Compartilhar via

Implantar campanhas de adoção de chave de acesso com o Agente de Otimização de Acesso Condicional (versão prévia)

O Agente de Otimização de Acesso Condicional ajuda as organizações a planejar e implantar campanhas que orientam os usuários para métodos de autenticação mais fortes. Na versão prévia pública, o agente dá suporte à implantação de campanhas de adoção passkey para ajudar as organizações a distribuir a autenticação resistente a phishing de maneira estruturada, inteligente e automatizada.

O agente foi projetado para reduzir o esforço manual para campanhas em grande escala. O agente pode:

  • Avaliar a preparação do usuário e do dispositivo
  • Gerar um plano de implantação recomendado
  • Orientar os usuários pelas etapas necessárias
  • Impor políticas de Acesso Condicional quando os usuários estiverem prontos

O agente avalia continuamente o progresso e avança os usuários por meio da campanha conforme os pré-requisitos são atendidos.

Pré-requisitos

Habilitar campanhas passkey no agente

Você pode permitir que o Agente de Otimização de Acesso Condicional crie campanhas de adoção de chave de acesso no Centro de Administração do Microsoft Entra.

  1. Entre no Centro de Administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue atéas configurações do Agente > de Otimização de Acesso Condicional.

  3. Em recursos do Agente, selecione a caixa de seleção Permitir que o agente crie campanhas de adoção de passkey.

    Captura de tela da configuração do agente para habilitar sugestões de campanha de chave de acesso.

Depois que essa configuração estiver habilitada, o agente começará a analisar seu locatário para identificar usuários qualificados para uma campanha de chave de acesso. Atualmente, o agente tem como destino usuários administradores privilegiados por padrão. Para obter mais informações, consulte funções de administrador com suporte.

Observação

A análise inicial pode levar vários minutos. Se a campanha Revisão não aparecer, você poderá selecionar Executar análise no cartão de sugestão ou aguardar a próxima execução agendada do agente.

Exibir a visão geral da campanha

Quando uma campanha de chave de acesso está disponível, ela aparece como uma sugestão na visão geral do Agente de Otimização de Acesso Condicional.

Para revisar a campanha:

  1. Navegue até o Agente de Otimização de Acesso Condicional.

  2. Em sugestões recentes, localize a sugestão Implantar campanha de adoção da chave de acesso para administradores.

  3. Selecione a campanha Revisão.

    Captura de tela das sugestões do agente com o resultado destacado de uma campanha de chave de acesso.

A visão geral da campanha inicial fornece um resumo do plano proposto pelo agente, incluindo:

  • A meta da campanha
  • Uma perspectiva de preparação gerada por IA para os usuários de destino
  • Principais métricas de campanha, como:
    • Duração estimada da campanha
    • Número de usuários direcionados
  • Um detalhamento da preparação do usuário:
    • Usuários que precisam de atualizações de dispositivo: usuários com pelo menos um dispositivo registrado no Microsoft Entra, mas não atendem aos requisitos mínimos do sistema operacional para chaves de acesso.
    • Os usuários que precisam registrar uma chave de acesso: usuários com dispositivos compatíveis, mas sem chave de acesso registrada.
    • Usuários prontos para imposição: usuários com dispositivos compatíveis e uma chave de acesso registrada.

Nesse modo de exibição, você pode implantar a campanha imediatamente ou abrir a experiência detalhada da campanha. Recomendamos revisar o plano detalhado da campanha antes de implantar a campanha.

Captura de tela do resumo da campanha passkey.

Examinar e personalizar o plano de campanha detalhado

Selecione a campanha Revisão para abrir a experiência de campanha detalhada, na qual você pode examinar a preparação do usuário com mais profundidade e personalizar a configuração da campanha antes da implantação. A campanha de chave de acesso inclui quatro estágios:

  • Usuários de destino para a campanha de chave de acesso
  • Verificar a preparação do dispositivo
  • Exigir registro de chave de acesso
  • Impor o uso de chave de acesso

Revisar usuários-alvo

O modo de exibição de campanha detalhado permite que você examine todos os usuários direcionados para a campanha e faça ajustes antes da implantação. A personalização da campanha só está disponível enquanto a campanha estiver no estado Não iniciado . Depois que a implantação for iniciada, essas configurações não poderão ser modificadas.

  • Para exibir os usuários direcionados para a campanha: selecione o link de contagem de usuários agregado para essa categoria.
  • Para editar os usuários direcionados para a campanha: selecione o botão Editar usuários direcionados .

Captura de tela dos detalhes da campanha de chave de acesso com as opções de usuários-alvo destacadas.

Dica

É recomendável excluir as contas de administrador de acesso de emergência ou quebra de vidro da campanha.

O estágio de preparação do dispositivo Check pode não ter o mesmo número de usuários que o total de usuários direcionados para a campanha. Se todos os usuários tiverem dispositivos atuais com o sistema operacional mais recente que dá suporte a chaves de acesso, eles não serão incluídos neste estágio. Se não houver usuários para esse estágio, a campanha passará automaticamente para o próximo estágio.

Ajustar períodos de carência

Os períodos de carência definem por quanto tempo os usuários precisam concluir uma ação necessária. Os períodos de carência podem se aplicar à atualização de um dispositivo, ao registro de uma chave de passagem ou ao tempo entre notificações informativas e imposição.

Para exibir e ajustar os períodos de carência para uma fase da campanha:

  1. Selecione a seta no canto superior direito do estágio para expandir os detalhes.

  2. Ajuste o período de carência ajustando o controle deslizante ou inserindo um número na caixa de texto.

    Captura de tela dos detalhes da campanha de chaves de acesso com as opções de período de carência realçadas.

Se um usuário exceder um período de carência para concluir uma ação necessária, o agente não continuará progredindo esse usuário durante a campanha. Para exibir esses usuários, selecione a contagem de usuários agregada para a categoria de campanha relevante. A coluna período de carência excedido indica quando um usuário excedeu o período de carência.

Configurar opções de adiamento

O adiamento pode ser habilitado além de períodos de carência para dar aos usuários mais flexibilidade. Quando o adiamento estiver habilitado:

  • Os usuários podem optar por adiar uma ação necessária ou uma notificação de imposição por um tempo limitado.
  • Depois que a duração do adiamento terminar, o agente retomará lembretes e notificações para a ação necessária ou execução iminente.

Para configurar os detalhes do adiamento:

  1. Selecione Revisar campanha para a sugestão de implantação da campanha de chave de acesso.

  2. Selecione a caixa de seleção Habilitar postergamento pelo usuário.

  3. Nas novas opções exibidas, defina o número de dias.

    Captura de tela dos detalhes da campanha de chave de acesso com os detalhes da postergação destacados.

Filtrar dispositivos inativos

Filtre dispositivos inativos para ajudar a impedir que usuários com dispositivos antigos ou não utilizados permaneçam presos no estágio de preparação do dispositivo Check .

Essa configuração se aplica no nível da campanha e permite que os administradores definam o que se qualifica como um dispositivo ativo. O agente exclui dispositivos que não foram usados dentro da janela de tempo especificada, ajudando a garantir que os usuários sejam avaliados com base nos dispositivos com os quais entram ativamente. Por padrão, o agente considera os dispositivos usados no último ano.

Captura de tela dos detalhes da campanha de chaves de acesso com a opção de

Implantar e executar a campanha

Depois de revisar e personalizar o plano de campanha detalhado, você pode implantar a campanha.

Para iniciar a campanha, selecione Implantar campanha na visão geral da campanha ou no modo de exibição de campanha detalhado.

A implantação da campanha normalmente é concluída em poucos minutos. Durante a implantação, o agente cria os recursos necessários e se prepara para orientar os usuários durante a campanha. Você recebe notificações de progresso à medida que a implantação continua. No raro evento em que uma implantação atinge o tempo limite, os botões de ação são habilitados novamente para que você possa tentar novamente.

Depois que a implantação for concluída, o status da campanha será alterado para Em andamento na página de visão geral do Agente de Otimização de Acesso Condicional.

Monitorar e gerenciar a execução da campanha

Depois de implantar uma campanha, o status muda para Em andamento na página de visão geral do Agente de Otimização de Acesso Condicional. Em seguida, o agente gerencia a execução da campanha automaticamente e atualiza o progresso à medida que os usuários completam as ações necessárias. A visão geral da campanha e as exibições detalhadas da campanha sempre refletem o status da campanha mais recente, os detalhamentos de categoria do usuário e os detalhes no nível do usuário, permitindo que os administradores monitorem o progresso e investiguem os problemas conforme necessário.

Enquanto uma campanha está em execução:

  • As configurações de campanha estão bloqueadas (exceto para edições de política de acesso condicional).
  • A execução pode ser gerenciada a partir da visão detalhada da campanha.

As ações disponíveis incluem:

  • Pausar: interrompe temporariamente todas as ações do agente. Nenhum novo usuário é contatado ou avançado.
  • Fim: interrompe permanentemente a campanha e redefine seu estado como Não iniciado.

Pausar ou encerrar uma campanha não reverte ações que já foram concluídas.

Como o agente orienta os usuários

Embora a campanha esteja ativa, o Agente de Otimização de Acesso Condicional é executado automaticamente a cada 24 horas para avaliar o progresso e avançar os usuários com base em sua preparação atual.

Durante a execução:

  • Usuários que precisam de atualizações de dispositivo
    • Receber notificações do Microsoft Teams solicitando que eles atualizem seus dispositivos para atender aos requisitos mínimos do sistema operacional
    • Receber notificações de lembrete durante o período de carência configurado
  • Usuários que precisam configurar uma chave de acesso
    • Receber notificações do Teams com diretrizes de configuração de chave de acesso
    • Receber notificações de lembrete durante o período de carência
  • Usuários prontos para aplicação
    • Receber uma notificação informando sobre a imposição futura
    • Após o término do período de carência de imposição, os usuários são adicionados a um grupo de políticas de Acesso Condicional que exige autenticação resistente a phishing
    • A política de Acesso Condicional é criada no modo somente relatório

Comportamento da política de acesso condicional

Quando os usuários se tornam elegíveis para imposição, o agente cria uma política de Acesso Condicional para exigir autenticação resistente a phishing.

  • A política é criada somente depois que pelo menos um usuário concluir o período de carência da notificação de cumprimento.
  • A política é criada inicialmente no modo somente relatório, permitindo que os administradores monitorem o impacto antes de impor os requisitos de autenticação.
  • A configuração de política pode ser revisada e gerenciada diretamente do Acesso Condicional.

Limitações conhecidas

  • No momento, o Agente de Otimização de Acesso Condicional não verifica se os usuários de destino estão habilitados para chaves de passagem na política de métodos de autenticação. Verifique se esse pré-requisito está configurado antes de implantar uma campanha.
  • As configurações de campanha, como direcionamento, períodos de carência e configuração de adiamento, não podem ser modificadas após o início da execução da campanha.
  • As políticas de Acesso Condicional são criadas somente depois que pelo menos um usuário concluir o período de carência de notificação de imposição.
  • As opções de gerenciamento de política aparecem somente depois que a política é criada.
  • No momento, há suporte para o adiamento apenas para usuários que têm a função de Security Copilot Owner ou Security Copilot Contributor. Os administradores podem verificar quais usuários têm essas funções no portal de administração do Security Copilot.

Funções de administrador com suporte

  • Administrador de Autenticação
  • Administrador de cobrança
  • Administrador de Aplicativos na Nuvem
  • Administrador de Acesso Condicional
  • Administrador do Exchange
  • Administrador global
  • Administrador de assistência técnica
  • Administrador de Serviços do Intune
  • Administrador de senha
  • Administrador de Autenticação Privilegiada
  • Administrador de Função Privilégiada
  • Administrador de segurança
  • Administrador do SharePoint
  • Administrador de equipes
  • Administrador de usuários
  • Last updated on