Microsoft Entra 的条件访问优化代理包括分阶段推出功能,可帮助组织安全地高效地部署新的条件访问策略。 在 Microsoft Entra 中,Microsoft 安全 Copilot 功能使管理员能够逐步引入策略,监视其影响,并尽量减少中断。 此分阶段推出功能提供新策略的逐步部署,以最大程度地减少最终用户普遍中断的可能性,并减少对手动分析和规划的需求,从而节省数周的努力。 与条件访问优化代理的各个方面一样,管理员将保留对策略更改的完全控制,例如组选择、推出节奏和部署。 还提供了明确的实施计划推理,以保持透明度。
本文介绍分阶段推出过程的工作原理、概述先决条件,并介绍了有助于确保顺利部署的内置安全措施。
先决条件
- 必须至少具有 Microsoft Entra ID P1 许可证。
- 必须具有可用的安全计算单元(SCU)。
- 条件访问管理员 和安全 管理员 角色可以修改分阶段推出设置。
- 租户必须至少有五个定义的组,这些组当前在条件访问策略中使用,以便代理生成分阶段推出计划。
工作原理
条件访问优化代理在仅报告模式下创建新策略时,建议通过分阶段推出来启用该策略。 代理分析登录数据和现有策略,以定义分阶段推出计划。
旨在应用于 所有用户 且需要启用的策略有资格进行分阶段推出。 由于推出计划有五个不同的阶段,因此必须至少有五个组才能应用推出计划。 若要确定要使用的组,代理将查看以前或当前在条件访问策略中使用的组。 代理查看这些组,了解其他条件访问策略如何影响它们,以衡量潜在影响。 代理查看组的大小,然后使用所有这些因素将组分配到从低影响组开始的阶段,以更高的影响组结束。
分阶段推出过程中有三个步骤:
可以查看包含在各个阶段中的群组,并在阶段性推出的前后进行更改。 第一阶段启动时,将为 第一阶段 中包含的组创建新策略并启用该策略。 原始仅报告模式策略保持不变。
代理创建仅限报告的策略并分阶段推出
代理创建仅限报表的策略,并生成单独的分阶段推出计划。 推出计划包括五个阶段,从小型、低风险组开始,并进展到更大的高风险组。
在代理的建议列表中,在代理列执行的作中查找建议的分阶段推出。
管理员评审、编辑和接受推出计划
管理员需要查看计划的详细信息,包括每个阶段中包含的组、每个阶段的计时以及计划的执行方式。
至少以安全管理员身份登录到 Microsoft Entra 管理中心。
导航到 条件访问优化代理 ,然后选择“审阅建议”按钮以查看包含分阶段推出的策略建议。
在“策略详细信息”页中,选择“ 审阅”阶段。
选择 “编辑组 ”以编辑阶段中包含的组。
从策略详细信息面板或分阶段推出详细信息页中选择 “开始分阶段推出 ”按钮。 代理在报告模式下创建新策略。
小窍门
可以随时暂停发布过程,或将发布过程标记为完成。
管理员执行批准的推出计划
你被提供了多个选项来管理部署过程中的逐步推出。 在每个阶段,代理监视与策略相关的活动,以确保没有错误或问题。 可以调整尚未启动的阶段的组。 使用页面顶部的按钮在阶段之间移动或完成部署。
- 选择 “移动到下一阶段 ”以推进推出的每个阶段。
- 选择 “回滚到上一阶段 ”以取消当前阶段并返回到上一阶段。
- 选择 “将发布标记为完成”,以将新策略应用于所有组并完成部署。
内置安全措施
分阶段推出开始后,无法更新策略的授予控制措施。 如果对授予控件进行了更改,则会取消分阶段推出。 如果在任何阶段,新策略阻止了超过10%的登录,则会立即暂停策略推行。 管理员会收到通知,以便查看详细信息并可能对其进行修改。
常见问题
分阶段推出功能的工作原理是什么?
选择每个阶段适用的组后,代理会创建一个重复的条件访问策略,该策略仅包含第一阶段的组。 原始条件访问策略以仅报告模式保留,面向所有用户,以便可以继续收集数据。 当部署进入下一阶段时,会将一批组添加到已启用的条件访问策略。 代理监视每个阶段如何影响与此策略关联的登录。 如果成功率低于 90%,分阶段推出将停止,并且启用的策略将重新置于仅报告模式。 然后,可以查看日志以确定登录失败的原因,然后再尝试分阶段推出。
是否必须启用分阶段推出?
默认情况下,分阶段推出功能处于打开状态。 若要将其关闭,请转到条件访问优化代理页上的 “设置” 选项卡。 在 “分阶段推出”下,将切换开关切换到 “关闭”。