Distribuera nyckelimplementeringskampanjer med optimeringsagenten för villkorsstyrd åtkomst (förhandsversion)

Optimeringsagenten för villkorsstyrd åtkomst hjälper organisationer att planera och distribuera kampanjer som vägleder användarna mot starkare autentiseringsmetoder. I den offentliga förhandsversionen har agenten stöd för distribution av lösenordskampanjer för att hjälpa organisationer att distribuera nätfiskeresistent autentisering på ett strukturerat, intelligent och automatiserat sätt.

Agenten är utformad för att minska manuella insatser för storskaliga kampanjer. Agenten kan:

• Utvärdera användar- och enhetsberedskap
• Generera en rekommenderad distributionsplan
• Vägleder användare genom nödvändiga steg
• Tillämpa principer för villkorsstyrd åtkomst när användarna är redo

Agenten utvärderar kontinuerligt förloppet och avancerar användarna genom kampanjen när kraven uppfylls.

Förutsättningar

• Du måste ha minst Microsoft Entra ID P1-licensen .
• Du måste ha tillgängliga Security Compute Units (SCU: säkerhetsenheter för beräkning).
  • I genomsnitt förbrukar varje agentkörning mindre än en SCU.
• Du måste ha passnycklar aktiverade i policyn för autentiseringsmetoder.
• Säkerhetsadministratör krävs för att hantera nyckelkampanjer.
  • Rollen Administratör för villkorsstyrd åtkomst har inte tillräcklig behörighet för att hantera nyckelkampanjer.

Aktivera lösenordskampanjer i agenten

Du kan tillåta att agenten för optimering av villkorsstyrd åtkomst skapar nyckelimplementeringskampanjer från administrationscentret för Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra som minst en Säkerhetsadministratör.

2. Bläddra till Optimeringsagentinställningar> för villkorsstyrd åtkomst.

3. Under Agentfunktioner väljer du kryssrutan Tillåt att agenten skapar nyckelimplementeringskampanjer .

   

När den här inställningen har aktiverats börjar agenten analysera din klient för att identifiera användare som är berättigade till en lösenordskampanj. För närvarande riktar sig agenten till privilegierade administratörsanvändare som standard. Mer information finns i Administratörsroller som stöds.

Anmärkning

Inledande analys kan ta flera minuter. Om Granskningskampanjen inte visas kan du välja Kör analys på förslagskortet eller vänta på agentens nästa schemalagda körning.

Visa kampanjöversikten

När en nyckelkampanj är tillgänglig visas den som ett förslag i översikten över optimeringsagenten för villkorsstyrd åtkomst.

Så här granskar du kampanjen:

1. Bläddra till optimeringsagenten för villkorsstyrd åtkomst.

2. Under Senaste förslag letar du upp förslaget Distribuera kampanjen för adoption av säkerhetsnycklar för administratörer.

3. Välj Granska kampanj.

   

Den första kampanjöversikten innehåller en sammanfattning av agentens föreslagna plan, inklusive:

• Kampanjmålet
• En AI-genererad beredskapsanalys för målgruppsanvändare
• Viktiga kampanjmått, till exempel:
  • Uppskattad kampanjvaraktighet
  • Antal målanvändare
• En uppdelning av användarberedskap:
  • Användare som behöver enhetsuppdateringar: användare med minst en enhet registrerad hos Microsoft Entra men uppfyller inte minimikraven för operativsystemet för nyckelnycklar.
  • Användare som behöver registrera en nyckel: användare med kompatibla enheter men ingen registrerad nyckel.
  • Användare som är redo för tillämpning: användare med kompatibla enheter och en registrerad passkey.

Från den här vyn kan du distribuera kampanjen direkt eller öppna den detaljerade kampanjupplevelsen. Vi rekommenderar att du granskar den detaljerade kampanjplanen innan du distribuerar kampanjen.

Granska och anpassa den detaljerade kampanjplanen

Välj Granska kampanj för att öppna den detaljerade kampanjupplevelsen, där du kan granska användarberedskapen mer ingående och anpassa kampanjkonfigurationen före distributionen. Nyckelkampanjen innehåller fyra steg:

• Målanvändare för åtkomstnyckelkampanj
• Kontrollera enhetens beredskap
• Kräv nyckelregistrering
• Framtvinga nyckelanvändning

Granska målanvändare

Med den detaljerade kampanjvyn kan du granska alla användare som är mål för kampanjen och göra justeringar före distributionen. Kampanjanpassning är bara tillgängligt när kampanjen är i tillståndet Inte startad . När distributionen har påbörjats kan de här inställningarna inte ändras.

• Så här visar du de användare som är mål för kampanjen: Välj länken för antal aggregerade användare för den kategorin.
• Så här redigerar du de användare som är mål för kampanjen: Välj knappen Redigera användare.

Tips/Råd

Vi rekommenderar att du utesluter alla administratörskonton för break glass eller nödåtkomst från kampanjen.

Steget Kontrollera enhetens beredskap kanske inte har samma antal användare som de totala målgrupperna för kampanjen. Om alla användare har aktuella enheter med det senaste operativsystemet som stöder nyckelnycklar inkluderas de inte i det här steget. Om det inte finns några användare för den här fasen flyttas kampanjen automatiskt till nästa steg.

Justera respitperioder

Respitperioder definierar hur länge användarna måste slutföra en obligatorisk åtgärd. Respitperioder kan gälla för uppdatering av en enhet, registrering av en nyckel eller tiden mellan informationsmeddelanden och tillämpning.

Så här visar och justerar du respitperioderna för en fas i kampanjen:

1. Välj pilen i det övre högra hörnet av fasen för att expandera informationen.

2. Justera respitperioden genom att justera skjutreglaget eller ange ett tal i textrutan.

   

Om en användare överskrider en respitperiod för att slutföra en obligatorisk åtgärd fortsätter inte agenten att fortsätta med den användaren via kampanjen. Om du vill visa dessa användare väljer du antalet aggregerade användare för den relevanta kampanjkategorin. Kolumnen Överskriden respitperiod anger när en användare har överskridit sin respitperiod.

Konfigurera alternativ för senareläggning

Senareläggning kan aktiveras utöver respitperioder för att ge användarna större flexibilitet. När senareläggning är aktiverat:

• Användare kan välja att skjuta upp en nödvändig åtgärd eller ett meddelande om verkställighet under en begränsad tid.
• När fördröjningstiden är slut återupptar agenten påminnelser och meddelanden för den nödvändiga åtgärden eller kommande verkställighet.

Så här konfigurerar du senareläggningsinformation:

1. Välj Granska kampanj för förslag på nyckelkampanjdistribution.

2. Markera kryssrutan Aktivera senareläggning av användare .

3. Från de nya alternativen som visas anger du antalet dagar.

   

Filtrera inaktiva enheter

Filtrera inaktiva enheter för att förhindra att användare med gamla eller oanvända enheter fastnar i fasen Kontrollera enhetens beredskap .

Den här inställningen gäller på kampanjnivå och gör det möjligt för administratörer att definiera vad som kvalificerar sig som en aktiv enhet. Agenten exkluderar enheter som inte har använts inom den angivna tidsperioden, vilket hjälper till att säkerställa att användarna utvärderas baserat på enheter som de aktivt loggar in med. Som standard tar agenten hänsyn till enheter som använts under det senaste året.

Distribuera och köra kampanjen

När du har granskat och anpassat den detaljerade kampanjplanen kan du distribuera kampanjen.

Starta kampanjen genom att välja Distribuera kampanj i kampanjöversikten eller i den detaljerade kampanjvyn.

Kampanjdistributionen slutförs vanligtvis inom några minuter. Under distributionen skapar agenten de resurser som krävs och förbereder sig för att vägleda användarna genom kampanjen. Du får förloppsmeddelanden när distributionen fortsätter. Om en distribution överskrider tidsgränsen återaktiveras åtgärdsknapparna så att du kan försöka igen.

När distributionen är klar ändras kampanjstatusen till Pågår på översiktssidan för optimeringsagenten för villkorsstyrd åtkomst.

Övervaka och hantera genomförande av kampanjer

När du har distribuerat en kampanj ändras statusen till Pågår på översiktssidan för optimeringsagenten för villkorsstyrd åtkomst. Agenten hanterar sedan kampanjkörning automatiskt och uppdaterar förloppet när användarna slutför nödvändiga åtgärder. Kampanjöversikten och detaljerade kampanjvyer återspeglar alltid den senaste kampanjstatusen, uppdelningar av användarkategorier och information på användarnivå, så att administratörer kan övervaka förloppet och undersöka problem efter behov.

Medan en kampanj pågår:

• Inställningar för kampanjkonfiguration är låsta (förutom principredigeringar för villkorsstyrd åtkomst).
• Utförande kan hanteras från kampanjens detaljerade vy.

Tillgängliga åtgärder är:

• Pausa: Stoppar tillfälligt alla agentåtgärder. Inga nya användare kontaktas eller avanceras.
• Slut: Stoppar kampanjen permanent och återställer dess tillstånd till Inte startat.

Om du pausar eller avslutar en kampanj ångras inte åtgärder som redan har slutförts.

Så här vägleder agenten användare

Medan kampanjen är aktiv körs agenten för optimering av villkorsstyrd åtkomst automatiskt var 24:e timme för att utvärdera förloppet och främja användare baserat på deras aktuella beredskap.

Under körningen:

• Användare som behöver enhetsuppdateringar
  • Få Microsoft Teams-meddelanden som uppmanar dem att uppdatera sina enheter så att de uppfyller minimikraven för operativsystemet
  • Ta emot påminnelsemeddelanden under den konfigurerade respitperioden
• Användare som behöver konfigurera en nyckel
  • Ta emot Teams-meddelanden med vägledning för nyckelkonfiguration
  • Ta emot påminnelsemeddelanden under respitperioden
• Användare som är redo för verkställighet
  • Få ett meddelande som informerar dem om kommande verkställighet
  • När respitperioden för verkställighet har upphört läggs användarna till i en principgrupp för villkorsstyrd åtkomst som kräver nätfiskebeständig autentisering
  • Principen för villkorsstyrd åtkomst skapas i endast rapportläge

Principbeteende för villkorsstyrd åtkomst

När användarna blir berättigade till verkställighet skapar agenten en princip för villkorsstyrd åtkomst som kräver nätfiskeresistent autentisering.

• Policyn skapas endast efter att minst en användare har slutfört respittiden för tillämpningsmeddelandet.
• Principen skapas ursprungligen i rapportläge, vilket gör att administratörer kan övervaka påverkan innan autentiseringskraven tillämpas.
• Principkonfigurationen kan granskas och hanteras direkt från villkorlig åtkomst.

Kända begränsningar

• Optimeringsagenten för villkorsstyrd åtkomst kontrollerar för närvarande inte om målanvändare är aktiverade för nyckelnycklar i principen Autentiseringsmetoder. Se till att den här förutsättningen är konfigurerad innan du distribuerar en kampanj.
• Kampanjinställningar som mål, respitperioder och senareläggningskonfiguration kan inte ändras när kampanjkörningen har påbörjats.
• Principer för villkorlig åtkomst skapas endast när minst en användare har slutfört respitperioden för verkställighetsmeddelanden.
• Principhanteringsalternativ visas först när principen har skapats.
• Uppskjutande stöds för närvarande endast för användare som har rollen som Security Copilot-ägare eller Security Copilot-deltagare. Administratörer kan kontrollera vilka användare som har dessa roller i administrationsportalen för Security Copilot.

Administratörsroller som stöds

• Autentiseringsadministratör
• Faktureringsadministratör
• Applikationsadministratör för molnet
• Administratör för villkorsstyrd åtkomst
• Exchange-administratör
• Global administratör
• Supportadministratör
• Intune-tjänstadministratör
• Lösenordsadministratör
• Administratör av privilegierad autentisering
• Privilegierad rolladministratör
• säkerhetsadministratör
• SharePoint-administratör
• Teams-administratör
• Användaradministratör