Condividi tramite

Distribuire campagne di adozione delle passkey con il Conditional Access Optimization Agent (Anteprima)

L'agente di ottimizzazione dell'accesso condizionale consente alle organizzazioni di pianificare e distribuire campagne che guidano gli utenti verso metodi di autenticazione più efficaci. In anteprima pubblica, l'agente supporta la distribuzione di campagne di adozione passkey per aiutare le organizzazioni a implementare l'autenticazione resistente al phishing in modo strutturato, intelligente e automatizzato.

L'agente è progettato per ridurre lo sforzo manuale per le campagne su larga scala. L'agente può:

  • Valutare l'idoneità degli utenti e dei dispositivi
  • Generare un piano di distribuzione consigliato
  • Guidare gli utenti tramite i passaggi necessari
  • Applicare i criteri di accesso condizionale dopo che gli utenti sono pronti

L'agente valuta continuamente lo stato di avanzamento e avanza gli utenti attraverso la campagna man mano che vengono soddisfatti i prerequisiti.

Prerequisiti

Abilitare le campagne passkey nell'agente

È possibile consentire all'agente di ottimizzazione dell'accesso condizionale di creare campagne di adozione passkey dall'interfaccia di amministrazione di Microsoft Entra.

  1. Accedi all'interfaccia di amministrazione Microsoft Entra almeno come Amministratore della sicurezza.

  2. Passare a Agente di ottimizzazione dell'accesso condizionale>Impostazioni.

  3. In Funzionalità agente, selezionare la casella di controllo Consentire agli agenti di creare campagne per l'adozione delle passkey.

    Screenshot delle impostazioni dell'agente per abilitare i suggerimenti della campagna passkey.

Dopo aver abilitato questa impostazione, l'agente inizia ad analizzare il tenant per identificare gli utenti idonei per una campagna passkey. Attualmente, l'agente è destinato agli utenti con privilegi di amministratore per impostazione predefinita. Per altre informazioni, vedere Ruoli di amministratore supportati.

Annotazioni

L'analisi iniziale può richiedere alcuni minuti. Se la campagna di revisione non viene visualizzata, è possibile selezionare Esegui analisi nella scheda dei suggerimenti o attendere l'esecuzione pianificata successiva dell'agente.

Visualizzare la panoramica della campagna

Quando è disponibile una campagna passkey, questa viene visualizzata come suggerimento nella panoramica dell'agente di ottimizzazione dell'accesso condizionale.

Per esaminare la campagna:

  1. Naviga fino all'agente di ottimizzazione dell'accesso condizionale.

  2. Individua, in Suggerimenti recenti, il suggerimento Avvia la campagna di adozione delle passkey per gli amministratori.

  3. Selezionare Rivedi campagna.

    Screenshot dei suggerimenti dell'agente con un risultato della campagna con chiave di accesso evidenziato.

La panoramica della campagna iniziale fornisce un riepilogo del piano proposto dall'agente, tra cui:

  • Obiettivo della campagna
  • Outlook di idoneità generato dall'intelligenza artificiale per gli utenti di destinazione
  • Metriche chiave della campagna, ad esempio:
    • Durata stimata della campagna
    • Numero di utenti di destinazione
  • Una suddivisione dell'idoneità degli utenti:
    • Utenti che necessitano di aggiornamenti dei dispositivi: gli utenti con almeno un dispositivo registrato con Microsoft Entra, ma non soddisfano i requisiti minimi del sistema operativo per i passkey.
    • Gli utenti devono registrare una passkey: utenti con dispositivi compatibili ma senza passkey registrati.
    • Utenti pronti per l'attivazione: utenti con dispositivi compatibili e passkey registrata.

Da questa visualizzazione è possibile distribuire la campagna immediatamente o aprire l'esperienza dettagliata della campagna. È consigliabile esaminare il piano di campagna dettagliato prima di distribuire la campagna.

Screenshot del riepilogo della campagna passkey.

Esaminare e personalizzare il piano di campagna dettagliato

Selezionare Rivedi campagna per aprire l'esperienza di campagna dettagliata, in cui è possibile esaminare la preparazione degli utenti in modo più approfondito e personalizzare la configurazione della campagna prima della distribuzione. La campagna passkey include quattro fasi:

  • Utenti di destinazione per la campagna di chiavi di accesso
  • Controllare l'idoneità dei dispositivi
  • Richiedi registrazione passkey
  • Imporre l'utilizzo delle passkey

Esaminare gli utenti mirati

La visualizzazione dettagliata della campagna consente di esaminare tutti gli utenti destinati alla campagna e apportare modifiche prima della distribuzione. La personalizzazione della campagna è disponibile solo se la campagna è nello stato Non avviato . Una volta avviata la distribuzione, queste impostazioni non possono essere modificate.

  • Per visualizzare gli utenti destinati alla campagna: seleziona il link numero totale di utenti per tale categoria.
  • Per modificare gli utenti destinati alla campagna: selezionare il pulsante Modifica utenti di destinazione .

Screenshot dei dettagli della campagna passkey con le opzioni degli utenti di destinazione evidenziate.

Suggerimento

È consigliabile escludere gli account amministratore di accesso di emergenza o account 'break glass' dalla campagna.

La fase Verifica conformità del dispositivo potrebbe non avere lo stesso numero di utenti del totale degli utenti di destinazione per la campagna. Se tutti gli utenti hanno dispositivi correnti con il sistema operativo più recente che supporta passkey, non verranno inclusi in questa fase. Se non sono presenti utenti per questa fase, la campagna passa automaticamente alla fase successiva.

Regolare i periodi di tolleranza

I periodi di tolleranza definiscono per quanto tempo gli utenti devono completare un'azione necessaria. I periodi di tolleranza possono essere applicati all'aggiornamento di un dispositivo, alla registrazione di una passkey o al tempo tra le notifiche informative e l'imposizione.

Per visualizzare e regolare i periodi di tolleranza per una fase della campagna:

  1. Selezionare la freccia nell'angolo superiore destro della fase per espandere i dettagli.

  2. Regolare il periodo di tolleranza regolando il dispositivo di scorrimento o immettendo un numero nella casella di testo.

    Screenshot dei dettagli della campagna di codice di accesso con le opzioni del periodo di tolleranza evidenziate.

Se un utente supera un periodo di tolleranza per completare un'azione necessaria, l'agente non continua a progredire attraverso la campagna. Per visualizzare questi utenti, selezionare il conteggio utenti aggregato per la categoria di campagna pertinente. La colonna Periodo di tolleranza superato indica quando un utente ha superato il periodo di tolleranza.

Configurare le opzioni di posticipazione

È possibile abilitare il posticipo oltre ai periodi di tolleranza per offrire agli utenti maggiore flessibilità. Quando è abilitato il rinvio:

  • Gli utenti possono scegliere di rinviare un'azione o una notifica di imposizione necessaria per un periodo di tempo limitato.
  • Al termine della durata del rinvio, l'agente riprende i promemoria e le notifiche per l'azione richiesta o l'applicazione imminente.

Per configurare i dettagli del rinvio:

  1. Selezionare Revisionare la campagna per il suggerimento di distribuzione della campagna passkey.

  2. Selezionare la casella di controllo Abilita posticipazione utente.

  3. Dalle nuove opzioni visualizzate, impostare il numero di giorni.

    Screenshot dei dettagli della campagna passkey con i dettagli di posticipazione evidenziati.

Filtrare i dispositivi inattivi

Filtrare i dispositivi inattivi per impedire agli utenti con dispositivi obsoleti o inutilizzati di rimanere bloccati nella fase Verifica conformità dei dispositivi .

Questa impostazione si applica a livello di campagna e consente agli amministratori di definire ciò che viene qualificato come dispositivo attivo. L'agente esclude i dispositivi che non sono stati usati entro l'intervallo di tempo specificato, assicurandosi che gli utenti vengano valutati in base ai dispositivi con cui accedono attivamente. Per impostazione predefinita, l'agente considera i dispositivi usati nell'ultimo anno.

Screenshot dei dettagli della campagna di chiavi di accesso con l'opzione dispositivi inattivi evidenziata.

Distribuire ed eseguire la campagna

Dopo aver esaminato e personalizzato il piano della campagna dettagliata, è possibile distribuire la campagna.

Per avviare la campagna, selezionare Distribuisci campagna dalla panoramica della campagna o dalla visualizzazione dettagliata della campagna.

La distribuzione della campagna viene in genere completata entro pochi minuti. Durante la distribuzione, l'agente crea le risorse necessarie e si prepara a guidare gli utenti attraverso la campagna. Si ricevono notifiche di avanzamento man mano che la distribuzione continua. Nel raro caso in cui una distribuzione vada in timeout, i pulsanti di azione vengono riabilitati in modo da poter riprovare.

Al termine della distribuzione, lo stato della campagna diventa In corso nella pagina di panoramica dell'agente di ottimizzazione dell'accesso condizionale.

Monitorare e gestire l'esecuzione della campagna

Dopo aver distribuito una campagna, lo stato diventa In corso nella pagina di panoramica dell'agente di ottimizzazione dell'accesso condizionale. L'agente gestisce quindi automaticamente l'esecuzione della campagna e aggiorna lo stato di avanzamento man mano che gli utenti completano le azioni necessarie. La panoramica della campagna e le visualizzazioni dettagliate delle campagne riflettono sempre lo stato della campagna più recente, i dettagli delle categorie utente e i dettagli a livello di utente, consentendo agli amministratori di monitorare lo stato di avanzamento e analizzare i problemi in base alle esigenze.

Durante l'esecuzione di una campagna:

  • Le impostazioni di configurazione della campagna sono bloccate (ad eccezione delle modifiche ai criteri di accesso condizionale).
  • L'esecuzione può essere gestita dalla visualizzazione dettagliata della campagna.

Le azioni disponibili includono:

  • Pausa: arresta temporaneamente tutte le azioni dell'agente. Nessun nuovo utente viene contattato o avanzato.
  • Fine: arresta definitivamente la campagna e reimposta lo stato su Non avviato.

La sospensione o la fine di una campagna non inverte le azioni già completate.

In che modo l'agente guida gli utenti

Mentre la campagna è attiva, l'agente di ottimizzazione dell'accesso condizionale viene eseguito automaticamente ogni 24 ore per valutare lo stato di avanzamento e far avanzare gli utenti in base all'idoneità corrente.

Durante l'esecuzione:

  • Utenti che necessitano di aggiornamenti dei dispositivi
    • Ricevere le notifiche di Microsoft Teams che richiedono di aggiornare i dispositivi per soddisfare i requisiti minimi del sistema operativo
    • Ricevere notifiche di promemoria durante il periodo di tolleranza configurato
  • Gli utenti devono configurare una passkey
    • Ricevere notifiche di Teams con indicazioni sulla configurazione passkey
    • Ricevere notifiche di promemoria durante il periodo di tolleranza
  • Utenti pronti per l'esecuzione
    • Ricevere una notifica per informarli sull'applicazione imminente
    • Al termine del periodo di grazia di applicazione, gli utenti vengono aggiunti a un gruppo di criteri di Accesso Condizionale che richiede un'autenticazione che resiste al phishing.
    • La policy di accesso condizionale viene creata in modalità di sola segnalazione

Comportamento dei criteri di accesso condizionale

Quando gli utenti diventano idonei per l'imposizione, l'agente crea un criterio di accesso condizionale per richiedere l'autenticazione resistente al phishing.

  • Il criterio viene creato solo dopo che almeno un utente ha completato il periodo di tolleranza per l’applicazione delle notifiche.
  • I criteri vengono inizialmente creati in modalità solo report, consentendo agli amministratori di monitorare l'impatto prima di applicare i requisiti di autenticazione.
  • La configurazione dei criteri può essere esaminata e gestita direttamente dall'accesso condizionale.

Limitazioni note

  • L'agente di ottimizzazione dell'accesso condizionale non verifica attualmente se gli utenti di destinazione sono abilitati per le passkey nei criteri dei metodi di autenticazione. Assicurarsi che questo prerequisito sia configurato prima di distribuire una campagna.
  • Le impostazioni della campagna, ad esempio targeting, periodi di tolleranza e la configurazione di posticipazione non possono essere modificate dopo l'inizio dell'esecuzione della campagna.
  • Le politiche di accesso condizionale vengono create solo dopo che almeno un utente ha completato il periodo di tolleranza per le notifiche di imposizione.
  • Le opzioni di gestione dei criteri vengono visualizzate solo dopo la creazione dei criteri.
  • Il posticipo è attualmente supportato solo per gli utenti che hanno il ruolo di Proprietario di Security Copilot o di Collaboratore di Security Copilot. Gli amministratori possono verificare quali utenti hanno questi ruoli nel portale di amministrazione di Security Copilot.

Ruoli di amministratore supportati

  • Amministratore dell'autenticazione
  • Amministratore fatturazione
  • Amministratore di applicazioni cloud
  • Amministratore dell'accesso condizionale
  • Amministratore di Exchange
  • Amministratore globale
  • Amministratore del supporto tecnico
  • Amministratore del servizio Intune
  • Amministratore delle password
  • Amministratore delle Autenticazioni Privilegiate
  • Amministratore di ruolo privilegiato
  • Amministratore della sicurezza
  • Amministratore di SharePoint
  • Amministratore di Teams
  • Amministratore utenti
  • Last updated on