Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O agente de otimização de acesso condicional do Microsoft Entra inclui uma funcionalidade de distribuição em fases que ajuda as organizações a implantar novas políticas de Acesso Condicional de forma segura e eficiente. Esse recurso do Microsoft Security Copilot no Microsoft Entra permite que os administradores introduzam políticas gradualmente, monitorem seu impacto e minimizem as interrupções. Essa funcionalidade de distribuição em fases fornece implantação gradual de novas políticas para minimizar a chance de interrupção generalizada para os usuários finais e reduzir a necessidade de análise e planejamento manuais, salvando semanas de esforço. Assim como acontece com todos os aspectos do Agente de Otimização de Acesso Condicional, os administradores mantêm controle total das alterações de política, como seleção de grupo e ritmo de distribuição. O raciocínio claro para o plano de distribuição também é fornecido para manter a transparência.
Este artigo explica como o processo de distribuição em fases funciona, descreve os pré-requisitos e descreve as proteções internas que ajudam a garantir uma implantação tranquila.
Pré-requisitos
- Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- As funções Leitor de Segurança e Leitor Global podem exibir o agente e qualquer sugestão, mas não podem executar nenhuma ação.
- As funções Administrador de Acesso Condicional, Administrador de Segurança e Administrador Global podem exibir o agente e tomar medidas sobre as sugestões.
- Os locatários devem ter pelo menos cinco grupos definidos que atualmente são usados em políticas de Acesso Condicional para o agente gerar um plano de distribuição em fases.
Como funciona
Quando o agente de otimização de acesso condicional cria uma nova política no modo somente relatório, ele pode sugerir ativar a política com uma implementação gradual. O agente analisa dados de entrada e políticas existentes para definir um plano de distribuição em fases.
As políticas destinadas a se aplicar a todos os usuários e que precisam ser ativadas são qualificadas para uma distribuição em fases. Como há cinco fases distintas em um plano de distribuição, você deve ter pelo menos cinco grupos para que o plano de distribuição seja aplicado. Para determinar quais grupos usar, o agente examina grupos que foram anteriormente ou atualmente são usados em políticas de Acesso Condicional. O agente analisa esses grupos para ver como outras políticas de Acesso Condicional as afetaram, para medir o impacto potencial. O agente analisa o tamanho dos grupos e, em seguida, usa todos esses fatores para atribuir os grupos às fases que começam com os grupos de baixo impacto e terminam com os grupos de maior impacto.
Há três etapas no processo de distribuição em fases:
- O Agente cria uma política somente relatório com uma distribuição em fases
- O administrador analisa, edita e aceita o plano de distribuição
- O agente ou administrador executa o plano de distribuição aprovado
Você pode examinar os grupos incluídos em cada fase e o número de dias entre cada fase e fazer alterações antes e durante a distribuição em fases. A qualquer momento durante a distribuição, você pode optar por executar o plano pelo agente ou executar manualmente cada fase do plano.
Independentemente de como o plano é executado ou se você fez alterações no plano, quando a primeira fase é iniciada, uma nova política é criada e ativada para os grupos incluídos na primeira fase. A política de modo somente relatório original permanece intacta.
O agente cria uma política de relatório apenas com implementação gradual
O agente cria uma política de apenas relatório e elabora um plano de implementação em fases separado. Os planos de distribuição incluem cinco fases, começando com grupos pequenos e de baixo risco e progredindo para grupos maiores e de alto risco.
Na lista de sugestões do agente, procure a distribuição em fases sugerida nas Ações executadas pela coluna do agente .
O administrador analisa, edita e aceita o plano de distribuição
Os administradores precisam examinar os detalhes do plano, incluindo os grupos incluídos em cada fase, o tempo de cada fase e como o plano será executado.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Agente de Otimização de Acesso Condicional e selecione o botão Revisar sugestões para uma sugestão de política que inclui uma implementação faseada.
Na página de detalhes da política, selecione Fases de revisão.
Selecione Editar Grupos para editar os grupos incluídos na fase.
Selecione a seta para baixo no botão Distribuir fases automaticamente para selecionar um modo de execução.
- Distribuição automática de fases: o Agente distribui automaticamente cada fase, com base em sinais de tempo e impacto.
- Implementar fases manualmente: o administrador avança manualmente cada fase da distribuição.
Dica
Você pode intervir a qualquer momento com planos de distribuição automáticos e manuais. Você também pode alterar os modos de execução a qualquer momento durante a distribuição.
Para ajustar o tempo entre as fases:
- Navegue até a guia Configurações do Agente de Otimização de Acesso Condicional.
- Ajuste os dias entre as fases na seção distribuição em fases .
- Selecione o botão Salvar para aplicar as alterações.
Para obter mais informações, examine as configurações de distribuição em fases.
O agente ou administrador executa o plano de distribuição aprovado
As opções disponíveis para gerenciar a distribuição em fases são diferentes para execução automática e manual.
Implantar fases automaticamente
Se você tiver selecionado a distribuição automática, o agente executará automaticamente o plano criando uma nova política habilitada que se aplica a todos os grupos na primeira fase. Depois que a distribuição é iniciada, vários controles parecem gerenciar a distribuição.
O agente implanta a política nos grupos nas próximas fases com base no agendamento definido. A qualquer momento durante a distribuição em fases, você pode pausar a execução do plano ou optar por distribuir manualmente as fases restantes.
Você pode continuar monitorando entre cada fase da distribuição para garantir que a política faça o que é esperado. Enquanto a política está sendo implementada, a política somente de relatório original permanece no modo somente relatório para as fases restantes. Depois que a distribuição em fases for concluída, o agente recomenda excluir a política somente de relatório na próxima vez que ela for executada, para que você possa manter uma lista de políticas limpas.
Implantar fases manualmente
Se você optar por executar manualmente o plano de distribuição em fases, será fornecida várias opções para gerenciar cada etapa.
Você deve selecionar mover para a próxima fase para avançar cada fase da distribuição. Em qualquer fase, você pode reverter para a fase anterior ou optar por fazer com que o agente implemente automaticamente as fases restantes.
Proteções internas
Depois que a distribuição em fases começar, você não poderá atualizar os controles de concessão da política. Se forem feitas alterações nos controles de concessão, a distribuição em fases será cancelada. Se mais de 10% das autenticações forem bloqueadas pela nova política em qualquer fase, a implementação será imediatamente pausada. O administrador é notificado para que os detalhes possam ser revisados e potencialmente modificados.
Perguntas frequentes
Como funciona a funcionalidade de distribuição em fases?
Depois de selecionar os grupos aos quais cada fase se aplica, o agente cria uma política de Acesso Condicional duplicada que inclui apenas o grupo da primeira fase. A política de Acesso Condicional original persiste no modo somente relatório e tem como destino todos os usuários, para que você possa continuar coletando dados. Quando a implantação avança para a próxima fase, o lote de grupos é adicionado à política de Acesso Condicional habilitada. O agente monitora como cada estágio afeta as entradas associadas a essa política. Se a taxa de êxito cair abaixo de 90%, a distribuição em fases será interrompida e a política habilitada será colocada novamente no modo somente relatório. Em seguida, você pode examinar os logs para determinar por que os logins estavam falhando antes de tentar a implementação gradual novamente.
Tenho que ativar a distribuição em fases?
A funcionalidade de distribuição em fases é ativada por padrão. Para desativá-lo, vá para a guia Configurações na página Agente de Otimização de Acesso Condicional. Em distribuição em fases, mude a chave para Desativada.