Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’Agent d’optimisation de l’accès conditionnel pour Microsoft Entra inclut une fonctionnalité de déploiement par phases qui aide les organisations à déployer de nouvelles stratégies d’accès conditionnel en toute sécurité et efficacement. Cette fonctionnalité Microsoft Security Copilot dans Microsoft Entra permet aux administrateurs d’introduire progressivement des stratégies, de surveiller leur impact et de réduire les interruptions. Cette fonctionnalité de déploiement par phases fournit un déploiement progressif de nouvelles stratégies afin de réduire le risque d’interruption généralisée pour les utilisateurs finaux et de réduire la nécessité d’une analyse manuelle et de la planification, ce qui permet d’économiser des semaines d’effort. Comme avec tous les aspects de l’Agent d’optimisation de l’accès conditionnel, les administrateurs conservent le contrôle total des modifications de stratégie, telles que la sélection de groupe, le rythme de déploiement et le déploiement. Un raisonnement clair pour le plan de lancement est également fourni pour maintenir la transparence.
Cet article explique comment fonctionne le processus de déploiement par phases, décrit les prérequis et décrit les protections intégrées qui permettent de garantir un déploiement fluide.
Prerequisites
- Vous devez disposer au moins de la licence Microsoft Entra ID P1 .
- Vous devez disposer d’unités de calcul de sécurité (SCU) disponibles.
- Les rôles Administrateur d’accès conditionnel et Administrateur de sécurité peuvent modifier les paramètres de déploiement par phases.
- Les locataires doivent avoir au moins cinq groupes définis qui sont actuellement utilisés dans les stratégies d’accès conditionnel pour que l’agent génère un plan de déploiement par phases.
Fonctionnement
Lorsque l’Agent d’optimisation de l’accès conditionnel crée une stratégie en mode rapport uniquement, il peut suggérer d’activer la stratégie avec un déploiement par phases. L’agent analyse les données de connexion et les stratégies existantes pour définir un plan de déploiement par phases.
Les stratégies destinées à s’appliquer à tous les utilisateurs et doivent être activées peuvent être déployées par phases. Étant donné qu’il existe cinq phases distinctes à un plan de déploiement, vous devez disposer d’au moins cinq groupes pour que le plan de déploiement s’applique. Pour déterminer les groupes à utiliser, l’agent examine les groupes qui étaient précédemment ou actuellement utilisés dans les stratégies d’accès conditionnel. L’agent examine ces groupes pour voir comment d’autres stratégies d’accès conditionnel les ont affectées, pour évaluer l’impact potentiel. L’agent examine la taille des groupes, puis utilise tous ces facteurs pour affecter les groupes aux phases commençant par les groupes à faible impact et se terminant par les groupes d’impact plus élevés.
Il existe trois étapes dans le processus de déploiement par phases :
- L’agent crée une stratégie de rapport uniquement avec un déploiement par phases
- Révisions, modifications et acceptations du plan de déploiement par l’administrateur
- Agent ou Administrateur exécute le plan de déploiement approuvé
Vous pouvez examiner les groupes inclus dans chaque phase et apporter des modifications avant et pendant le déploiement par phases. Au démarrage de la première phase, une nouvelle stratégie est créée et activée pour les groupes inclus dans la première phase. La stratégie de mode rapport uniquement d’origine reste intacte.
L’agent crée une stratégie de rapport uniquement avec un déploiement par phases
L’agent crée une stratégie uniquement de rapport et élabore un plan de déploiement distinct par phases. Les plans de lancement comprennent cinq phases, en commençant par de petits groupes à faible risque et en progressant vers des groupes à risque plus importants et à haut risque.
Dans la liste des suggestions de l’agent, recherchez le déploiement par phases suggérés dans la colonne Actions effectuées par agent .
Révisions, modifications et acceptations du plan de déploiement par l’administrateur
Les administrateurs doivent examiner les détails du plan, y compris les groupes inclus dans chaque phase, le minutage de chaque phase et la façon dont le plan est exécuté.
Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.
Accédez à l’Agent d’optimisation de l’accès conditionnel et sélectionnez le bouton Vérifier les suggestions pour une suggestion de stratégie qui inclut un déploiement par phases.
Dans la page détails de la stratégie, sélectionnez Phases de révision.
Sélectionnez Modifier les groupes pour modifier les groupes inclus dans la phase.
Sélectionnez le bouton Démarrer le déploiement par phases dans le volet détails de la stratégie ou dans la page détails du déploiement par phases. L’agent crée la nouvelle stratégie en mode rapport uniquement.
Conseil / Astuce
Vous pouvez suspendre le déploiement ou marquer la fin du déploiement à tout moment.
L’administrateur exécute le plan de déploiement approuvé
Vous disposez de plusieurs options pour gérer le déploiement par phases pendant le déploiement. Pendant chaque phase, l’agent surveille l’activité liée à la stratégie pour vous assurer qu’il n’y a pas d’erreurs ou de problèmes. Vous pouvez ajuster les groupes pour les phases qui n’ont pas encore démarré. Le déplacement entre les phases ou la fin du déploiement est effectué à l’aide des boutons en haut de la page.
- Sélectionnez Passer à la phase suivante pour avancer chaque phase du déploiement.
- Sélectionnez Restaurer la phase précédente pour annuler la phase actuelle et revenir à la phase précédente.
- Sélectionnez Marquer le déploiement comme terminé pour appliquer la nouvelle stratégie à tous les groupes et terminer le déploiement.
Protections intégrées
Une fois le déploiement par phases commencé, vous ne pouvez pas mettre à jour les contrôles d’octroi de la stratégie. Si des modifications sont apportées aux contrôles d’octroi, le déploiement par phases est annulé. Si plus de 10% de connexions sont bloquées par la nouvelle stratégie pendant toute phase, le déploiement est immédiatement suspendu. L’administrateur est averti afin que les détails puissent être examinés et potentiellement modifiés.
Questions fréquemment posées
Comment fonctionne la fonctionnalité de déploiement par phases ?
Après avoir sélectionné les groupes auxquels chaque phase s’applique, l’agent crée une stratégie d’accès conditionnel en double qui inclut uniquement le groupe de la première phase. La stratégie d’accès conditionnel d’origine persiste en mode rapport uniquement et cible tous les utilisateurs. Vous pouvez donc continuer à collecter des données. Lorsque le déploiement passe à la phase suivante, le lot de groupes est ajouté à la stratégie d’accès conditionnel activée. L'agent surveille la façon dont chaque étape affecte les connexions utilisateur associées à cette politique. Si le taux de réussite tombe en dessous de 90%, le déploiement par phases s’arrête et la stratégie activée est placée en mode rapport uniquement. Vous pouvez ensuite passer en revue les logs pour déterminer pourquoi les connexions échouaient précédemment avant de tenter à nouveau le déploiement par phases.
Dois-je activer le déploiement par phases ?
La fonctionnalité de déploiement par phases est activée par défaut. Pour le désactiver, accédez à l’onglet Paramètres de la page Agent d’optimisation de l’accès conditionnel. Sous Déploiement par phases, basculez vers Désactivé.