通过

使用条件访问优化代理部署密钥采用活动(预览版)

条件访问优化代理可帮助组织规划和部署引导用户采取更强身份验证方法的运动。 在公共预览版中,代理支持部署密钥采用活动,以帮助组织以结构化、智能和自动化的方式推出防钓鱼身份验证。

该代理旨在减少大规模活动的人工工作量。 代理可以:

  • 评估用户和设备就绪情况
  • 生成建议的部署计划
  • 指导用户完成所需步骤
  • 当用户准备就绪时,开始实施条件访问策略

代理会持续评估进度,并在满足先决条件时推进用户到活动的下一阶段。

先决条件

在代理中启用通行密钥活动

你可以允许条件访问优化代理程序从 Microsoft Entra 管理中心创建密码推广活动。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到 条件访问优化代理>设置

  3. “代理功能”下,选中 “允许代理创建通行密钥采用活动” 复选框。

    用于启用通行码活动建议的代理设置界面的屏幕截图。

启用此设置后,代理将开始分析租户,以识别有资格参加通行密钥市场活动的用户。 目前,代理默认面向特权管理员用户。 有关详细信息,请参阅 支持的管理员角色

注释

初始分析可能需要几分钟时间。 如果未显示 审阅市场活动,则可以在建议卡上选择 运行分析,或等待代理程序的下一次计划运行。

查看活动概述

当密钥活动可用时,它会显示为条件访问优化代理概述中的建议。

查看活动:

  1. 浏览到 条件访问优化代理

  2. “最近建议”下,找到 “部署管理员使用密钥的活动” 建议。

  3. 选择 审阅市场活动

    代理建议的屏幕截图,其中突出显示了密钥市场活动结果。

初始市场活动概述提供了代理建议的计划摘要,包括:

  • 活动目标
  • 面向目标用户的 AI 生成的就绪情况 Outlook
  • 关键市场活动指标,例如:
    • 预计营销活动持续时间
    • 目标用户数
  • 用户就绪情况的细分:
    • 需要设备更新的用户:至少有一个设备注册到 Microsoft Entra 的用户,这些设备不符合通行密钥的最低 OS 要求。
    • 需要注册通行密钥的用户:具有兼容设备但未注册的密钥的用户。
    • 用户已准备好强制实施:具有兼容设备和已注册密钥的用户。

在此视图中,可以立即部署活动或查看详细活动信息。 建议在部署市场活动之前查看详细的市场活动计划。

密钥活动摘要的截图。

查看和自定义详细的市场活动计划

选择“ 审阅”市场活动 以打开详细的市场活动体验,你可以在部署前更深入地查看用户准备情况并自定义市场活动配置。 通行密钥活动包括四个阶段:

  • 目标用户的通行密钥推广活动
  • 检查设备就绪情况
  • 需要密钥注册
  • 强制使用密钥

查看目标用户

通过详细的市场活动视图,可以查看针对市场活动的所有用户,并在部署前进行调整。 仅当市场活动处于 “未启动 ”状态时,市场活动自定义才可用。 部署开始后,无法修改这些设置。

  • 若要查看营销活动目标用户,请选择该类别的汇总用户数量链接。
  • 若要编辑活动的目标用户:选择 编辑用户目标按钮。

通行密钥活动详细信息的屏幕截图,其中目标用户选项被突出显示。

小窍门

建议从市场活动中排除任何破玻璃或紧急访问管理员帐户。

“检查设备就绪”阶段的用户数可能与活动的目标用户总数不同。 如果所有用户都具有支持通行密钥的最新操作系统的当前设备,那么这些用户将不包括在此阶段中。 如果此阶段没有用户,市场活动将自动移动到下一阶段。

调整宽限期

宽限期定义用户必须完成所需操作的时间。 宽限期适用于更新设备、注册通行密钥或信息性通知与强制执行之间的时间。

查看和调整活动阶段的宽限期:

  1. 选择阶段右上角的箭头以展开详细信息。

  2. 通过调整滑块或在文本框中输入数字来调整宽限期。

    密码密钥活动详细信息的屏幕截图,其中突出显示了宽限期选项。

如果用户超过完成所需操作的宽限期,代理将不会继续推动该用户参与活动。 若要查看这些用户,请选择相关市场活动类别的聚合用户计数。 “超出宽限期”列指示用户何时超过其宽限期。

配置推迟选项

除了宽限期外,还可以启用推迟,为用户提供更大的灵活性。 启用推迟时:

  • 用户可以选择在有限的时间内延迟所需操作或强制通知。
  • 推迟期限结束后,代理将恢复所需操作或即将执行的措施的提醒和通知。

若要配置推迟详细信息,

  1. 为发布密钥活动的建议选择审阅活动

  2. 选中 “启用用户推迟 ”复选框。

  3. 从显示的新选项中,设置天数。

    密码密钥活动详情的屏幕截图,其中突出显示了延期详情。

筛选非活动设备

筛选非活动设备,以帮助防止旧设备或未使用设备的用户在 “检查设备就绪” 阶段保持停滞状态。

此设置适用于广告活动级别,并允许管理员确定哪些设备被视为活动设备。 代理排除未在指定时间范围内使用的设备,确保对用户根据其主动登录的设备进行评估。 默认情况下,代理将考虑过去一年内使用的设备。

密钥活动详细信息的屏幕截图,其中突出显示了非活动设备选项。

部署并执行活动计划

查看和自定义详细的市场活动计划后,可以部署市场活动。

若要启动市场活动,请从市场活动概述或详细市场活动视图中选择“ 部署 市场活动”。

市场活动部署通常在几分钟内完成。 在部署期间,代理会创建所需的资源,并准备指导用户进行活动。 随着部署的继续,你会收到进度通知。 在部署超时的罕见情况下,将重新启用操作界面中的按钮,以便用户能够再次尝试。

部署完成后,市场活动状态将在条件访问优化代理概述页上更改为正在进行

监控与管理活动执行

部署活动后,状态将在条件访问优化代理概述页上更改为正在进行。 然后,当用户完成所需操作时,代理会自动管理市场活动执行并更新进度。 市场活动概述和详细的市场活动视图始终反映最新的市场活动状态、用户类别细分和用户级别详细信息,使管理员能够根据需要监视进度并调查问题。

当活动正在运行时:

  • 活动配置设置已锁定(条件访问策略编辑除外)。
  • 可以从详细的广告活动视图管理执行。

可用操作包括:

  • 暂停:暂时停止所有代理操作。 新用户没有被联系或推进。
  • 结束:永久停止活动,并将其状态重置为未启动

暂停或结束广告活动不会扭转已经完成的动作。

代理如何指导用户

活动处于活动状态时,条件访问优化代理每 24 小时自动运行一次,以根据当前就绪情况评估进度并推进用户。

在执行期间:

  • 需要设备更新的用户
    • 接收Microsoft Teams 通知,提示他们更新其设备以满足最低 OS 要求
    • 在配置的宽限期内接收提醒通知
  • 需要设置通行密钥的用户
    • 使用密钥设置指南接收 Teams 通知
    • 在宽限期内接收提醒通知
  • 用户已准备好接受执行
    • 收到通知,告知他们即将执行的措施
    • 强制宽限期结束后,用户将添加到需要防钓鱼身份验证的条件访问策略组
    • 条件访问策略是在仅报告模式下创建的

条件访问策略行为

当用户有资格强制实施时,代理会创建条件访问策略,要求进行防钓鱼身份验证。

  • 只有在至少一个用户完成强制通知宽限期后,才会创建策略。
  • 策略最初是在仅报告模式下创建的,允许管理员在强制执行身份验证要求之前监视影响。
  • 可以直接从条件访问查看和管理策略配置。

已知的限制

  • 条件访问优化代理当前未验证身份验证方法策略中是否为目标用户启用了密码密钥。 在部署活动之前,请确保已配置此先决条件。
  • 活动执行开始后,无法修改活动设置,例如定位、宽限时间和延期配置。
  • 只有在至少一个用户完成强制通知宽限期后,才会创建条件访问策略。
  • 策略管理选项仅在创建策略后显示。
  • 目前仅支持具有安全协同飞行员所有者角色或安全协同飞行员参与者角色的用户进行延迟。 管理员可以在安全 Copilot 管理门户中验证哪些用户具有这些角色。

支持的管理员角色

  • 身份验证管理员
  • 计费管理员
  • 云应用程序管理员
  • 条件访问管理员
  • Exchange 管理员
  • 全局管理员
  • 服务台管理员
  • Intune 服务管理员
  • 密码管理员
  • 特权身份验证管理员
  • 特权角色管理员
  • 安全管理员
  • SharePoint管理员
  • Teams 管理员
  • 用户管理员
  • Last updated on