Déployer des campagnes d’adoption de clés de sécurité avec l’Agent d’optimisation de l’accès conditionnel (aperçu)

L’Agent d’optimisation de l’accès conditionnel aide les organisations à planifier et à déployer des campagnes qui guident les utilisateurs vers des méthodes d’authentification plus fortes. En préversion publique, l’agent prend en charge le déploiement de campagnes d’adoption de clé de passe pour aider les organisations à déployer l’authentification résistante au phishing de manière structurée, intelligente et automatisée.

L’agent est conçu pour réduire les efforts manuels pour les campagnes à grande échelle. L’agent peut :

  • Évaluer la préparation des utilisateurs et des appareils
  • Générer un plan de déploiement recommandé
  • Guider les utilisateurs à travers les étapes requises
  • Appliquer des stratégies d’accès conditionnel une fois que les utilisateurs sont prêts

L’agent évalue en permanence la progression et avance les utilisateurs par le biais de la campagne au fur et à mesure que les conditions préalables sont remplies.

Prerequisites

Activer des campagnes de clés de passe dans l’agent

Vous pouvez autoriser l’Agent d’optimisation de l’accès conditionnel à créer des campagnes d’adoption de clé secrète à partir du Centre d’administration Microsoft Entra.

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de sécurité au moins.

  2. Accédez auxparamètres de l’agent >d’optimisation de l’accès conditionnel.

  3. Sous Fonctionnalités de l’agent, cochez la case Autoriser l’agent pour créer des campagnes d’adoption de clé secrète .

    Capture d’écran du paramètre d’agent pour activer les suggestions de campagne de clé secrète.

Une fois ce paramètre activé, l’agent commence à analyser votre locataire pour identifier les utilisateurs éligibles à une campagne de clé secrète. Actuellement, l’agent cible les utilisateurs d’administrateur privilégié par défaut. Pour plus d’informations, consultez Rôles d’administrateur pris en charge.

Note

L’analyse initiale peut prendre plusieurs minutes. Si campagne de révision n’apparaît pas, vous pouvez sélectionner Exécuter l’analyse sur la carte de suggestion ou attendre la prochaine exécution planifiée de l’agent.

Afficher la vue d’ensemble de la campagne

Lorsqu’une campagne de clé secrète est disponible, elle apparaît sous la forme d’une suggestion sur la vue d’ensemble de l’Agent d’optimisation de l’accès conditionnel.

Pour passer en revue la campagne :

  1. Accédez à l’Agent d’optimisation de l’accès conditionnel.

  2. Sous Suggestions récentes, recherchez la suggestion Déployer la campagne d’adoption de la clé d'accès pour les administrateurs.

  3. Sélectionnez Vérifier la campagne.

    Capture d’écran des suggestions de l’agent avec un résultat de campagne clé d'accès mis en surbrillance.

La vue d’ensemble de la campagne initiale fournit un résumé du plan proposé par l’agent, notamment :

  • L’objectif de la campagne
  • Outlook de préparation généré par l’IA pour les utilisateurs ciblés
  • Métriques de campagne clés, telles que :
    • Durée estimée de la campagne
    • Nombre d’utilisateurs ciblés
  • Répartition de la préparation des utilisateurs :
    • Utilisateurs nécessitant des mises à jour d’appareil : les utilisateurs ayant au moins un appareil inscrit auprès de Microsoft Entra, mais ne répondent pas aux exigences minimales du système d’exploitation pour les clés de passe.
    • Les utilisateurs doivent inscrire une clé secrète : les utilisateurs disposant d’appareils compatibles, mais pas de clé secrète inscrite.
    • Utilisateurs prêts pour l’application : utilisateurs avec des appareils compatibles et une clé d'accès inscrite.

À partir de cette vue, vous pouvez déployer la campagne immédiatement ou ouvrir l’expérience de campagne détaillée. Nous vous recommandons d’examiner le plan de campagne détaillé avant de déployer la campagne.

Capture d’écran du résumé de la campagne de clé d'accès.

Examiner et personnaliser le plan de campagne détaillé

Sélectionnez Vérifier la campagne pour ouvrir l’expérience de campagne détaillée, où vous pouvez passer en revue la préparation de l’utilisateur en profondeur et personnaliser la configuration de la campagne avant le déploiement. La campagne de clé d'accès comprend quatre étapes :

  • Cibler les utilisateurs pour la campagne de clé secrète
  • Vérifier la préparation de l’appareil
  • Exiger l’inscription de clé de passe
  • Appliquer l’utilisation de la clé d’accès

Passer en revue les utilisateurs ciblés

La vue de campagne détaillée vous permet de passer en revue tous les utilisateurs ciblés pour la campagne et d’effectuer des ajustements avant le déploiement. La personnalisation de la campagne est disponible uniquement pendant que la campagne est dans l’état Non démarré . Une fois le déploiement commencé, ces paramètres ne peuvent pas être modifiés.

  • Pour afficher les utilisateurs ciblés pour la campagne : sélectionnez le lien de nombre d’utilisateurs agrégés pour cette catégorie.
  • Pour modifier les utilisateurs ciblés pour la campagne : sélectionnez le bouton Modifier les utilisateurs ciblés .

Capture d’écran des détails de la campagne de clé secrète avec les options des utilisateurs cibles mises en surbrillance.

Conseil / Astuce

Nous vous recommandons d'exclure de la campagne les comptes d'administrateur à briser en cas d'urgence ou d'accès en cas d'urgence.

L’étape Vérifier la préparation de l’appareil peut ne pas avoir le même nombre d’utilisateurs que le nombre total d’utilisateurs ciblés pour la campagne. Si tous les utilisateurs ont des appareils actuels avec le système d’exploitation le plus récent qui prend en charge les clés secrètes, ils ne seront pas inclus dans cette phase. S’il n’existe aucun utilisateur pour cette étape, la campagne passe automatiquement à la phase suivante.

Ajuster les périodes de grâce

Les périodes de grâce définissent la durée pendant laquelle les utilisateurs doivent effectuer une action requise. Les périodes de grâce peuvent s’appliquer à la mise à jour d’un appareil, à l’inscription d’une clé secrète ou au temps entre les notifications d’information et l’application.

Pour afficher et ajuster les périodes de grâce pour une étape de la campagne :

  1. Sélectionnez la flèche dans le coin supérieur droit de l’étape pour développer les détails.

  2. Ajustez la période de grâce en ajustant le curseur ou en entrant un nombre dans la zone de texte.

    Capture d’écran des détails de la campagne de clé d'accès avec les options de période de grâce mises en surbrillance.

Si un utilisateur dépasse une période de grâce pour effectuer une action requise, l’agent ne poursuit pas la progression de cet utilisateur via la campagne. Pour afficher ces utilisateurs, sélectionnez le nombre d’utilisateurs agrégés pour la catégorie de campagne appropriée. La colonne Période de grâce dépassée indique quand un utilisateur a dépassé sa période de grâce.

Configurer les options de report

Le report peut être activé en plus des périodes de grâce pour offrir aux utilisateurs une plus grande flexibilité. Lorsque le report est activé :

  • Les utilisateurs peuvent choisir de différer une action ou une notification d’application requise pendant une durée limitée.
  • Une fois la durée de report terminée, l’agent reprend les rappels et les notifications pour l’action requise ou l’application à venir.

Pour configurer les détails du report :

  1. Sélectionnez Revoir la campagne pour la suggestion de déploiement de la campagne pour les clés de passe.

  2. Cochez la case Activer le report de l'utilisateur .

  3. Dans les nouvelles options qui s’affichent, définissez le nombre de jours.

    Capture d’écran des détails de la campagne de clé d'accès avec les détails du report surlignés.

Filtrer les appareils inactifs

Filtrez les appareils inactifs pour empêcher les utilisateurs ayant des appareils anciens ou inutilisés de rester bloqués à l’étape Vérifier la préparation de l’appareil .

Ce paramètre s’applique au niveau de la campagne et permet aux administrateurs de définir ce qui est éligible en tant qu’appareil actif. L’agent exclut les appareils qui n’ont pas été utilisés dans la fenêtre de temps spécifiée, ce qui permet de s’assurer que les utilisateurs sont évalués en fonction des appareils auxquels ils se connectent activement. Par défaut, l’agent considère les appareils utilisés au cours de la dernière année.

Capture d’écran des détails de la campagne de clé d'accès avec l’option appareils inactifs mise en surbrillance.

Déployer et exécuter la campagne

Après avoir examiné et personnalisé le plan de campagne détaillé, vous pouvez déployer la campagne.

Pour démarrer la campagne, sélectionnez Déployer une campagne dans la vue d’ensemble de la campagne ou dans l’affichage détaillé de la campagne.

Le déploiement de campagne se termine généralement en quelques minutes. Pendant le déploiement, l’agent crée les ressources requises et se prépare à guider les utilisateurs dans la campagne. Vous recevez des notifications de progression au fur et à mesure que le déploiement se poursuit. Dans les rares cas où un déploiement expire, les boutons d’action sont réactivables afin de pouvoir réessayer.

Une fois le déploiement terminé, l’état de la campagne passe en En cours sur la page, vue d’ensemble de l’Agent d’optimisation de l’accès conditionnel.

Surveiller et gérer l’exécution des campagnes

Une fois que vous avez déployé une campagne, le statut passe à En cours sur la page de vue d'ensemble de l'Agent d'optimisation de l'accès conditionnel. L’agent gère ensuite l’exécution de campagne automatiquement et met à jour la progression à mesure que les utilisateurs terminent les actions requises. La vue d’ensemble de la campagne et les vues de campagne détaillées reflètent toujours l’état de la dernière campagne, les répartitions des catégories d’utilisateurs et les détails au niveau de l’utilisateur, ce qui permet aux administrateurs de surveiller la progression et d’examiner les problèmes en fonction des besoins.

Pendant qu’une campagne est en cours d’exécution :

  • Les paramètres de configuration de campagne sont verrouillés (à l’exception des modifications de stratégie d’accès conditionnel).
  • L’exécution peut être gérée depuis la vue détaillée de campagne.

Les actions disponibles sont les suivantes :

  • Pause : arrête temporairement toutes les actions de l’agent. Aucun nouvel utilisateur n’est contacté ou avancé.
  • Fin : arrête définitivement la campagne et réinitialise son état sur Not started.

La suspension ou la fin d’une campagne n’inverse pas les actions qui ont déjà été effectuées.

Guide des utilisateurs par l’agent

Pendant que la campagne est active, l’Agent d’optimisation de l’accès conditionnel s’exécute automatiquement toutes les 24 heures pour évaluer la progression et faire avancer les utilisateurs en fonction de leur préparation actuelle.

Pendant l’exécution :

  • Utilisateurs nécessitant des mises à jour d’appareil
    • Recevoir des notifications Microsoft Teams leur invitant à mettre à jour leurs appareils pour répondre aux exigences minimales du système d’exploitation
    • Recevoir des notifications de rappel pendant la période de grâce configurée
  • Utilisateurs ayant besoin de configurer une clé secrète
    • Recevoir des notifications Teams avec des instructions de configuration de clé d'accès
    • Recevoir des notifications de rappel pendant la période de grâce
  • Utilisateurs prêts pour la mise en œuvre
    • Recevoir une notification leur informant de l’application à venir
    • Une fois la période de grâce appliquée terminée, les utilisateurs sont ajoutés à un groupe de stratégies d’accès conditionnel qui nécessite une authentification résistante au hameçonnage
    • La stratégie d’accès conditionnel est créée en mode rapport uniquement

Comportement de stratégie d’accès conditionnel

Lorsque les utilisateurs deviennent éligibles pour l'application des mesures, l’agent crée une stratégie d’accès conditionnel pour exiger une authentification anti-hameçonnage.

  • La stratégie est créée uniquement une fois qu’au moins un utilisateur a terminé la période de grâce de notification d’application.
  • La stratégie est initialement créée en mode rapport uniquement, ce qui permet aux administrateurs de surveiller l’impact avant d’appliquer les exigences d’authentification.
  • La configuration de la stratégie peut être examinée et gérée directement à partir de l’accès conditionnel.

Limitations connues

  • L’Agent d’optimisation de l’accès conditionnel ne vérifie actuellement pas si les utilisateurs ciblés sont activés pour les clés secrètes dans la stratégie de méthodes d’authentification. Vérifiez que cette configuration requise est configurée avant le déploiement d’une campagne.
  • Les paramètres de campagne tels que le ciblage, les périodes de grâce et la configuration du report ne peuvent pas être modifiés après le début de l’exécution de la campagne.
  • Les stratégies d’accès conditionnel sont créées uniquement une fois qu’au moins un utilisateur a terminé la période de grâce de notification d’application.
  • Les options de gestion des stratégies s’affichent uniquement une fois la stratégie créée.
  • Le report est actuellement pris en charge uniquement pour les utilisateurs qui ont soit le rôle de Propriétaire du Security Copilot, soit le rôle de Contributeur du Security Copilot. Les administrateurs peuvent vérifier quels utilisateurs ont ces rôles dans le portail d’administration Security Copilot.

Rôles d’administrateur pris en charge

  • Administrateur d’authentification
  • Administrateur de facturation
  • Administrateur d’applications cloud
  • Administrateur de l’accès conditionnel
  • Administrateur Exchange
  • Administrateur général
  • Administrateur du support technique
  • Administrateur du service Intune
  • Administrateur de mots de passe
  • Administrateur d’authentification privilégié
  • Administrateur de rôle privilégié
  • Administrateur de la sécurité
  • Administrateur SharePoint
  • Administrateur Teams
  • Administrateur d’utilisateurs
  • Last updated on