Not
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Optimeringsagenten för villkorsstyrd åtkomst för Microsoft Entra innehåller en stegvis distributionsfunktion som hjälper organisationer att distribuera nya principer för villkorlig åtkomst på ett säkert och effektivt sätt. Den här Microsoft Security Copilot-funktionen i Microsoft Entra gör det möjligt för administratörer att införa principer gradvis, övervaka deras inverkan och minimera störningar. Den här stegvisa distributionsfunktionen ger gradvis distribution av nya principer för att minimera risken för omfattande störningar för slutanvändarna och minska behovet av manuell analys och planering, vilket sparar veckor av arbete. Precis som med alla aspekter av agenten för optimering av villkorsstyrd åtkomst behåller administratörer fullständig kontroll över principändringarna, till exempel gruppval och distributionstempo. Ett tydligt resonemang för distributionsplanen ges också för att upprätthålla transparensen.
Den här artikeln beskriver hur den stegvisa distributionsprocessen fungerar, beskriver förutsättningar och beskriver de inbyggda skyddsåtgärderna som hjälper till att säkerställa en smidig distribution.
Förutsättningar
- Du måste ha minst Microsoft Entra ID P1-licensen .
- Du måste ha tillgängliga Security Compute Units (SCU: säkerhetsenheter för beräkning).
- Rollerna Säkerhetsläsare och Global läsare kan visa agenten och eventuella förslag, men kan inte vidta några åtgärder.
- Roller som administratör för villkorlig åtkomst, säkerhetsadministratör och global administratör kan visa agenten och vidta åtgärder för förslagen.
- Klientorganisationer måste ha minst fem definierade grupper som för närvarande används i principer för villkorsstyrd åtkomst för att agenten ska generera en stegvis distributionsplan.
Så här fungerar det
När optimeringsagenten för villkorsstyrd åtkomst skapar en ny princip i rapportläge kan den föreslå att principen aktiveras med en stegvis distribution. Agenten analyserar inloggningsdata och befintliga principer för att definiera en stegvis distributionsplan.
Principer som är avsedda att gälla för alla användare och som måste aktiveras är berättigade till en stegvis distribution. Eftersom det finns fem distinkta faser i en distributionsplan måste du ha minst fem grupper för att distributionsplanen ska gälla. För att avgöra vilka grupper som ska användas tittar agenten på grupper som tidigare eller för närvarande används i principer för villkorsstyrd åtkomst. Agenten tittar på dessa grupper för att se hur andra principer för villkorsstyrd åtkomst påverkade dem, för att mäta potentiell påverkan. Agenten tittar på gruppernas storlek och använder sedan alla dessa faktorer för att tilldela grupperna till faserna som börjar med grupperna med låg påverkan och slutar med grupperna med högre påverkan.
Det finns tre steg i den stegvisa distributionsprocessen:
- Agenten skapar en rapportprincip med en stegvis distribution
- Administratör granskar, redigerar och godkänner distributionsplanen
- Agenten eller administratören kör den godkända distributionsplanen
Du kan granska de grupper som ingår i varje fas och antalet dagar mellan varje fas och göra ändringar före och under den stegvisa distributionen. När som helst under distributionen kan du välja att planen ska köras av agenten eller så kan du köra varje fas i planen manuellt.
Oavsett hur planen körs eller om du har gjort ändringar i planen skapas och aktiveras en ny princip för de grupper som ingår i den första fasen när den första fasen startar. Den ursprungliga principen för endast rapportläge förblir intakt.
Agenten skapar en rapportprincip med en stegvis distribution
Agenten skapar en endast rapportpolicy och utformar en separat stegvis distributionsplan. Distributionsplanerna omfattar fem faser, som börjar med små grupper med låg risk och går vidare till större högriskgrupper.
I listan med förslag från agenten letar du efter Föreslagen stegvis distribution i kolumnen Åtgärder som vidtas av agenten .
Administratör granskar, redigerar och godkänner distributionsplanen
Administratörer måste granska detaljerna i planen, inklusive de grupper som ingår i varje fas, tidpunkten för varje fas och hur planen ska köras.
Logga in på Microsoft Entra administrationscenter med minst behörigheten Säkerhetsadministratör.
Bläddra till optimeringsagenten för villkorsstyrd åtkomst och välj knappen Granska förslag för ett principförslag som innehåller en stegvis distribution.
På sidan policyinformation väljer du Granska faser.
Välj Redigera grupper för att redigera de grupper som ingår i fasen.
Välj nedåtpilen på knappen Distribuera faser automatiskt för att välja ett körningsläge.
- Distribuera faser automatiskt: Agenten distribuerar automatiskt varje fas baserat på tids- och effektsignaler.
- Distribuera faser manuellt: Administratören avancerar manuellt varje fas i distributionen.
Tips/Råd
Du kan när som helst ingripa med automatiska och manuella distributionsplaner. Du kan också ändra körningslägen när som helst under distributionen.
Så här justerar du tiden mellan faserna:
- Bläddra till fliken Inställningar från agenten för optimering av villkorsstyrd åtkomst.
- Justera dagarna mellan faserna i avsnittet Stegvis distribution .
- Välj knappen Spara för att spara dina ändringar.
Mer information finns i inställningarna för stegvis distribution.
Agenten eller administratören kör den godkända distributionsplanen
De alternativ som är tillgängliga för att hantera den stegvisa distributionen skiljer sig åt för automatisk och manuell körning.
Distribuera faser automatiskt
Om du har valt automatisk distribution kör agenten automatiskt planen genom att skapa en ny aktiverad princip som gäller för alla grupper i den första fasen. När distributionen startar verkar flera kontroller hantera distributionen.
Agenten distribuerar principen till grupperna i nästa faser baserat på det definierade schemat. När som helst under den stegvisa distributionen kan du pausa körningen av planen eller välja att manuellt distribuera de återstående faserna.
Du kan fortsätta att övervaka mellan varje fas i distributionen för att säkerställa att principen gör vad som förväntas. Medan principen distribueras förblir den ursprungliga principen endast i rapportläge för de återstående faserna. När den stegvisa distributionen är klar rekommenderar agenten att du tar bort principen endast för rapporter nästa gång den körs, så att du kan underhålla en ren principlista.
Distribuera faser manuellt
Om du väljer att manuellt köra den stegvisa distributionsplanen får du flera alternativ för att hantera varje steg.
Du måste välja fasen Flytta till nästa för att gå vidare med varje fas i distributionen. När som helst kan du återgå till föregående fas eller välja att låta agenten distribuera de återstående faserna automatiskt.
Inbyggda skydd
När den stegvisa distributionen börjar kan du inte uppdatera principens beviljandekontroller. Om ändringar görs i beviljandekontrollerna avbryts den stegvisa distributionen. Om fler än 10% av inloggningar blockeras av den nya principen under en fas pausas distributionen omedelbart. Administratören meddelas så att informationen kan granskas och eventuellt ändras.
Vanliga frågor
Hur fungerar den stegvisa distributionsfunktionen?
När du har valt de grupper som varje fas gäller för skapar agenten en duplicerad princip för villkorsstyrd åtkomst som endast innehåller gruppen för den första fasen. Den ursprungliga principen för villkorsstyrd åtkomst finns kvar i rapportläge och riktar sig till alla användare, så att du kan fortsätta att samla in data. När distributionen går vidare till nästa fas läggs batchen med grupper till i den aktiverade principen för villkorsstyrd åtkomst. Agenten övervakar hur varje steg påverkar de inloggningar som är associerade med den här principen. Om framgångsgraden sjunker under 90%stoppas den stegvisa distributionen och den aktiverade principen placeras tillbaka i rapportläge. Du kan sedan granska loggarna för att avgöra varför inloggningar misslyckades innan du försöker med den stegvisa utrullningen igen.
Måste jag aktivera stegvis distribution?
Funktionen för stegvis distribution är aktiverad som standard. Om du vill inaktivera det går du till fliken Inställningar på sidan Optimeringsagent för villkorsstyrd åtkomst. Under Stegvis distribution växlar du växlingsknappen till Av.