Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Optimierungs-Agent für bedingten Zugriff für Microsoft Entra enthält eine phasenweise Rolloutfunktion, mit der Organisationen neue Richtlinien für bedingten Zugriff sicher und effizient bereitstellen können. Mit diesem Microsoft Security Copilot-Feature in Microsoft Entra können Administratoren Richtlinien schrittweise einführen, ihre Auswirkungen überwachen und Unterbrechungen minimieren. Diese phasenweise Einführungsfunktion bietet schrittweise Bereitstellung neuer Richtlinien, um die Wahrscheinlichkeit einer weit verbreiteten Unterbrechung für Endbenutzer zu minimieren und den Bedarf an manueller Analyse und Planung zu verringern, was wochenlangen Aufwand spart. Wie bei allen Aspekten des Optimierungs-Agents für bedingten Zugriff behalten Administratoren die vollständige Kontrolle über die Richtlinienänderungen, z. B. Gruppenauswahl und Rollout-Pacing. Klare Gründe für den Rolloutplan werden auch zur Wahrung der Transparenz bereitgestellt.
In diesem Artikel wird erläutert, wie der phasenweise Rolloutprozess funktioniert, die Voraussetzungen skizziert und die integrierten Sicherheitsvorkehrungen beschrieben, die eine reibungslose Bereitstellung gewährleisten.
Voraussetzungen
- Sie müssen mindestens über die Microsoft Entra ID P1-Lizenz verfügen.
- Sie müssen über Security Compute Units (SCU) verfügen.
- Die Rollen "Sicherheitsleseberechtigter " und "Globaler Leser " können den Agent und alle Vorschläge anzeigen, jedoch keine Aktionen ausführen.
- Die Rollen "Administrator für bedingten Zugriff", "Sicherheitsadministrator" und "Globaler Administrator" können den Agent anzeigen und Maßnahmen für die Vorschläge ergreifen.
- Mandanten müssen mindestens fünf definierte Gruppen aufweisen, die derzeit in Richtlinien für den bedingten Zugriff für den Agent verwendet werden, um einen phasenweisen Rolloutplan zu generieren.
Funktionsweise
Wenn der Optimierungs-Agent für bedingten Zugriff eine neue Richtlinie im Nur-Berichtsmodus erstellt, kann er vorschlagen, die Richtlinie mit einem stufenweisen Rollout zu aktivieren. Der Agent analysiert Anmeldedaten und vorhandene Richtlinien, um einen phasenweisen Rolloutplan zu definieren.
Richtlinien, die für alle Benutzer gelten sollen und aktiviert werden müssen, sind für einen phasenweisen Rollout berechtigt. Da es fünf unterschiedliche Phasen für einen Rolloutplan gibt, müssen Sie mindestens fünf Gruppen haben, damit der Rolloutplan angewendet werden kann. Um zu ermitteln, welche Gruppen verwendet werden sollen, untersucht der Agent Gruppen, die zuvor in Richtlinien für bedingten Zugriff verwendet wurden oder derzeit verwendet wurden. Der Agent untersucht diese Gruppen, um zu sehen, wie andere Richtlinien für bedingten Zugriff sie betroffen sind, um potenzielle Auswirkungen zu messen. Der Agent untersucht die Größe der Gruppen und verwendet dann alle diese Faktoren, um die Gruppen den Phasen zuzuweisen, die mit den Gruppen mit geringen Auswirkungen beginnen und mit den Gruppen mit höheren Auswirkungen enden.
Es gibt drei Schritte im phasenweisen Rolloutprozess:
- Der Agent erstellt eine Nur-Bericht-Richtlinie mit einem phasenweisen Rollout
- Administratorüberprüfungen, Bearbeitungen und Akzeptiert den Rolloutplan
- Agent oder Administrator führt den genehmigten Rolloutplan aus
Sie können die in jeder Phase enthaltenen Gruppen und die Anzahl der Tage zwischen jeder Phase überprüfen und Änderungen vor und während des phasenweisen Rollouts vornehmen. Sie können jederzeit während des Rollouts entscheiden, ob der Plan vom Agent ausgeführt wird, oder Sie können jede Phase des Plans manuell ausführen.
Unabhängig davon, wie der Plan ausgeführt wird oder Wenn Sie Änderungen am Plan vorgenommen haben, wird beim Start der ersten Phase eine neue Richtlinie erstellt und für die Gruppen aktiviert, die in der ersten Phase enthalten sind. Die ursprüngliche Richtlinie für den reinen Berichtsmodus bleibt erhalten.
Der Agent erstellt eine Nur-Bericht-Richtlinie mit einem phasenweisen Rollout
Der Agent erstellt eine Nur-Bericht-Richtlinie und erstellt einen separaten phasenweisen Rolloutplan. Die Rolloutpläne umfassen fünf Phasen, beginnend mit kleinen, risikoarmen Gruppen und dem Fortschritt zu größeren Risikogruppen.
Suchen Sie in der Liste der Vorschläge des Agents in der Spalte "Aktionen von Agent" nach "Vorgeschlagene Phasenrollouts".
Administratorüberprüfungen, Bearbeitungen und Akzeptiert den Rolloutplan
Administratoren müssen die Details des Plans überprüfen, einschließlich der gruppen, die in jeder Phase enthalten sind, die Anzeigedauer jeder Phase und die Art und Weise, wie der Plan ausgeführt wird.
Melden Sie sich mindestens als Sicherheitsadministrator beim Microsoft Entra Admin Center an.
Navigieren Sie zum Optimierungs-Agent für bedingten Zugriff und wählen Sie die Schaltfläche Vorschläge überprüfen für einen Richtlinienvorschlag aus, der einen phasenweisen Rollout enthält.
Wählen Sie auf der Seite "Richtliniendetails" die Option "Überprüfungsphasen" aus.
Wählen Sie "Gruppen bearbeiten" aus, um die in der Phase enthaltenen Gruppen zu bearbeiten.
Wählen Sie den Abwärtspfeil auf der Schaltfläche "Phasen automatisch bereitstellen" aus, um einen Ausführungsmodus auszuwählen.
- Automatisches Rollout von Phasen: Der Agent führt jede Phase automatisch basierend auf Zeit- und Auswirkungssignalen aus.
- Manuelles Rollout von Phasen: Der Administrator wechselt manuell zu jeder Phase des Rollouts.
Tipp
Sie können jederzeit mit automatischen und manuellen Rolloutplänen eingreifen. Sie können die Ausführungsmodi auch jederzeit während des Rollouts ändern.
So passen Sie die Zeit zwischen Phasen an:
- Navigieren Sie über den Optimierungs-Agent für bedingten Zugriff zur Registerkarte "Einstellungen ".
- Passen Sie die Tage zwischen Phasen im Abschnitt "Phasenrollout " an.
- Wählen Sie dann die Schaltfläche Speichern, um die Änderungen zu anzuwenden.
Weitere Informationen finden Sie in den Phasenrollouteinstellungen.
Agent oder Administrator führt den genehmigten Rolloutplan aus.
Die verfügbaren Optionen zum Verwalten des phasenweisen Rollouts unterscheiden sich bei der automatischen und manuellen Ausführung.
Automatisches Rollout von Phasen
Wenn Sie das automatische Rollout ausgewählt haben, führt der Agent den Plan automatisch aus, indem eine neue, aktivierte Richtlinie erstellt wird, die für alle Gruppen in der ersten Phase gilt. Sobald der Rollout gestartet wird, werden mehrere Steuerelemente angezeigt, um das Rollout zu verwalten.
Der Agent stellt basierend auf dem definierten Zeitplan die Richtlinie in den nächsten Phasen für die Gruppen bereit. Sie können jederzeit während des phasenweisen Rollouts die Ausführung des Plans anhalten oder die verbleibenden Phasen manuell bereitstellen.
Sie können weiterhin zwischen jeder Phase des Rollouts überwachen, um sicherzustellen, dass die Richtlinie die erwarteten Aktionen ausführt. Während die Richtlinie eingeführt wird, verbleibt die ursprüngliche Nur-Bericht-Richtlinie für die verbleibenden Phasen im Nur-Bericht-Modus. Nach Abschluss des phasenweisen Rollouts empfiehlt der Agent, die nur berichtgeschützte Richtlinie beim nächsten Ausführen zu löschen, damit Sie eine saubere Richtlinienliste verwalten können.
Manuelles Rollout von Phasen
Wenn Sie sich entschieden haben, den phasenweisen Rolloutplan manuell auszuführen, stehen Ihnen mehrere Optionen zur Verfügung, um jeden Schritt zu verwalten.
Sie müssen die Nächste Phase auswählen, um jede Phase des Rollouts voranzutreiben. In jeder Phase können Sie zur vorherigen Phase zurückkehren oder sich dafür entscheiden, dass der Agent die verbleibenden Phasen automatisch bereitstellen soll.
Integrierte Sicherheitsvorkehrungen
Nach Beginn des phasenweisen Rollouts können Sie die Berechtigungen der Richtlinie nicht aktualisieren. Wenn Änderungen an der Genehmigungssteuerung vorgenommen werden, wird die phasenweise Einführung abgebrochen. Wenn mehr als 10% von Anmeldungen während einer beliebigen Phase durch die neue Richtlinie blockiert werden, wird das Rollout sofort angehalten. Der Administrator wird benachrichtigt, damit die Details überprüft und potenziell geändert werden können.
Häufig gestellte Fragen
Wie funktioniert die phasenweise Rolloutfunktion?
Nachdem Sie die Gruppen ausgewählt haben, für die jede Phase gilt, erstellt der Agent eine doppelte Richtlinie für bedingten Zugriff, die nur die Gruppe der ersten Phase enthält. Die ursprüngliche Richtlinie für bedingten Zugriff bleibt im Modus "Nur Bericht" erhalten und zielt auf alle Benutzer ab, sodass Sie weiterhin Daten sammeln können. Wenn die Bereitstellung zur nächsten Phase wechselt, wird der Batch von Gruppen zur Richtlinie für den aktivierten bedingten Zugriff hinzugefügt. Der Agent überwacht, wie sich jede Phase auf die mit dieser Richtlinie verknüpften Anmeldungen auswirkt. Wenn die Erfolgsquote unter 90%fällt, wird der phasenweise Rollout beendet, und die aktivierte Richtlinie wird wieder in den Schreibschutzmodus versetzt. Anschließend können Sie die Protokolle überprüfen, um zu ermitteln, warum Anmeldeversuche fehlschlagen, bevor Sie den phasenweisen Rollout erneut versuchen.
Muss ich den phasenweisen Rollout aktivieren?
Die phasenweise Rolloutfunktion ist standardmäßig aktiviert. Um sie zu deaktivieren, wechseln Sie zur Registerkarte "Einstellungen " auf der Seite "Agent für die Optimierung des bedingten Zugriffs". Setzen Sie unter "Phasenrollout" den Umschalter auf "Aus".