Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Agente de optimización de acceso condicional para Microsoft Entra incluye una funcionalidad de lanzamiento por fases que ayuda a las organizaciones a implementar nuevas directivas de acceso condicional de forma segura y eficaz. Esta característica de Microsoft Security Copilot en Microsoft Entra permite a los administradores introducir directivas gradualmente, supervisar su impacto y minimizar las interrupciones. Esta funcionalidad de lanzamiento por fases proporciona una implementación gradual de nuevas directivas para minimizar la posibilidad de una interrupción generalizada a los usuarios finales y reducir la necesidad de análisis y planeamiento manuales, lo que ahorra semanas de esfuerzo. Al igual que con todos los aspectos del Agente de optimización de acceso condicional, los administradores conservan el control total de los cambios de directiva, como la selección de grupos, el ritmo de lanzamiento y la implementación. También se proporciona un razonamiento claro para el plan de lanzamiento para mantener la transparencia.
En este artículo se explica cómo funciona el proceso de implementación por fases, se describen los requisitos previos y se describen las medidas de seguridad integradas que ayudan a garantizar una implementación sin problemas.
Prerrequisitos
- Debe tener al menos la licencia Microsoft Entra ID P1.
- Debe disponer de unidades de cálculo de seguridad (SCU) disponibles.
- Los roles Administrador de acceso condicional y Administrador de seguridad pueden modificar la configuración de implementación por fases.
- Los inquilinos deben tener al menos cinco grupos definidos que se usan actualmente en las directivas de acceso condicional para que el agente genere un plan de lanzamiento por fases.
Cómo funciona
Cualquier directiva de solo informe que se aplique a todos los usuarios es apta para un lanzamiento por fases. El agente puede sugerir un plan de implementación por fases para las directivas que crea o los administradores pueden aplicar la implementación por fases a cualquier directiva de solo informe existente que tenga como destino a todos los usuarios. El agente analiza los datos de inicio de sesión y las directivas existentes para definir un plan de lanzamiento por fases.
Dado que hay cinco fases distintas en un plan de implementación, debe tener al menos cinco grupos para que se aplique el plan de lanzamiento. Para determinar qué grupos usar, el agente examina los grupos que se usaron anteriormente o que se usan actualmente en las directivas de acceso condicional. El agente examina esos grupos para ver cómo otras directivas de acceso condicional las afectan, para medir el posible impacto. El agente examina el tamaño de los grupos y, a continuación, usa todos estos factores para asignar los grupos a las fases a partir de los grupos de impacto bajo y terminar con los grupos de impacto más altos.
Hay tres pasos en el proceso de lanzamiento por fases:
- El agente identifica una directiva de solo informe para el lanzamiento por fases
- El administrador revisa, edita y acepta el plan de lanzamiento.
- El administrador ejecuta el plan de lanzamiento aprobado.
Puede revisar los grupos incluidos en cada fase y realizar cambios antes y durante el lanzamiento por fases. Cuando se inicia la primera fase, se crea una nueva directiva y se activa para los grupos incluidos en la primera fase. La directiva de modo 'solo informe' original permanece sin cambios.
El agente identifica una directiva de solo informe para el lanzamiento por fases
El agente puede sugerir un plan de implementación por fases al crear nuevas directivas o a directivas existentes que solo generan informes y que se dirigen a todos los usuarios. Los planes de implementación incluyen cinco fases, empezando por grupos pequeños y de bajo riesgo y progresando a grupos de alto riesgo más grandes.
En el caso de las directivas creadas por agente, busque Implementación por fases sugerida en la columna Acciones realizadas por agente en la lista de sugerencias.
Captura de pantalla de las sugerencias del agente con un tipo de lanzamiento por fases resaltado.
En el caso de las directivas de solo informe existentes, busque Despliegue gradual disponible (versión preliminar) en la página de Directivas de acceso condicional. Captura de pantalla de la lista de directivas con un tipo de lanzamiento por fases resaltado.
El administrador revisa, modifica y acepta el plan de lanzamiento.
Los administradores deben revisar los detalles del plan, incluidos los grupos incluidos en cada fase, el tiempo de cada fase y cómo se ejecuta el plan.
Inicie sesión en el centro de administración de Microsoft Entra como mínimo un Administrador de seguridad.
Navegue al Agente de Optimización de Acceso Condicional o Acceso Condicional: Directivas y seleccione una directiva con la sugerencia de lanzamiento por fases.
- En la página Acceso condicional - Directivas , seleccione Generar plan en el panel que se abre.
En la página de detalles de la directiva del Agente de Optimización de Acceso Condicional o después de generar el plan, seleccione Revisar etapas.
Captura de pantalla de una sugerencia de directiva de lanzamiento por fases.
Seleccione Editar grupos para editar los grupos incluidos en la fase.
Captura de pantalla de las fases que se pueden editar con el botón Editar grupos resaltado.
Seleccione el botón Iniciar implementación por fases en el panel de detalles de la directiva o en la página de detalles del lanzamiento por fases. El agente crea la nueva directiva en modo de solo informe.
Sugerencia
Puede pausar el lanzamiento o marcar el lanzamiento completado en cualquier momento.
El administrador ejecuta el plan de lanzamiento aprobado.
Una vez que inicie una implementación por fases, el agente le ayudará a avanzar. La sugerencia de lanzamiento por fases está presente en todo el proceso de implementación y no puede mostrar ninguna acción necesaria, sugerir progreso a la siguiente fase o sugerir la reversión. Las instrucciones aparecen en la lista de sugerencias del Agente de optimización de acceso condicional y en la lista Acceso condicional: directivas. Ambas políticas indican que el despliegue por fases está en curso.
Se proporcionan varias opciones para administrar la implementación por fases durante la implementación. Durante cada fase, el agente supervisa la actividad relacionada con la directiva para asegurarse de que no hay errores ni problemas. Puede ajustar los grupos para las fases que aún no se han iniciado. Pasar entre fases o completar la implementación se realiza mediante los botones de la parte superior de la página.
Seleccione Mover a la siguiente fase para avanzar en cada fase del lanzamiento.
Seleccione Revertir a la fase anterior para cancelar la fase actual y volver a la fase anterior.
Seleccione Marcar lanzamiento como completado para aplicar la nueva directiva a todos los grupos y completar la implementación.
Seleccione Mover a la siguiente fase para avanzar en cada fase del lanzamiento.
Seleccione Revertir a la fase anterior para cancelar la fase actual y volver a la fase anterior.
Seleccione Marcar lanzamiento como completado para aplicar la nueva directiva a todos los grupos y completar la implementación.
Captura de pantalla de un plan de lanzamiento por fases en modo de ejecución manual.
Medidas de seguridad integradas
Una vez que comience el lanzamiento por fases, no podrá actualizar los controles de otorgamiento de la directiva. Si se realizan cambios en los controles de concesión, se cancela la implementación por fases. Si la nueva política bloquea más del 10% de los inicios de sesión durante cualquier fase, el lanzamiento se pausa inmediatamente. Se notifica al administrador para que los detalles se puedan revisar y modificar potencialmente.
Preguntas más frecuentes
¿Cómo funciona la funcionalidad de lanzamiento por fases?
Después de seleccionar los grupos a los que se aplica cada fase, el agente crea una directiva de acceso condicional duplicada que solo incluye el grupo de la primera fase. La directiva de acceso condicional original persiste en modo de solo informe y tiene como destino a todos los usuarios, por lo que puede seguir recopilando datos. Cuando la implementación avanza a la siguiente fase, el lote de grupos se agrega a la directiva de acceso condicional habilitada. El agente supervisa cómo afecta cada fase a los inicios de sesión asociados a esta directiva. Si la tasa de éxito cae por debajo de 90%, la implementación por fases se detiene y la directiva habilitada se vuelve a colocar en modo de solo informe. A continuación, puede revisar los registros para determinar por qué se produjeron errores en los inicios de sesión antes de volver a intentar la implementación por fases.
¿Tengo que activar el lanzamiento por fases?
La funcionalidad de lanzamiento por fases está activada de forma predeterminada. Para desactivarlo, vaya a la pestaña Configuración de la página Agente de optimización de acceso condicional. En Lanzamiento por fases, cambie la palanca de alternancia a Desactivado.
Contenido relacionado
- Learn más sobre Microsoft Security Copilot
- Introducción al Agente de optimización de acceso condicional