Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De agent voor optimalisatie van voorwaardelijke toegang voor Microsoft Entra bevat een gefaseerde implementatiemogelijkheid waarmee organisaties veilig en efficiënt nieuwe beleidsregels voor voorwaardelijke toegang kunnen implementeren. Met deze Microsoft Security Copilot-functie in Microsoft Entra kunnen beheerders beleidsregels geleidelijk introduceren, hun impact bewaken en onderbrekingen minimaliseren. Deze gefaseerde implementatiefunctie biedt een geleidelijke implementatie van nieuw beleid om de kans op wijdverspreide onderbrekingen voor eindgebruikers te minimaliseren en de noodzaak van handmatige analyse en planning te verminderen, weken van inspanning te besparen. Net als bij alle aspecten van de Conditionele Toegangsoptimalisatie-agent behouden beheerders volledige controle over de beleidswijzigingen, zoals groepsselectie, implementatietempo en uitrol. Duidelijke redenering voor het implementatieplan wordt ook geboden om transparantie te behouden.
In dit artikel wordt uitgelegd hoe het gefaseerde implementatieproces werkt, de vereisten beschrijft en de ingebouwde beveiligingen beschrijft die een soepele implementatie garanderen.
Vereiste voorwaarden
- U moet ten minste de Licentie voor Microsoft Entra ID P1 hebben.
- U moet beschikbare SCU's (Security Compute Units) hebben.
- Voorwaardelijke Toegangsbeheerder en Beveiligingsbeheerder rollen kunnen gefaseerde implementatie-instellingen wijzigen.
- Tenants moeten ten minste vijf gedefinieerde groepen hebben die momenteel worden gebruikt in beleid voor voorwaardelijke toegang voor de agent om een gefaseerd implementatieplan te genereren.
Hoe het werkt
Wanneer de optimalisatie-agent voor voorwaardelijke toegang een nieuw beleid maakt in de alleen rapporteren-modus, kan hij voorstellen om het beleid gefaseerd in te schakelen. De agent analyseert aanmeldingsgegevens en bestaand beleid om een gefaseerd implementatieplan te definiëren.
Beleidsregels die zijn bedoeld om van toepassing te zijn op alle gebruikers en moeten worden ingeschakeld, komen in aanmerking voor een gefaseerde implementatie. Omdat er vijf afzonderlijke fasen voor een implementatieplan zijn, moet u ten minste vijf groepen hebben om het implementatieplan toe te passen. Om te bepalen welke groepen moeten worden gebruikt, bekijkt de agent groepen die eerder waren of die momenteel worden gebruikt in het beleid voor voorwaardelijke toegang. De agent bekijkt deze groepen om te zien hoe andere beleidsregels voor voorwaardelijke toegang deze hebben beïnvloed om potentiële impact te meten. De agent kijkt naar de grootte van de groepen en gebruikt vervolgens al deze factoren om de groepen toe te wijzen aan de fasen die beginnen met de groepen met lage impact en eindigend met de hogere impactgroepen.
Er zijn drie stappen in het gefaseerde implementatieproces:
- Agent maakt een beleid voor alleen rapporten met een gefaseerde implementatie
- Beheerder beoordeelt, bewerkt en accepteert het implementatieplan
- Agent of beheerder voert het goedgekeurde implementatieplan uit
U kunt de groepen in elke fase bekijken en wijzigingen aanbrengen vóór en tijdens de gefaseerde implementatie. Wanneer de eerste fase wordt gestart, wordt er een nieuw beleid gemaakt en ingeschakeld voor de groepen die in de eerste fase zijn opgenomen. Het oorspronkelijke rapportmodusbeleid blijft intact.
Agent maakt een beleid voor alleen rapporten met een gefaseerde implementatie
De agent maakt een beleid voor alleen rapporten en bouwt een afzonderlijk gefaseerd implementatieplan. De implementatieplannen omvatten vijf fasen, beginnend met kleine, laag-risicogroepen en voortgang naar grotere, risicogroepen met een hoog risico.
Zoek in de lijst met suggesties van de agent naar Voorgestelde gefaseerde implementatie in de kolom Acties die door de agent zijn uitgevoerd .
Beheerder beoordeelt, bewerkt en accepteert het implementatieplan
Beheerders moeten de details van het plan bekijken, inclusief de groepen die in elke fase zijn opgenomen, de timing van elke fase en hoe het plan wordt uitgevoerd.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beveiligingsbeheerder.
Blader naar Agent voor de optimalisatie van voorwaardelijke toegang en selecteer de knop Controleer suggesties voor een beleidssuggestie met een gefaseerde implementatie.
Selecteer Beoordelingsfasen op de pagina met beleidsdetails.
Selecteer Groepen bewerken om de groepen in de fase te bewerken.
Selecteer de knop Gefaseerde implementatie starten in het deelvenster met beleidsdetails of de pagina met gefaseerde implementatiedetails. De agent maakt het nieuwe beleid in de alleen-rapportmodus.
Aanbeveling
U kunt de uitrol pauzeren of de uitrol op elk gewenst moment als voltooid markeren.
De beheerder voert het goedgekeurde implementatieplan uit
U krijgt verschillende opties voor het beheren van de gefaseerde implementatie tijdens de implementatie. Tijdens elke fase bewaakt de agent de activiteit met betrekking tot het beleid om ervoor te zorgen dat er geen fouten of problemen zijn. U kunt de groepen aanpassen voor fasen die nog niet zijn gestart. Navigeren tussen fasen of het voltooien van de implementatie wordt uitgevoerd met behulp van de knoppen boven aan de pagina.
- Selecteer Naar volgende fase gaan om elke fase van de implementatie door te voeren.
- Selecteer Terugdraaien naar vorige fase om de huidige fase te annuleren en terug te keren naar de vorige fase.
- Selecteer De implementatie markeren als voltooid om het nieuwe beleid toe te passen op alle groepen en de implementatie te voltooien.
Ingebouwde beveiligingen
Zodra de gefaseerde implementatie is gestart, kunt u de toekenningsbesturingselementen van het beleid niet bijwerken. Als er wijzigingen worden aangebracht in de besturingselementen voor toekenning, wordt de gefaseerde implementatie geannuleerd. Als in een fase meer dan 10% aanmeldingen worden geblokkeerd door het nieuwe beleid, wordt de implementatie onmiddellijk onderbroken. De beheerder krijgt een melding zodat de details kunnen worden gecontroleerd en mogelijk worden gewijzigd.
Veelgestelde vragen
Hoe werkt de gefaseerde implementatiemogelijkheid?
Nadat u de groepen hebt geselecteerd waarop elke fase van toepassing is, maakt de agent een dubbel beleid voor voorwaardelijke toegang dat alleen de groep van de eerste fase bevat. Het oorspronkelijke beleid voor voorwaardelijke toegang blijft behouden in de modus alleen voor rapporten en is gericht op alle gebruikers, zodat u gegevens kunt blijven verzamelen. Wanneer de implementatie naar de volgende fase gaat, wordt de batch met groepen toegevoegd aan het ingeschakelde beleid voor voorwaardelijke toegang. De agent controleert hoe elke fase van invloed is op de aanmeldingen die aan dit beleid zijn gekoppeld. Als het slagingspercentage lager is dan 90%, stopt de gefaseerde implementatie en wordt het ingeschakelde beleid weer in de modus alleen-rapporteren geplaatst. Vervolgens kunt u de logboeken bekijken om te bepalen waarom aanmeldingen mislukken voordat de gefaseerde implementatie opnieuw werd uitgevoerd.
Moet ik gefaseerde implementatie inschakelen?
De gefaseerde implementatiefunctie is standaard ingeschakeld. Als u dit wilt uitschakelen, gaat u naar het tabblad Instellingen op de pagina Voorwaardelijke toegangsoptimalisatieagent. Schakel onder Gefaseerde implementatie de wisselknop in op Uit.