Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Agente de optimización de acceso condicional para Microsoft Entra incluye una funcionalidad de lanzamiento por fases que ayuda a las organizaciones a implementar nuevas directivas de acceso condicional de forma segura y eficaz. Esta característica de Microsoft Security Copilot en Microsoft Entra permite a los administradores introducir directivas gradualmente, supervisar su impacto y minimizar las interrupciones. Esta funcionalidad de lanzamiento por fases proporciona una implementación gradual de nuevas directivas para minimizar la posibilidad de una interrupción generalizada a los usuarios finales y reducir la necesidad de análisis y planeamiento manuales, lo que ahorra semanas de esfuerzo. Al igual que con todos los aspectos del Agente de optimización de acceso condicional, los administradores conservan el control total de los cambios de directiva, como la selección de grupos, el ritmo de lanzamiento y la implementación. También se proporciona un razonamiento claro para el plan de lanzamiento para mantener la transparencia.
En este artículo se explica cómo funciona el proceso de implementación por fases, se describen los requisitos previos y se describen las medidas de seguridad integradas que ayudan a garantizar una implementación sin problemas.
Prerrequisitos
- Debe tener al menos la licencia de Microsoft Entra ID P1 .
- Debe disponer de unidades de cálculo de seguridad (SCU) disponibles.
- Los roles Administrador de acceso condicional y Administrador de seguridad pueden modificar la configuración de implementación por fases.
- Los inquilinos deben tener al menos cinco grupos definidos que se usan actualmente en las directivas de acceso condicional para que el agente genere un plan de lanzamiento por fases.
Cómo funciona
Cuando el Agente de optimización de acceso condicional crea una nueva directiva en modo de solo informe, puede sugerir activar la directiva con una implementación por fases. El agente analiza los datos de inicio de sesión y las directivas existentes para definir un plan de lanzamiento por fases.
Las directivas destinadas a aplicarse a todos los usuarios y que deben activarse son aptas para un lanzamiento por fases. Dado que hay cinco fases distintas en un plan de implementación, debe tener al menos cinco grupos para que se aplique el plan de lanzamiento. Para determinar qué grupos usar, el agente examina los grupos que se usaron anteriormente o que se usan actualmente en las directivas de acceso condicional. El agente examina esos grupos para ver cómo otras directivas de acceso condicional las afectan, para medir el posible impacto. El agente examina el tamaño de los grupos y, a continuación, usa todos estos factores para asignar los grupos a las fases a partir de los grupos de impacto bajo y terminar con los grupos de impacto más altos.
Hay tres pasos en el proceso de lanzamiento por fases:
- El agente crea una directiva de solo informe con una implementación por fases
- Revisiones, modificaciones y acepta el plan de lanzamiento
- El agente o el administrador ejecutan el plan de lanzamiento aprobado
Puede revisar los grupos incluidos en cada fase y realizar cambios antes y durante el lanzamiento por fases. Cuando se inicia la primera fase, se crea una nueva directiva y se activa para los grupos incluidos en la primera fase. La directiva de modo de solo informe original permanece intacta.
El agente crea una directiva de solo informe con una implementación por fases
El agente crea una política de solo reporte y construye un plan de lanzamiento por fases separado. Los planes de implementación incluyen cinco fases, empezando por grupos pequeños y de bajo riesgo y progresando a grupos de alto riesgo más grandes.
En la lista de sugerencias del agente, busque Implementación por fases sugerida en la columna Acciones realizadas por agente .
Revisiones, modificaciones y acepta el plan de lanzamiento
Los administradores deben revisar los detalles del plan, incluidos los grupos incluidos en cada fase, el tiempo de cada fase y cómo se ejecuta el plan.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.
Vaya al Agente de optimización de acceso condicional y seleccione el botón Revisar sugerencias para obtener una sugerencia de directiva que incluya una implementación por fases.
En la página de detalles de la política, seleccione Revisión de fases.
Seleccione Editar grupos para editar los grupos incluidos en la fase.
Seleccione el botón Iniciar implementación por fases en el panel de detalles de la directiva o en la página de detalles del lanzamiento por fases. El agente crea la nueva directiva en modo de solo informe.
Sugerencia
Puede pausar el lanzamiento o marcar el lanzamiento completado en cualquier momento.
El administrador ejecuta el plan de lanzamiento aprobado.
Se proporcionan varias opciones para administrar la implementación por fases durante la implementación. Durante cada fase, el agente supervisa la actividad relacionada con la directiva para asegurarse de que no hay errores ni problemas. Puede ajustar los grupos para las fases que aún no se han iniciado. Pasar entre fases o completar la implementación se realiza mediante los botones de la parte superior de la página.
- Seleccione Mover a la siguiente fase para avanzar en cada fase del lanzamiento.
- Seleccione Revertir a la fase anterior para cancelar la fase actual y volver a la fase anterior.
- Seleccione Marcar lanzamiento como completado para aplicar la nueva directiva a todos los grupos y completar la implementación.
Medidas de seguridad integradas
Una vez que comience el lanzamiento por fases, no podrá actualizar los controles de otorgamiento de la directiva. Si se realizan cambios en los controles de concesión, se cancela la implementación por fases. Si la nueva política bloquea más del 10% de los inicios de sesión durante cualquier fase, el lanzamiento se pausa inmediatamente. Se notifica al administrador para que los detalles se puedan revisar y modificar potencialmente.
Preguntas más frecuentes
¿Cómo funciona la funcionalidad de lanzamiento por fases?
Después de seleccionar los grupos a los que se aplica cada fase, el agente crea una directiva de acceso condicional duplicada que solo incluye el grupo de la primera fase. La directiva de acceso condicional original persiste en modo de solo informe y tiene como destino a todos los usuarios, por lo que puede seguir recopilando datos. Cuando la implementación avanza a la siguiente fase, el lote de grupos se agrega a la directiva de acceso condicional habilitada. El agente supervisa cómo afecta cada fase a los inicios de sesión asociados a esta directiva. Si la tasa de éxito cae por debajo de 90%, la implementación por fases se detiene y la directiva habilitada se vuelve a colocar en modo de solo informe. A continuación, puede revisar los registros para determinar por qué se produjeron errores en los inicios de sesión antes de volver a intentar la implementación por fases.
¿Tengo que activar el lanzamiento por fases?
La funcionalidad de lanzamiento por fases está activada de forma predeterminada. Para desactivarlo, vaya a la pestaña Configuración de la página Agente de optimización de acceso condicional. En Lanzamiento por fases, cambie la palanca de alternancia a Desactivado.