通过

条件访问优化代理分阶段推出

Microsoft Entra 的条件访问优化代理包括分阶段推出功能,可帮助组织安全地高效地部署新的条件访问策略。 在 Microsoft Entra 中,Microsoft 安全 Copilot 功能使管理员能够逐步引入策略,监视其影响,并尽量减少中断。 此分阶段推出功能提供新策略的逐步部署,以最大程度地减少最终用户普遍中断的可能性,并减少对手动分析和规划的需求,从而节省数周的努力。 与条件访问优化代理的各个方面一样,管理员将保留对策略更改的完全控制,例如组选择和推出节奏。 还提供了明确的实施计划推理,以保持透明度。

本文介绍分阶段推出过程的工作原理、概述先决条件,并介绍了有助于确保顺利部署的内置安全措施。

先决条件

工作原理

条件访问优化代理在仅报告模式下创建新策略时,可以建议逐步启用该策略。 代理分析登录数据和现有策略,以定义分阶段推出计划。

旨在应用于 所有用户 且需要启用的策略有资格进行分阶段推出。 由于推出计划有五个不同的阶段,因此必须至少有五个组才能应用推出计划。 若要确定要使用的组,代理将查看以前或当前在条件访问策略中使用的组。 代理查看这些组,了解其他条件访问策略如何影响它们,以衡量潜在影响。 代理查看组的大小,然后使用所有这些因素将组分配到从低影响组开始的阶段,以更高的影响组结束。

分阶段推出过程中有三个步骤:

  1. 代理使用分阶段推出创建仅限报表的策略
  2. 管理员评审、编辑和接受推出计划
  3. 代理或管理员执行批准的推出计划

可以查看每个阶段中包含的组以及每个阶段之间的天数,并在分阶段推出之前和期间进行更改。 在推出期间,可以选择让代理执行计划,也可以手动执行计划的每个阶段。

无论计划是如何执行的,还是对计划进行了更改,在第一阶段启动时,都会为 第一阶段 中包含的组创建新策略并启用。 原始仅报告模式策略保持不变。

代理创建仅限报告的策略并分阶段推出

代理创建仅限报表的策略,并生成单独的分阶段推出计划。 推出计划包括五个阶段,从小型、低风险组开始,并进展到更大的高风险组。

代理建议的屏幕截图,其中突出显示了分阶段推出类型。

在代理的建议列表中,在代理列执行的作中查找建议的分阶段推出

管理员评审、编辑和接受推出计划

管理员需要查看计划的详细信息,包括每个阶段中包含的组、每个阶段的计时以及计划的执行方式。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 导航到 条件访问优化代理 ,然后选择“审阅建议”按钮以查看包含分阶段推出的策略建议。

  3. 在“策略详细信息”页中,选择“ 审阅”阶段

    分阶段推出策略建议的屏幕截图。

  4. 选择 “编辑组 ”以编辑阶段中包含的组。

    可以编辑的阶段的屏幕截图,其中突出显示了“编辑组”按钮。

  5. 选择“ 自动推出阶段 ”按钮上的向下箭头以选择执行模式。

    • 自动推出阶段:代理根据计时和影响信号自动推出每个阶段。
    • 手动推出阶段:管理员手动推进推出的每个阶段。

    用于更改执行模式的选项的屏幕截图。

小窍门

可以随时使用自动和手动推出计划进行干预。 也可以在推出期间随时更改执行模式。

调整阶段之间的时间:

  1. 从条件访问优化代理浏览到 “设置” 选项卡。
  2. 调整 分阶段推出 部分中阶段之间的天数。
  3. 选择保存按钮以应用更改。

有关详细信息,请查看 分阶段推出设置

代理或管理员执行批准的推出计划

用于管理分阶段推出的选项因自动执行和手动执行而异。

自动推出阶段

如果选择了自动推出,代理会自动执行计划,方法是创建新的已启用的策略,该策略适用于第一阶段中的所有组。 推出开始后,将显示多个控件来管理推出。

代理根据定义的计划将策略部署到下一阶段中的组。 在分阶段推出期间,可以随时暂停计划的执行,或选择手动推出剩余阶段。

自动执行的分阶段推出的屏幕截图。

可以在推出的每个阶段间持续监控,以确保策略如预期般运作。 虽然策略正在推出,但原始的仅报告策略仍处于剩余阶段的仅报告模式。 分阶段推出完成后,代理建议下次运行时删除仅报告策略,以便可以维护干净的策略列表。

手动推出阶段

如果选择手动执行分阶段推出计划,则提供了多个选项来管理每个步骤。

手动执行模式下分阶段推出计划的屏幕截图。

必须选择 “移动到下一阶段 ”,以推进推出的每个阶段。 在任何阶段,都可以还原到上一阶段,或者选择让代理自动推出剩余阶段。

内置安全措施

分阶段推出开始后,无法更新策略的授予控制措施。 如果对授予控件进行了更改,则会取消分阶段推出。 如果在任何阶段,新策略阻止了超过10%的登录,则会立即暂停策略推行。 管理员会收到通知,以便查看详细信息并可能对其进行修改。

常见问题

分阶段推出功能的工作原理是什么?

选择每个阶段适用的组后,代理会创建一个重复的条件访问策略,该策略仅包含第一阶段的组。 原始条件访问策略以仅报告模式保留,面向所有用户,以便可以继续收集数据。 当部署进入下一阶段时,会将一批组添加到已启用的条件访问策略。 代理监视每个阶段如何影响与此策略关联的登录。 如果成功率低于 90%,分阶段推出将停止,并且启用的策略将重新置于仅报告模式。 然后,可以查看日志以确定登录失败的原因,然后再尝试分阶段推出。

是否必须启用分阶段推出?

默认情况下,分阶段推出功能处于打开状态。 若要将其关闭,请转到条件访问优化代理页上的 “设置” 选项卡。 在 “分阶段推出”下,将切换开关切换到 “关闭”。

相关内容

  • Last updated on