Wdrażanie kampanii wdrażania klucza dostępu za pomocą agenta optymalizacji dostępu warunkowego (wersja zapoznawcza)

Agent optymalizacji dostępu warunkowego pomaga organizacjom planować i wdrażać kampanie prowadzące użytkowników do silniejszych metod uwierzytelniania. W publicznej wersji zapoznawczej agent obsługuje wdrażanie kampanii wdrażania kluczy dostępu, aby pomóc organizacjom w wdrażaniu uwierzytelniania odpornego na wyłudzanie informacji w sposób ustrukturyzowany, inteligentny i zautomatyzowany.

Agent został zaprojektowany w celu zmniejszenia nakładu pracy ręcznej w przypadku kampanii na dużą skalę. Agent może wykonywać następujące czynności:

• Ocena gotowości użytkowników i urządzeń
• Generowanie zalecanego planu wdrożenia
• Przeprowadzą użytkowników przez wymagane kroki
• Wymuszanie zasad dostępu warunkowego po uzyskaniu gotowości użytkowników

Agent stale ocenia postęp i rozwija użytkowników za pośrednictwem kampanii w miarę spełnienia wymagań wstępnych.

Wymagania wstępne

• Musisz mieć co najmniej licencję Microsoft Entra ID P1.
• Musisz mieć dostępne jednostki obliczeniowe zabezpieczeń (SCU).
  • Średnio każde uruchomienie agenta zużywa mniej niż jedną jednostkę SCU.
• W zasadach metod uwierzytelniania należy włączyć klucz dostępu.
• Administrator zabezpieczeń jest wymagany do zarządzania kampaniami z kluczami dostępu.
  • Rola Administrator dostępu warunkowego nie ma wystarczających uprawnień do zarządzania kampaniami dostępu.

Włącz kampanie kluczy dostępu w agencie

Możesz zezwolić agentowi optymalizacji dostępu warunkowego na tworzenie kampanii wdrażania klucza dostępu z poziomu centrum administracyjnego firmy Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zabezpieczeń.

2. Przejdź doustawień agenta >optymalizacji dostępu warunkowego.

3. W obszarze Możliwości agenta zaznacz pole wyboru Zezwalaj agentowi na tworzenie kampanii wdrażania klucza dostępu .

   

Po aktywowaniu tego ustawienia agent rozpoczyna analizowanie klienta w celu zidentyfikowania użytkowników uprawnionych do kampanii klucza dostępowego. Obecnie agent jest domyślnie przeznaczony dla uprzywilejowanych użytkowników administratorów. Aby uzyskać więcej informacji, zobacz Obsługiwane role administratora.

Uwaga / Notatka

Analiza początkowa może potrwać kilka minut. Jeśli kampania przeglądowa nie jest wyświetlana, możesz wybrać pozycję Uruchom analizę na karcie sugestii lub poczekać na następne zaplanowane uruchomienie agenta.

Wyświetlanie przeglądu kampanii

Gdy kampania klucza dostępu jest dostępna, jest wyświetlana jako sugestia na przeglądzie Agenta Optymalizacji Dostępu Warunkowego.

Aby przejrzeć kampanię:

1. Przejdź do agenta optymalizacji dostępu warunkowego.

2. W obszarze Ostatnie sugestie znajdź sugestię Wdrażanie kampanii wdrażania klucza dostępu dla administratorów .

3. Wybierz Przejrzyj kampanię.

   

Wstępne omówienie kampanii zawiera podsumowanie proponowanego planu agenta, w tym:

• Cel kampanii
• Prognoza gotowości z wykorzystaniem sztucznej inteligencji dla docelowych użytkowników
• Kluczowe metryki kampanii, takie jak:
  • Szacowany czas trwania kampanii
  • Liczba użytkowników docelowych
• Podział gotowości użytkownika:
  • Użytkownicy potrzebują aktualizacji urządzeń: użytkownicy z co najmniej jednym urządzeniem zarejestrowanym w firmie Microsoft Entra, ale nie spełniają minimalnych wymagań systemu operacyjnego dla kluczy dostępu.
  • Użytkownicy, którzy muszą zarejestrować klucz dostępu: użytkownicy z zgodnymi urządzeniami, ale bez zarejestrowanego klucza dostępu.
  • Użytkownicy gotowi do egzekwowania: użytkownicy z zgodnymi urządzeniami i zarejestrowanym kluczem uwierzytelnienia.

W tym widoku możesz natychmiast wdrożyć kampanię lub otworzyć szczegółowy interfejs kampanii. Zalecamy przejrzenie szczegółowego planu kampanii przed wdrożeniem kampanii.

Przeglądanie i dostosowywanie szczegółowego planu kampanii

Wybierz pozycję Przejrzyj kampanię , aby otworzyć szczegółowe środowisko kampanii, w którym możesz dokładniej przejrzeć gotowość użytkownika i dostosować konfigurację kampanii przed wdrożeniem. Kampania passkey obejmuje cztery etapy:

• Docelowi użytkownicy kampanii passkey
• Sprawdzanie gotowości urządzenia
• Wymaganie rejestracji klucza dostępu
• Wymuszanie użycia klucza dostępu

Przegląd użytkowników docelowych

Szczegółowy widok kampanii umożliwia przeglądanie wszystkich użytkowników przeznaczonych dla kampanii i wprowadzanie korekt przed wdrożeniem. Dostosowywanie kampanii jest dostępne tylko wtedy, gdy kampania jest w stanie Nie rozpoczęto . Po rozpoczęciu wdrażania nie można modyfikować tych ustawień.

• Aby wyświetlić użytkowników docelowych kampanii: wybierz łącze z agregatem liczby użytkowników dla tej kategorii.
• Aby edytować użytkowników przeznaczonych dla kampanii: wybierz przycisk Edytuj użytkowników docelowych .

Wskazówka

Zalecamy wykluczenie wszelkich kont administracyjnych dostępu awaryjnego lub typu 'break glass' z kampanii.

Etap Sprawdzanie gotowości urządzenia może nie mieć takiej samej liczby użytkowników, jak całkowita liczba użytkowników docelowych dla kampanii. Jeśli wszyscy użytkownicy mają bieżące urządzenia z najnowszym systemem operacyjnym obsługującym klucz dostępu, nie zostaną one uwzględnione na tym etapie. Jeśli na tym etapie nie ma użytkowników, kampania automatycznie przechodzi do następnego etapu.

Dostosowywanie okresów prolongaty

Okresy karencji określają, jak długo użytkownicy mają na wykonanie wymaganej czynności. Okresy karencji mogą dotyczyć aktualizacji urządzenia, rejestrowania klucza dostępu lub czasu między powiadomieniami informacyjnymi a ich egzekwowaniem.

Aby zobaczyć i dostosować okresy karencji dla etapu kampanii:

1. Wybierz strzałkę w prawym górnym rogu etapu, aby rozwinąć szczegóły.

2. Dostosuj okres prolongaty, dostosowując suwak lub wprowadzając liczbę w polu tekstowym.

   

Jeśli użytkownik przekroczy okres prolongaty, aby ukończyć wymaganą akcję, agent nie kontynuuje postępu tego użytkownika za pośrednictwem kampanii. Aby wyświetlić tych użytkowników, wybierz zagregowaną liczbę użytkowników dla odpowiedniej kategorii kampanii. Kolumna Przekroczono okres karencji wskazuje, kiedy użytkownik przekroczył swój okres karencji.

Konfigurowanie opcji odroczenia

Oprócz okresów prolongaty można włączyć odroczenie, aby zapewnić użytkownikom większą elastyczność. Po włączeniu odroczenia:

• Użytkownicy mogą odroczyć wymaganą akcję lub powiadomienie o egzekwowaniu przez określony czas.
• Po zakończeniu trwania odroczenia agent wznowi przypomnienia i powiadomienia dotyczące wymaganej akcji lub nadchodzącego wymuszania.

Aby skonfigurować szczegóły odroczenia:

1. Wybierz pozycję Przejrzyj kampanię dla sugestii dotyczącej wdrożenia kampanii z kluczem jednorazowym.

2. Zaznacz pole wyboru Włącz odroczenie użytkownika .

3. W wyświetlonych nowych opcjach ustaw liczbę dni.

   

Filtrowanie nieaktywnych urządzeń

Filtruj nieaktywne urządzenia, aby uniemożliwić użytkownikom utkwienie z powodu starych lub nieużywanych urządzeń na etapie Sprawdzania gotowości urządzenia.

To ustawienie ma zastosowanie na poziomie kampanii i umożliwia administratorom określenie, co kwalifikuje się jako aktywne urządzenie. Agent wyklucza urządzenia, które nie zostały użyte w określonym przedziale czasu, co pomaga zapewnić, że użytkownicy są oceniani na podstawie urządzeń, za pomocą których aktywnie się logują. Domyślnie agent uwzględnia urządzenia używane w ciągu ostatniego roku.

Wdrażanie i uruchamianie kampanii

Po przejrzeniu i dostosowaniu szczegółowego planu kampanii możesz wdrożyć kampanię.

Aby rozpocząć kampanię, wybierz pozycję Wdróż kampanię w widoku przeglądu kampanii lub szczegółowej kampanii.

Wdrażanie kampanii zwykle kończy się w ciągu kilku minut. Podczas wdrażania agent tworzy wymagane zasoby i przygotowuje się do kierowania użytkownikami przez kampanię. Powiadomienia o postępie są wyświetlane w miarę kontynuowania wdrażania. W rzadkim przypadku, gdy upłynął limit czasu wdrożenia, przyciski akcji są ponownie włączone, aby można było ponowić próbę.

Po zakończeniu wdrażania stan kampanii zmieni się na W toku na stronie przeglądu agenta optymalizacji dostępu warunkowego.

Monitorowanie wykonywania kampanii i zarządzanie nimi

Po wdrożeniu kampanii stan zmieni się na W toku na stronie przeglądu agenta optymalizacji dostępu warunkowego. Następnie agent zarządza wykonywaniem kampanii automatycznie i aktualizuje postęp w miarę wykonywania wymaganych akcji przez użytkowników. Przegląd kampanii i szczegółowe widoki kampanii zawsze odzwierciedlają najnowszy stan kampanii, podziały kategorii użytkowników i szczegóły na poziomie użytkownika, dzięki czemu administratorzy mogą monitorować postęp i badać problemy zgodnie z potrzebami.

Podczas gdy kampania jest uruchomiona:

• Ustawienia konfiguracji kampanii są zablokowane (z wyjątkiem edycji zasad dostępu warunkowego).
• Zarządzanie wykonaniem można przeprowadzać z poziomu szczegółowego widoku kampanii.

Dostępne akcje obejmują:

• Pauza: tymczasowo zatrzymuje wszystkie działania agenta. Nie kontaktuje się nowych użytkowników ani nie wprowadza ich na kolejny etap.
• Koniec: Trwale zatrzymuje kampanię i resetuje swój stan na Nie rozpoczęto.

Wstrzymanie lub zakończenie kampanii nie powoduje odwrócenia akcji, które zostały już ukończone.

Jak agent prowadzi użytkowników

Chociaż kampania jest aktywna, agent optymalizacji dostępu warunkowego jest uruchamiany automatycznie co 24 godziny, aby ocenić postęp i rozwijać użytkowników na podstawie ich bieżącej gotowości.

Podczas wykonywania:

• Użytkownicy potrzebują aktualizacji urządzeń
  • Otrzymywanie powiadomień usługi Microsoft Teams z monitem o zaktualizowanie urządzeń w celu spełnienia minimalnych wymagań systemu operacyjnego
  • Otrzymywanie powiadomień z przypomnieniami w skonfigurowanym okresie prolongaty
• Użytkownicy, którzy muszą skonfigurować klucz dostępu
  • Otrzymywanie powiadomień usługi Teams za pomocą wskazówek dotyczących konfiguracji klucza dostępu
  • Otrzymywanie powiadomień z przypomnieniami w okresie prolongaty
• Użytkownicy gotowi do egzekwowania
  • Otrzymanie powiadomienia zawierającego informację o nadchodzącym egzekwowaniu
  • Po zakończeniu okresu prolongaty wymuszania użytkownicy są dodawani do grupy zasad dostępu warunkowego, która wymaga uwierzytelniania odpornego na wyłudzanie informacji
  • Polityka dostępu warunkowego jest tworzona w trybie tylko raportowania

Zachowanie zasad dostępu warunkowego

Gdy użytkownicy będą kwalifikować się do egzekwowania, agent tworzy politykę dostępu warunkowego, aby wymagać uwierzytelniania odpornego na wyłudzanie informacji.

• Polityka jest tworzona dopiero po zakończeniu okresu prolongaty powiadomienia o egzekwowaniu przez co najmniej jednego użytkownika.
• Zasady są początkowo tworzone w trybie tylko do raportów, dzięki czemu administratorzy mogą monitorować wpływ przed wymusiniem wymagań dotyczących uwierzytelniania.
• Konfigurację zasad można przeglądać i zarządzać bezpośrednio z poziomu dostępu warunkowego.

Znane ograniczenia

• Agent optymalizacji dostępu warunkowego nie sprawdza obecnie, czy docelowi użytkownicy mają włączone passkeys w zasadzie metod uwierzytelniania. Przed wdrożeniem kampanii upewnij się, że to wymaganie wstępne zostało skonfigurowane.
• Ustawienia kampanii, takie jak targetowanie, okresy prolongaty i konfiguracja odroczenia, nie mogą być modyfikowane po rozpoczęciem kampanii.
• Zasady dostępu warunkowego są tworzone dopiero po zakończeniu okresu karencji powiadomienia o wdrożeniu przez co najmniej jednego użytkownika.
• Opcje zarządzania zasadami są wyświetlane dopiero po utworzeniu zasad.
• Odroczenie jest obecnie obsługiwane tylko dla użytkowników, którzy mają rolę Właściciela Copilot Zabezpieczeń lub Współautora Copilot Zabezpieczeń. Administratorzy mogą sprawdzić, którzy użytkownicy mają te role w portalu administracyjnym Security Copilot.

Obsługiwane role administratora

• Administrator uwierzytelniania
• Administrator rozliczeń
• Administrator aplikacji w chmurze
• Administrator dostępu warunkowego
• Administrator programu Exchange
• Administrator ogólnosystemowy
• Administrator pomocy technicznej
• Administrator usługi Intune
• Administrator zarządzania hasłami
• Administrator uwierzytelniania uprzywilejowanego
• Administrator ról uprzywilejowanych
• Administrator zabezpieczeń
• Administrator SharePointa
• Administrator zespołów
• Administrator użytkowników