Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Agente de Otimização de Acesso Condicional para Microsoft Entra inclui uma funcionalidade de distribuição em fases que ajuda as organizações a implantar novas políticas de Acesso Condicional de forma segura e eficiente. Esse recurso do Microsoft Security Copilot no Microsoft Entra permite que os administradores introduzam políticas gradualmente, monitorem seu impacto e minimizem as interrupções. Essa funcionalidade de distribuição em fases fornece implantação gradual de novas políticas para minimizar a chance de interrupção generalizada para os usuários finais e reduzir a necessidade de análise e planejamento manuais, salvando semanas de esforço. Assim como acontece com todos os aspectos do Agente de Otimização de Acesso Condicional, os administradores mantêm controle total das alterações de política, como seleção de grupo, ritmo de distribuição e implantação. O raciocínio claro para o plano de distribuição também é fornecido para manter a transparência.
Este artigo explica como o processo de distribuição em fases funciona, descreve os pré-requisitos e descreve as proteções internas que ajudam a garantir uma implantação tranquila.
Pré-requisitos
- Você deve ter pelo menos a licença do Microsoft Entra ID P1 .
- Você deve ter unidades de computação de segurança (SCU) disponíveis.
- As funções Administrador de Acesso Condicional e Administrador de Segurança podem modificar as configurações de distribuição em fases.
- Os locatários devem ter pelo menos cinco grupos definidos que atualmente são usados em políticas de Acesso Condicional para o agente gerar um plano de distribuição em fases.
Como funciona
Quando o Agente de Otimização de Acesso Condicional cria uma nova política no modo de apenas relatório, ele pode sugerir ativar a política com uma implementação gradual. O agente analisa dados de entrada e políticas existentes para definir um plano de distribuição em fases.
As políticas destinadas a se aplicar a todos os usuários e que precisam ser ativadas são qualificadas para uma distribuição em fases. Como há cinco fases distintas em um plano de distribuição, você deve ter pelo menos cinco grupos para que o plano de distribuição seja aplicado. Para determinar quais grupos usar, o agente examina grupos que foram anteriormente ou atualmente são usados em políticas de Acesso Condicional. O agente analisa esses grupos para ver como outras políticas de Acesso Condicional as afetaram, para medir o impacto potencial. O agente analisa o tamanho dos grupos e, em seguida, usa todos esses fatores para atribuir os grupos às fases que começam com os grupos de baixo impacto e terminam com os grupos de impacto mais altos.
Há três etapas no processo de distribuição em fases:
- O Agente cria uma política somente relatório com uma distribuição em fases
- O administrador analisa, edita e aceita o plano de distribuição
- O agente ou administrador executa o plano de distribuição aprovado
Você pode examinar os grupos incluídos em cada fase e fazer alterações antes e durante a distribuição em fases. Quando a primeira fase é iniciada, uma nova política é criada e ativada para os grupos incluídos na primeira fase. A política de modo somente relatório original permanece intacta.
O agente cria uma política de relatório apenas com implementação gradual
O agente cria uma política de apenas relatório e elabora um plano de implementação em fases separado. Os planos de distribuição incluem cinco fases, começando com grupos pequenos e de baixo risco e progredindo para grupos maiores e de alto risco.
Na lista de sugestões do agente, procure a distribuição em fases sugerida nas Ações executadas pela coluna do agente .
O administrador analisa, edita e aceita o plano de distribuição
Os administradores precisam examinar os detalhes do plano, incluindo os grupos incluídos em cada fase, o tempo de cada fase e como o plano é executado.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Agente de Otimização de Acesso Condicional e selecione o botão Revisar sugestões para uma sugestão de política que inclui uma implementação faseada.
Na página de detalhes da política, selecione Fases de revisão.
Selecione Editar Grupos para editar os grupos incluídos na fase.
Selecione o botão Iniciar distribuição em fases no painel de detalhes da política ou na página de detalhes de distribuição em fases. O agente cria a nova política no modo de relatório apenas.
Dica
Você pode pausar a distribuição ou marcar a distribuição concluída a qualquer momento.
O administrador executa o plano de distribuição aprovado
Você tem várias opções para gerenciar a distribuição em fases durante a implantação. Durante cada fase, o agente monitora a atividade relacionada à política para garantir que não haja erros ou problemas. Você pode ajustar os grupos para fases que ainda não foram iniciadas. Mover entre fases ou concluir a implantação é feito usando os botões na parte superior da página.
- Selecione Mover para a próxima fase para avançar cada fase da distribuição.
- Selecione Reverter para a fase anterior para cancelar a fase atual e retornar à fase anterior.
- Selecione Marcar implantação como concluída para aplicar a nova política a todos os grupos e concluir a implantação.
Proteções internas
Depois que a distribuição em fases começar, você não poderá atualizar os controles de concessão da política. Se forem feitas alterações nos controles de concessão, a distribuição em fases será cancelada. Se mais de 10% das autenticações forem bloqueadas pela nova política em qualquer fase, a implementação será imediatamente pausada. O administrador é notificado para que os detalhes possam ser revisados e potencialmente modificados.
Perguntas frequentes
Como funciona a funcionalidade de distribuição em fases?
Depois de selecionar os grupos aos quais cada fase se aplica, o agente cria uma política de Acesso Condicional duplicada que inclui apenas o grupo da primeira fase. A política de Acesso Condicional original persiste no modo somente relatório e tem como destino todos os usuários, para que você possa continuar coletando dados. Quando a implantação avança para a próxima fase, o lote de grupos é adicionado à política de Acesso Condicional habilitada. O agente monitora como cada estágio afeta as entradas associadas a essa política. Se a taxa de êxito cair abaixo de 90%, a distribuição em fases será interrompida e a política habilitada será colocada novamente no modo somente relatório. Em seguida, você pode examinar os logs para determinar por que os logins estavam falhando antes de tentar a implementação gradual novamente.
Tenho que ativar a distribuição em fases?
A funcionalidade de distribuição em fases é ativada por padrão. Para desativá-lo, vá para a guia Configurações na página Agente de Otimização de Acesso Condicional. Em distribuição em fases, mude a chave para Desativada.