Freigeben über

Gestufte Einführung des Agenten zur Optimierung des bedingten Zugriffs

Der Optimierungs-Agent für bedingten Zugriff für Microsoft Entra enthält eine phasenweise Rolloutfunktion, mit der Organisationen neue Richtlinien für bedingten Zugriff sicher und effizient bereitstellen können. Mit dieser Microsoft Security Copilot-Funktion in Microsoft Entra können Administratoren Richtlinien schrittweise einführen, ihre Auswirkungen überwachen und Unterbrechungen minimieren. Diese phasenweise Einführungsfunktion bietet schrittweise Bereitstellung neuer Richtlinien, um die Wahrscheinlichkeit einer weit verbreiteten Unterbrechung für Endbenutzer zu minimieren und den Bedarf an manueller Analyse und Planung zu verringern, was wochenlangen Aufwand spart. Wie bei allen Aspekten des Optimierungs-Agents für bedingten Zugriff behalten Administratoren die vollständige Kontrolle über die Richtlinienänderungen, z. B. Gruppenauswahl, Rollout-Pacing und Bereitstellung. Klare Gründe für den Rolloutplan werden auch zur Wahrung der Transparenz bereitgestellt.

In diesem Artikel wird erläutert, wie der phasenweise Rolloutprozess funktioniert, die Voraussetzungen skizziert und die integrierten Sicherheitsvorkehrungen beschrieben, die eine reibungslose Bereitstellung gewährleisten.

Voraussetzungen

  • Sie müssen mindestens über die Microsoft Entra ID P1Lizenz verfügen.
  • Sie müssen über Security Compute Units (SCU) verfügen.
  • Die Rollen "Administrator für bedingten Zugriff" und "Sicherheitsadministrator" können phasenweise Rollouteinstellungen ändern.
  • Mandanten müssen mindestens fünf definierte Gruppen aufweisen, die aktuell in Richtlinien für den bedingten Zugriff für den Agenten verwendet werden, um einen phasenweisen Rollout-Plan zu generieren.

Funktionsweise

Jede Nur-Bericht-Richtlinie, die für alle Benutzer gilt, ist für einen phasenweisen Rollout berechtigt. Der Agent kann einen phasenweisen Rolloutplan für von ihr erstellten Richtlinien vorschlagen, oder Administratoren können einen phasenweisen Rollout auf eine vorhandene Nur-Bericht-Richtlinie anwenden, die auf alle Benutzer ausgerichtet ist. Der Agent analysiert Anmeldedaten und vorhandene Richtlinien, um einen phasenweisen Rolloutplan zu definieren.

Da es fünf unterschiedliche Phasen für einen Rolloutplan gibt, müssen Sie mindestens fünf Gruppen haben, damit der Rolloutplan angewendet werden kann. Um zu ermitteln, welche Gruppen verwendet werden sollen, untersucht der Agent Gruppen, die zuvor in Richtlinien für bedingten Zugriff verwendet wurden oder derzeit verwendet wurden. Der Agent untersucht diese Gruppen, um zu sehen, wie sich andere Richtlinien für bedingten Zugriff auf sie ausgewirkt haben, um potenzielle Auswirkungen einzuschätzen. Der Agent untersucht die Größe der Gruppen und verwendet dann alle diese Faktoren, um die Gruppen den Phasen zuzuweisen, die mit den Gruppen mit geringen Auswirkungen beginnen und mit den Gruppen mit höheren Auswirkungen enden.

Es gibt drei Schritte im phasenweisen Rolloutprozess:

  1. Agent identifiziert eine Nur-Bericht-Richtlinie für den phasenweisen Rollout
  2. Der Administrator überprüft, bearbeitet und akzeptiert den Rollout-Plan
  3. Der Administrator führt den genehmigten Rolloutplan aus.

Sie können die in jeder Phase enthaltenen Gruppen überprüfen und Änderungen vor und während des phasenweisen Rollouts vornehmen. Wenn die erste Phase beginnt, wird eine neue Richtlinie erstellt und für die Gruppen aktiviert, die in der ersten Phase enthalten sind. Die ursprüngliche Richtlinie für den reinen Berichtsmodus bleibt erhalten.

Agent identifiziert eine Richtlinie zur reinen Berichtserstattung für den gestaffelten Rollout

Der Agent kann einen phasenweisen Rolloutplan vorschlagen, wenn er neue Richtlinien erstellt oder auf vorhandene Nur-Bericht-Richtlinien, die für alle Benutzer bestimmt sind, verweist. Die Rolloutpläne umfassen fünf Phasen, beginnend mit kleinen, risikoarmen Gruppen und dem Fortschritt zu größeren Risikogruppen.

  • Suchen Sie bei agentenerstellten Richtlinien in der Liste der Vorschläge nach "Vorgeschlagener phased rollout" in der Spalte Aktionen von Agent.

    Screenshot der Agentvorschläge mit dem Typ des schrittweisen Rollouts hervorgehoben.

  • Suchen Sie für vorhandene Nur-Bericht-Richtlinien auf der Seite "Bedingter Zugriff - Richtlinien" nach "Phasenrollout verfügbar (Vorschau)". Screenshot der Richtlinienliste mit einem hervorgehobenen Typ eines phasenweisen Rollouts.

Der Administrator überprüft, bearbeitet und akzeptiert den Rollout-Plan.

Administratoren müssen die Details des Plans überprüfen, einschließlich der Gruppen, die in jeder Phase enthalten sind, des Zeitpunkts jeder Phase und der Ausführung des Plans.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Security Administrator an.

  2. Navigieren Sie zum Optimierungs-Agent für bedingten Zugriff oder zu den Richtlinien für bedingten Zugriff und wählen Sie eine Richtlinie mit dem Vorschlag für den phasenweisen Rollout aus.

    1. Wählen Sie auf der Seite "Bedingter Zugriff – Richtlinien " die Option "Plan generieren " aus dem bereich aus, der geöffnet wird.

  3. Wählen Sie auf der Detailseite der Richtlinie des Conditional Access Optimization Agents oder nach der Erstellung des Plans die Option Überprüfungsphasen aus.

    Screenshot eines Vorschlags für eine phasenweise Einführungsrichtlinie.

  4. Wählen Sie "Gruppen bearbeiten" aus, um die in der Phase enthaltenen Gruppen zu bearbeiten.

    Screenshot der Phasen, die mit hervorgehobener Schaltfläche

  5. Wählen Sie im Bereich "Richtliniendetails" oder auf der Seite mit phasenweisen Rolloutdetails die Schaltfläche " Rollout starten" aus. Der Agent erstellt die neue Richtlinie im Nur-Bericht-Modus.

Tipp

Sie können das Rollout anhalten oder das Rollout jederzeit als abgeschlossen markieren.

Der Administrator führt den genehmigten Rolloutplan aus.

Nachdem Sie ein phasenweises Rollout gestartet haben, hilft Ihnen der Agent beim Fortschritt. Der Vorschlag für einen phasenweisen Rollout ist während des gesamten Rolloutprozesses vorhanden und kann anzeigen, dass keine Aktion erforderlich ist, vorschlagen, zum nächsten Schritt überzugehen oder einen Rückschritt vorschlagen. Die Anleitung erscheint sowohl in der Vorschlagsliste des Bedingter Zugriff Optimierungsagenten als auch in der Liste "Bedingter Zugriff – Richtlinien". Beide Richtlinien deuten darauf hin, dass der phasenweise Rollout im Gange ist.

Sie haben mehrere Optionen, um den phasenweisen Rollout während der Bereitstellung zu verwalten. Während jeder Phase überwacht der Agent aktivitäten im Zusammenhang mit der Richtlinie, um sicherzustellen, dass keine Fehler oder Probleme auftreten. Sie können die Gruppen für Phasen anpassen, die noch nicht begonnen haben. Der Wechsel zwischen Phasen oder das Abschließen der Bereitstellung erfolgt über die Schaltflächen am oberen Rand der Seite.

  • Wählen Sie "Zur nächsten Phase wechseln " aus, um jede Phase des Rollouts zu durchlaufen.

  • Wählen Sie Zur vorherigen Phase zurücksetzen, um die aktuelle Phase abzubrechen und zur vorherigen Phase zurückzukehren.

  • Wählen Sie "Rollout als abgeschlossen markieren " aus, um die neue Richtlinie auf alle Gruppen anzuwenden und die Bereitstellung abzuschließen.

  • Wählen Sie "Zur nächsten Phase wechseln " aus, um jede Phase des Rollouts zu durchlaufen.

  • Wählen Sie Zur vorherigen Phase zurücksetzen, um die aktuelle Phase abzubrechen und zur vorherigen Phase zurückzukehren.

  • Wählen Sie "Rollout als abgeschlossen markieren " aus, um die neue Richtlinie auf alle Gruppen anzuwenden und die Bereitstellung abzuschließen.

Screenshot eines phasenweisen Rolloutplans im manuellen Ausführungsmodus.

Integrierte Sicherheitsvorkehrungen

Nach Beginn des phasenweisen Rollouts können Sie die Berechtigungen der Richtlinie nicht aktualisieren. Wenn Änderungen an der Genehmigungssteuerung vorgenommen werden, wird die phasenweise Einführung abgebrochen. Wenn mehr als 10% von Anmeldungen während einer beliebigen Phase durch die neue Richtlinie blockiert werden, wird das Rollout sofort angehalten. Der Administrator wird benachrichtigt, damit die Details überprüft und potenziell geändert werden können.

Häufig gestellte Fragen

Wie funktioniert die phasenweise Rolloutfunktion?

Nachdem Sie die Gruppen ausgewählt haben, für die jede Phase gilt, erstellt der Agent eine doppelte Richtlinie für bedingten Zugriff, die nur die Gruppe der ersten Phase enthält. Die ursprüngliche Richtlinie für bedingten Zugriff befindet sich weiterhin im Nur-Bericht-Modus und richtet sich an alle Benutzer, sodass Sie weiterhin Daten sammeln können. Wenn die Bereitstellung zur nächsten Phase wechselt, wird die Gruppe von Gruppen zur aktivierten Richtlinie für bedingten Zugriff hinzugefügt. Der Agent überwacht, wie sich jede Phase auf die mit dieser Richtlinie verknüpften Anmeldungen auswirkt. Wenn die Erfolgsquote unter 90 % fällt, wird der phasenweise Rollout beendet, und die aktivierte Richtlinie wird wieder in den Berichtsmodus versetzt. Anschließend können Sie die Protokolle überprüfen, um zu ermitteln, warum Anmeldeversuche fehlschlagen, bevor Sie den phasenweisen Rollout erneut versuchen.

Muss ich den phasenweisen Rollout aktivieren?

Die phasenweise Rolloutfunktion ist standardmäßig aktiviert. Um sie zu deaktivieren, wechseln Sie zur Registerkarte "Einstellungen " auf der Seite "Agent für die Optimierung des bedingten Zugriffs". Setzen Sie unter Phasenrollout den Umschalter auf Aus.

Verwandte Inhalte

  • Last updated on