Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'agente di ottimizzazione dell'accesso condizionale per Microsoft Entra include una funzionalità di implementazione in più fasi che consente alle organizzazioni di distribuire nuovi criteri di accesso condizionale in modo sicuro ed efficiente. Questa funzionalità di Microsoft Security Copilot in Microsoft Entra consente agli amministratori di introdurre gradualmente i criteri, monitorarne l'impatto e ridurre al minimo le interruzioni. Questa funzionalità di implementazione in più fasi offre una distribuzione graduale dei nuovi criteri per ridurre al minimo la possibilità di un'interruzione diffusa agli utenti finali e ridurre la necessità di analisi e pianificazione manuali, risparmiando settimane di lavoro. Come per tutti gli aspetti dell'agente di ottimizzazione dell'accesso condizionale, gli amministratori mantengono il controllo completo delle modifiche ai criteri, ad esempio la selezione dei gruppi e la modalità di implementazione. Viene inoltre fornito un chiaro motivo per il piano di implementazione per mantenere la trasparenza.
Questo articolo illustra il funzionamento del processo di implementazione in più fasi, descrive i prerequisiti e descrive le misure di sicurezza predefinite che consentono di garantire una distribuzione uniforme.
Prerequisiti
- È necessario avere almeno la licenza Microsoft Entra ID P1 .
- È necessario disporre di unità di calcolo di sicurezza (SCU) disponibili.
- I ruoli con autorizzazioni di lettura per la sicurezza e con autorizzazioni di lettura globali possono visualizzare l'agente e qualsiasi suggerimento, ma non possono eseguire alcuna azione.
- L'amministratore dell'accesso condizionale, l'amministratore della sicurezza e i ruoli di amministratore globale possono visualizzare l'agente e intervenire sui suggerimenti.
- I tenant devono avere almeno cinque gruppi definiti attualmente usati nei criteri di accesso condizionale per generare un piano di implementazione in più fasi.
Come funziona
Quando l'agente di ottimizzazione dell'accesso condizionale crea un nuovo criterio in modalità solo report, può suggerire di attivare il criterio con un'implementazione in più fasi. L'agente analizza i dati di accesso e i criteri esistenti per definire un piano di implementazione in più fasi.
I criteri che devono essere applicati a tutti gli utenti e devono essere attivati sono idonei per un'implementazione in più fasi. Poiché esistono cinque fasi distinte per un piano di implementazione, è necessario avere almeno cinque gruppi per applicare il piano di implementazione. Per determinare quali gruppi usare, l'agente esamina i gruppi usati in precedenza o attualmente usati nei criteri di accesso condizionale. L'agente esamina questi gruppi per vedere in che modo altri criteri di accesso condizionale li hanno interessati, per misurare il potenziale impatto. L'agente esamina le dimensioni dei gruppi e quindi usa tutti questi fattori per assegnare i gruppi alle fasi che iniziano con i gruppi a basso impatto e terminano con i gruppi con impatto maggiore.
Il processo di implementazione in più fasi prevede tre passaggi:
- Agent crea un criterio solo report con un'implementazione in più fasi
- Revisioni, modifiche e accettazione del piano di implementazione da parte dell'amministratore
- Agent o Administrator esegue il piano di implementazione approvato
È possibile esaminare i gruppi inclusi in ogni fase e il numero di giorni tra ogni fase e apportare modifiche prima e durante l'implementazione in più fasi. In qualsiasi momento durante l'implementazione, è possibile scegliere di eseguire il piano dall'agente oppure eseguire manualmente ogni fase del piano.
Indipendentemente dal modo in cui viene eseguito il piano o se sono state apportate modifiche al piano, all'avvio della prima fase viene creato un nuovo criterio e attivato per i gruppi inclusi nella prima fase. I criteri originali in modalità solo report rimangono intatti.
Agent crea una politica solo di report con un'implementazione graduale
L'agente crea un criterio di solo report e sviluppa un piano di implementazione a fasi separato. I piani di implementazione includono cinque fasi, a partire da piccoli gruppi a basso rischio e passando a gruppi di rischio più grandi e ad alto rischio.
Nell'elenco dei suggerimenti dell'agente cercare Implementazione graduale suggerita nella colonna Azioni eseguite dall'agente .
Revisioni, modifiche e accettazione del piano di implementazione da parte dell'amministratore
Gli amministratori devono esaminare i dettagli del piano, inclusi i gruppi inclusi in ogni fase, la tempistica di ogni fase e il modo in cui verrà eseguito il piano.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Passare a Agente di ottimizzazione dell'accesso condizionale e selezionare il pulsante Rivedi suggerimenti per un suggerimento per i criteri che include un'implementazione in più fasi.
Nella pagina dei dettagli della politica, selezionare Fasi di revisione.
Selezionare Modifica gruppi per modificare i gruppi inclusi nella fase.
Selezionare la freccia giù sul pulsante Fasi di implementazione automatica per selezionare una modalità di esecuzione.
- Implementazione automatica delle fasi: l'agente esegue automaticamente l'implementazione di ogni fase, in base alla tempistica e ai segnali di impatto.
- Implementazione manuale delle fasi: l'amministratore avanza manualmente ogni fase dell'implementazione.
Suggerimento
È possibile intervenire in qualsiasi momento con piani di implementazione automatici e manuali. È anche possibile modificare le modalità di esecuzione in qualsiasi momento durante l'implementazione.
Per regolare il tempo tra le fasi:
- Passare alla scheda Impostazioni dall'agente di ottimizzazione dell'accesso condizionale.
- Regolare i giorni tra le fasi nella sezione Distribuzione graduale.
- Selezionare il pulsante Salva per salvare le modifiche.
Per altre informazioni, vedere le impostazioni di implementazione in più fasi.
L'agente o l'amministratore esegue il piano di implementazione approvato
Le opzioni disponibili per gestire l'implementazione in più fasi sono diverse per l'esecuzione automatica e manuale.
Implementazione automatica delle fasi
Se è stata selezionata l'implementazione automatica, l'agente esegue automaticamente il piano creando un nuovo criterio abilitato applicabile a tutti i gruppi nella prima fase. Una volta avviata l'implementazione, vengono visualizzati diversi controlli per gestire l'implementazione.
L'agente distribuisce i criteri ai gruppi nelle fasi successive in base alla pianificazione definita. In qualsiasi momento durante l'implementazione in più fasi, è possibile sospendere l'esecuzione del piano o scegliere di implementare manualmente le fasi rimanenti.
È possibile continuare a monitorare fra le varie fasi dell'implementazione per assicurarsi che la policy soddisfi le aspettative. Durante l'implementazione dei criteri, i criteri di sola relazione originali rimangono in modalità di sola report per le fasi rimanenti. Al termine dell'implementazione in più fasi, l'agente consiglia di eliminare il criterio di sola report al successivo esecuzione, in modo da poter mantenere un elenco di criteri pulito.
Implementazione manuale delle fasi
Se si sceglie di eseguire manualmente il piano di implementazione in più fasi, sono disponibili diverse opzioni per gestire ogni passaggio.
È necessario selezionare la fase Passa alla fase successiva per passare a ogni fase dell'implementazione. In qualsiasi fase, è possibile ripristinare la fase precedente o scegliere di implementare automaticamente le fasi rimanenti.
Misure di sicurezza predefinite
Una volta avviata l'implementazione in più fasi, non è possibile aggiornare i controlli di concessione delle policy. Se vengono apportate modifiche ai controlli di concessione, l'implementazione in più fasi viene annullata. Se più di 10% di accessi vengono bloccati dal nuovo criterio durante qualsiasi fase, l'implementazione viene immediatamente sospesa. L'amministratore riceve una notifica in modo che i dettagli possano essere esaminati e potenzialmente modificati.
Domande frequenti
Come funziona la funzionalità di implementazione in più fasi?
Dopo aver selezionato i gruppi a cui si applica ogni fase, l'agente crea un criterio di accesso condizionale duplicato che include solo il gruppo della prima fase. La politica di accesso condizionale originale viene mantenuta in modalità solo report ed è rivolta a tutti gli utenti, in modo da poter continuare a raccogliere i dati. Quando la distribuzione avanza alla fase successiva, il gruppo di gruppi viene aggiunto ai criteri di accesso condizionale attivati. L'agente monitora il modo in cui ogni fase influisce sugli accessi associati a questo criterio. Se il tasso di esito positivo scende al di sotto di 90%, l'implementazione in più fasi si arresta e il criterio abilitato viene nuovamente inserito in modalità di solo report. È quindi possibile esaminare i log per determinare il motivo per cui gli accessi hanno avuto esito negativo prima di tentare nuovamente l'implementazione in più fasi.
È necessario attivare l'implementazione in più fasi?
La funzionalità di implementazione in più fasi è attivata per impostazione predefinita. Per disattivarlo, passare alla scheda Impostazioni nella pagina Agente di ottimizzazione accesso condizionale. In Implementazione in più fasi impostare l'interruttore su Disattivato.