Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De agent voor optimalisatie van voorwaardelijke toegang voor Microsoft Entra bevat een gefaseerde implementatiemogelijkheid waarmee organisaties veilig en efficiënt nieuwe beleidsregels voor voorwaardelijke toegang kunnen implementeren. Met deze Microsoft Security Copilot functie in Microsoft Entra kunnen beheerders beleidsregels geleidelijk introduceren, hun impact bewaken en onderbrekingen minimaliseren. Deze gefaseerde implementatiefunctie biedt een geleidelijke implementatie van nieuw beleid om de kans op wijdverspreide onderbrekingen voor eindgebruikers te minimaliseren en de noodzaak van handmatige analyse en planning te verminderen, weken van inspanning te besparen. Net als bij alle aspecten van de Conditionele Toegangsoptimalisatie-agent behouden beheerders volledige controle over de beleidswijzigingen, zoals groepsselectie, implementatietempo en uitrol. Duidelijke redenering voor het implementatieplan wordt ook geboden om transparantie te behouden.
In dit artikel wordt uitgelegd hoe het gefaseerde implementatieproces werkt, de vereisten beschrijft en de ingebouwde beveiligingen beschrijft die een soepele implementatie garanderen.
Vereiste voorwaarden
- U moet ten minste de Microsoft Entra ID P1 licentie hebben.
- U moet beschikbare SCU's (Security Compute Units) hebben.
- Voorwaardelijke Toegangsbeheerder en Beveiligingsbeheerder rollen kunnen gefaseerde implementatie-instellingen wijzigen.
- Tenants moeten over ten minste vijf gedefinieerde groepen beschikken die momenteel worden gebruikt in het beleid voor voorwaardelijke toegang, zodat de agent een gefaseerd implementatieplan kan genereren.
Hoe het werkt
Elk beleid voor alleen rapporten dat van toepassing is op alle gebruikers , komt in aanmerking voor een gefaseerde implementatie. De agent kan een gefaseerd implementatieplan voorstellen voor beleid dat wordt gemaakt, of beheerders kunnen gefaseerde implementatie toepassen op elk bestaand beleid voor alleen rapporten dat is gericht op alle gebruikers. De agent analyseert aanmeldingsgegevens en bestaand beleid om een gefaseerd implementatieplan te definiëren.
Omdat er vijf afzonderlijke fasen voor een implementatieplan zijn, moet u ten minste vijf groepen hebben om het implementatieplan toe te passen. Om te bepalen welke groepen moeten worden gebruikt, bekijkt de agent groepen die eerder waren of die momenteel worden gebruikt in het beleid voor voorwaardelijke toegang. De agent bekijkt deze groepen om te zien hoe andere beleidsregels voor voorwaardelijke toegang deze hebben beïnvloed om potentiële impact te meten. De agent kijkt naar de grootte van de groepen en gebruikt vervolgens al deze factoren om de groepen toe te wijzen aan de fasen die beginnen met de groepen met lage impact en eindigend met de hogere impactgroepen.
Er zijn drie stappen in het gefaseerde implementatieproces:
- Agent identificeert een beleid voor alleen rapporten voor gefaseerde implementatie
- Beheerder beoordeelt, bewerkt en accepteert het implementatieplan
- De beheerder voert het goedgekeurde implementatieplan uit
U kunt de groepen in elke fase bekijken en wijzigingen aanbrengen vóór en tijdens de gefaseerde implementatie. Wanneer de eerste fase wordt gestart, wordt er een nieuw beleid gemaakt en ingeschakeld voor de groepen die in de eerste fase zijn opgenomen. Het oorspronkelijke rapportmodusbeleid blijft intact.
Agent identificeert een beleid voor alleen rapporten voor gefaseerde implementatie
De agent kan een gefaseerd implementatieplan voorstellen wanneer er nieuwe beleidsregels of bestaand beleid voor alleen rapporten worden gemaakt dat gericht is op alle gebruikers. De implementatieplannen omvatten vijf fasen, beginnend met kleine, laag-risicogroepen en voortgang naar grotere, risicogroepen met een hoog risico. Er zijn een aantal manieren om de gefaseerde implementatiesuggesties in de Microsoft Entra-beheercentrum te vinden:
Zoek voor door agents gemaakte beleidsregels naar voorgestelde gefaseerde implementatie in de kolom Acties die door agent zijn uitgevoerd in de lijst met suggesties.
Voor bestaande beleidsregels voor alleen rapporten bladert u naar het tabblad Gefaseerde implementatie op de pagina Voorwaardelijke toegang - Beleid . Dit speciale tabblad biedt een volledige levenscyclusweergave van uw gefaseerde implementatieproces.
Gebruik de knop Beleid weergeven die in aanmerking komt voor gefaseerde implementatiefilter in de lijst met beleidsregels voor voorwaardelijke toegang om beleid te vinden dat in aanmerking komt voor een gefaseerde implementatie.
Beheerder beoordeelt, bewerkt en accepteert het implementatieplan
Beheerders moeten de details van het plan bekijken, inclusief de groepen die in elke fase zijn opgenomen, de timing van elke fase en hoe het plan wordt uitgevoerd.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Beveiligingsbeheerder.
Blader naar agent voor optimalisatie van voorwaardelijke toegang of voorwaardelijke toegang: beleid en selecteer een beleid met de gefaseerde implementatiesuggesties.
- Selecteer op de pagina Voorwaardelijke toegang - Beleid het plan genereren in het deelvenster dat wordt geopend.
Selecteer beoordelingsfasen op de pagina met beleidsdetails van de optimalisatieagent voor voorwaardelijke toegang of nadat het plan is gegenereerd.
Selecteer Groepen bewerken om de groepen in de fase te bewerken.
Selecteer de knop Gefaseerde implementatie starten in het deelvenster met beleidsdetails of de pagina met gefaseerde implementatiedetails. De agent maakt het nieuwe beleid in de alleen-rapportmodus.
Aanbeveling
U kunt de uitrol pauzeren of de uitrol op elk gewenst moment als voltooid markeren.
De beheerder voert het goedgekeurde implementatieplan uit
Zodra u een gefaseerde implementatie start, helpt de agent u bij de voortgang. De suggestie voor een gefaseerde implementatie is aanwezig tijdens het implementatieproces en kan weinig tot geen actie vereisen, een suggestie doen om door te gaan naar de volgende fase, of een suggestie om terug te draaien. De richtlijnen worden weergegeven in zowel de Conditional Access Optimization Agent-suggestielijst als de Conditional Access - Beleidsregels-lijst. Beide beleidsregels geven aan dat de gefaseerde implementatie wordt uitgevoerd.
U krijgt verschillende opties voor het beheren van de gefaseerde implementatie tijdens de implementatie. Tijdens elke fase bewaakt de agent de activiteit met betrekking tot het beleid om ervoor te zorgen dat er geen fouten of problemen zijn. U kunt de groepen aanpassen voor fasen die nog niet zijn gestart. Navigeren tussen fasen of het voltooien van de implementatie wordt uitgevoerd met behulp van de knoppen boven aan de pagina.
- Selecteer Naar volgende fase gaan om elke fase van de implementatie door te voeren.
- Selecteer Terugdraaien naar vorige fase om de huidige fase te annuleren en terug te keren naar de vorige fase.
- Selecteer De implementatie markeren als voltooid om het nieuwe beleid toe te passen op alle groepen en de implementatie te voltooien.
Ingebouwde beveiligingen
Zodra de gefaseerde implementatie is gestart, kunt u de toekenningsbesturingselementen van het beleid niet bijwerken. Als er wijzigingen worden aangebracht in de besturingselementen voor toekenning, wordt de gefaseerde implementatie geannuleerd. Als in een fase meer dan 10% aanmeldingen worden geblokkeerd door het nieuwe beleid, wordt de implementatie onmiddellijk onderbroken. De beheerder wordt op de hoogte gesteld en er wordt hulp geboden bij het oplossen van problemen. Dit rapport bevat een rapport met de reden waarom aanmeldingen zijn mislukt. Deze richtlijnen worden altijd weergegeven wanneer een terugdraaiactie wordt aanbevolen, zodat beheerders snel problemen kunnen identificeren en oplossen voordat de implementatie wordt hervat.
Signalen die worden gebruikt voor gefaseerde aanbevelingen voor implementatiegroepen
Om een veilige en effectieve implementatie van beleid voor voorwaardelijke toegang te garanderen, analyseert de agent voor optimalisatie van voorwaardelijke toegang verschillende belangrijke signalen om de beste groepen voor elke implementatiefase aan te bevelen. Deze aanpak helpt onderbrekingen te minimaliseren terwijl de beveiligingsdekking wordt gemaximaliseerd.
- Groepsgrootte en bereik: De agent beschouwt de grootte van elke groep ten opzichte van uw totale gebruikersbestand. Beginnen met kleinere, representatieve groepen maken veiliger testen mogelijk voordat ze worden uitgebreid naar bredere populaties.
-
Historische beleidsprestaties: De agent analyseert hoe gebruikers in een groep in de loop van de tijd met bestaande beleidsregels hebben gecommuniceerd.
- Hoge slagingspercentages geven aan dat gebruikers al voldoen aan de beveiligingsvereisten.
- Hoge bloksnelheden kunnen potentiële wrijvingspunten aangeven die adressering nodig hebben vóór een strikte implementatie.
- De agent bekijkt ook hoe vaak beleidsregels van toepassing zijn op de aanmeldingen van de groep.
- Gebruikspatronen: De agent beoordeelt het volume van de activiteit voor elke groep. Groepen met hoge activiteitsniveaus bieden meer gegevenspunten voor validatie, terwijl groepen met weinig activiteit mogelijk onvoldoende signalen genereren voor een betrouwbare testfase.
- Bestaande beveiligingscontroles: de agent identificeert welke typen besturingselementen al effectief zijn voor de groep om effectief nieuwe beleidstypen voor te stellen, waardoor de kans op verwarring of vergrendeling van gebruikers wordt verminderd.
- Recente beheercontext: De agent beschouwt groepen die onlangs zijn betrokken bij beleidswijzigingen of beheeracties, om ervoor te zorgen dat suggesties actueel zijn en de meest recente wijzigingen van de organisatie weerspiegelen, in plaats van alleen te vertrouwen op statische groepsdefinities.
Veelgestelde vragen
Hoe werkt de gefaseerde implementatiemogelijkheid?
Nadat u de groepen hebt geselecteerd waarop elke fase van toepassing is, maakt de agent een dubbel beleid voor voorwaardelijke toegang dat alleen de groep van de eerste fase bevat. Het oorspronkelijke beleid voor voorwaardelijke toegang blijft behouden in de modus alleen voor rapporten en is gericht op alle gebruikers, zodat u gegevens kunt blijven verzamelen. Wanneer de implementatie naar de volgende fase gaat, wordt de batch met groepen toegevoegd aan het ingeschakelde beleid voor voorwaardelijke toegang. De agent controleert hoe elke fase van invloed is op de aanmeldingen die aan dit beleid zijn gekoppeld. Als het slagingspercentage lager is dan 90%, stopt de gefaseerde implementatie en wordt het ingeschakelde beleid weer in de modus alleen-rapporteren geplaatst. Vervolgens kunt u de logboeken bekijken om te bepalen waarom aanmeldingen mislukken voordat de gefaseerde implementatie opnieuw werd uitgevoerd.
Moet ik gefaseerde implementatie inschakelen?
De gefaseerde implementatiefunctie is standaard ingeschakeld. Als u dit wilt uitschakelen, gaat u naar het tabblad Instellingen op de pagina Voorwaardelijke toegangsoptimalisatieagent. Schakel onder Gefaseerde implementatie de wisselknop in op Uit.