適用於 Microsoft Entra 的條件式存取優化代理程式包含分階段推出功能,可協助組織安全且有效率地部署新的條件式存取原則。 Microsoft Entra 中的這個「Microsoft Security Copilot」功能能讓系統管理員逐步引入政策、監控其影響,以及將干擾減到最低。 這種分階段推出功能提供了新策略的逐步部署,以最大限度地減少對最終用戶造成廣泛干擾的機會,並減少手動分析和規劃的需要,從而節省數週的工作量。 如同條件式存取優化代理程式的所有層面,系統管理員會保留原則變更的完整控制權,例如群組選取和推出步調。 還提供了推出計劃的明確理由,以保持透明度。
本文說明分階段推出程序的運作方式、概述必要條件,並描述有助於確保順暢部署的內建保護。
先決條件
- 您必須至少有 Microsoft Entra ID P1 授權。
- 您必須具備可用的 安全性計算單位 (SCU) 。
- 安全性讀取者 和 全域讀取者 角色可以檢視代理程式和任何建議,但無法採取任何動作。
- 條件式存取系統管理員、 安全性系統管理員和 全域系統管理員 角色可以檢視代理程式,並針對建議採取動作。
- 租用戶必須至少有五個已定義的群組,這些群組目前用於條件式存取原則,代理程式才能產生分階段推出計劃。
運作方式
當條件式存取優化代理程式在僅限報告模式下建立新原則時,建議以分階段方式啟用該原則。 代理程式會分析登入數據和現有的原則,以定義階段式推出計劃。
旨在套用 至所有使用者 且需要開啟的原則符合分階段推出的資格。 由於首度推出計劃有五個不同的階段,因此您必須至少有五個群組才能套用首度推出計劃。 若要判斷要使用的群組,代理程式會查看先前或目前在條件式存取原則中使用的群組。 代理程式會查看這些群組,以查看其他條件式存取原則如何影響它們,以評估潛在的影響。 代理程式會查看群組的大小,然後使用所有這些因素將群組指派給階段,從影響較小的群組開始,到影響較大的群組結束。
分階段推出程序分為三個步驟:
您可以檢閱每個階段中包含的群組以及每個階段之間的天數,並在分階段推出之前和期間進行變更。 在首度推出期間的任何時候,您可以選擇讓代理程式執行計劃,也可以手動執行計劃的每個階段。
無論計劃的執行方式或您是否對計劃進行了變更,當第一個階段開始時,都會為第一個階段中包含的群組建立並開啟 新的 原則。 原始的僅限報告模式原則保持不變。
代理會建立僅報告模式的政策,並進行階段式推出
代理程式會建立僅限報告的原則,並建置個別的分階段推出計劃。 推出計劃包括五個階段,從小型低風險群體開始,逐步發展到更大的高風險群體。
在客服專員的建議清單中,在客服專員採取的動作欄中尋找建議的分階段轉出。
管理員檢閱、編輯並接受首度推出計劃
管理員需要審查計劃的詳細信息,包括每個階段中包含的群組、每個階段的時間以及計劃的執行方式。
請以至少安全管理員的身分登入Microsoft Entra 系統管理中心。
流覽至 [條件式存取優化代理程式 ],然後選取 [ 檢閱建議 ] 按鈕,以取得包含階段式推出的原則建議。
從 [原則詳細數據] 頁面中,選取 [ 檢閱階段]。
選取 編輯群組 以編輯階段中包含的群組。
![可編輯的階段的螢幕擷取畫面,並醒目提示 [編輯群組] 按鈕。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png)
選取 [自動轉出階段] 按鈕上的向下箭頭,以選取執行模式。
- 自動推出階段: 客服專員根據時間和影響訊號自動推出每個階段。
- 手動轉出階段:管理員手動推進轉出的每個階段。
![可編輯的階段的螢幕擷取畫面,並醒目提示 [編輯群組] 按鈕。](media/conditional-access-agent-optimization-phased-rollout/phased-rollout-edit-groups-button.png#lightbox)
小提示
您可以隨時使用自動和手動推出計劃進行干預。 您也可以在轉出期間隨時變更執行模式。
若要調整階段之間的時間:
- 從條件式存取優化代理程式流覽至 [ 設定 ] 索引標籤。
- 在 [階段式推出 ] 區段中調整階段之間的天數。
- 選擇 [儲存] 按鈕以套用變更。
如需詳細資訊,請查看 階段推出設定。
代理程式或管理員執行核准的首度推出計劃
可用於管理分階段推出的選項對於自動和手動執行是不同的。
自動推出階段
如果您選取自動轉出,代理程式會透過建立套用至第一階段所有群組的新已啟用原則來自動執行計劃。 推出開始後,會出現數個控制項來管理推出。
代理程式會根據定義的排程,將原則部署到下一個階段中的群組。 在分階段推出期間,您可以隨時暫停計劃的執行,或選擇手動推出剩餘階段。
您可以繼續監視推出的每個階段,以確保政策會達到預期效果。 在推出原則時,原始僅限報告原則會在其餘階段保持僅限報告模式。 分階段推出完成後,代理程式建議在下次執行時刪除僅限報告的原則,以便您可以維護乾淨的原則清單。
手動推出階段
如果您選擇手動執行分階段推出計劃,系統會提供數個選項來管理每個步驟。
您必須選取 移至下一個階段 ,才能推進首延展出的每個階段。 在任何階段,您都可以恢復到上一個階段,或選擇讓代理程式自動推出剩餘階段。
內建保護措施
階段式推出開始後,您無法更新原則的授權控制。 如果對授與控件進行變更,則會取消階段式推出。 如果在任何階段中新的政策導致超過10% 的登入被封鎖,則會立即暫停該階段的推行。 系統管理員會收到通知,以便檢閱詳細數據,並可能加以修改。
常見問題
分階段推出功能如何運作?
選取每個階段套用的群組之後,代理程式會建立重複的條件式存取原則,其中只包含第一個階段的群組。 原始條件式存取原則會保留在僅限報表模式,並以所有使用者為目標,因此您可以繼續收集資料。 當部署推進到下一個階段時,群組批次會新增至已啟用的條件式存取原則。 代理程式會監視每個階段如何影響與此原則相關聯的登入。 如果成功率低於 90%,則分階段推出會停止,且已啟用的原則會放回僅限報告模式。 然後,您可以檢閱記錄,以判斷登入失敗的原因,再再次嘗試分階段推出。
我必須開啟分階段推出嗎?
依預設,分階段推出功能會開啟。 若要關閉它,請移至 [條件式存取最佳化代理程式] 頁面上的 [ 設定 ] 索引標籤。 在 「分階段推出」下,將切換開關設置為「關閉」。