado recientemente en los cambios de directiva o las acciones administrativas, para asegurarse de que las sugerencias son actuales y reflejan los últimos cambios organizativos, en lugar de confiar únicamente en definiciones de grupo estáticos.

Preguntas más frecuentes

¿Cómo funciona la funcionalidad de lanzamiento por fases?

Después de seleccionar los grupos a los que se aplica cada fase, el agente crea una directiva de acceso condicional duplicada que solo incluye el grupo de la primera fase. La directiva de acceso condicional original persiste en modo de solo informe y tiene como destino a todos los usuarios, por lo que puede seguir recopilando datos. Cuando la implementación avanza a la siguiente fase, el lote de grupos se agrega a la directiva de acceso condicional habilitada. El agente supervisa cómo afecta cada fase a los inicios de sesión asociados a esta directiva. Si la tasa de éxito cae por debajo de 90%, la implementación por fases se detiene y la directiva habilitada se vuelve a colocar en modo de solo informe. A continuación, puede revisar los registros para determinar por qué se produjeron errores en los inicios de sesión antes de volver a intentar la implementación por fases.

¿Tengo que activar el lanzamiento por fases?

La funcionalidad de lanzamiento por fases está activada de forma predeterminada. Para desactivarlo, vaya a la pestaña Configuración de la página Agente de optimización de acceso condicional. En Lanzamiento por fases, cambie la palanca de alternancia a Desactivado.

Contenido relacionado

  • Last updated on