Implementatiecampagnes voor wachtwoordsleutels implementeren met de agent voor optimalisatie van voorwaardelijke toegang (preview)

Met de agent voor optimalisatie van voorwaardelijke toegang kunnen organisaties campagnes plannen en implementeren die gebruikers begeleiden naar sterkere verificatiemethoden. In openbare preview ondersteunt de agent het implementeren van acceptatiecampagnes voor wachtwoordsleutels om organisaties te helpen phishingbestendige verificatie op een gestructureerde, intelligente en geautomatiseerde manier uit te rollen.

De agent is ontworpen om handmatige inspanning voor grootschalige campagnes te verminderen. De agent kan het volgende doen:

  • Gereedheid van gebruikers en apparaten beoordelen
  • Een aanbevolen implementatieplan genereren
  • Gebruikers begeleiden bij de vereiste stappen
  • Beleid voor voorwaardelijke toegang afdwingen wanneer gebruikers er klaar voor zijn

De agent evalueert continu de voortgang en begeleidt gebruikers door de campagne zodra aan de vereisten is voldaan.

Vereiste voorwaarden

Toegangssleutelcampagnes inschakelen in de agent

U kunt de agent voor optimalisatie van voorwaardelijke toegang toestaan om acceptatiecampagnes voor wachtwoordsleutels te maken vanuit het Microsoft Entra-beheercentrum.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een beveiligingsbeheerder.

  2. Blader naaragentinstellingen> voor optimalisatie van voorwaardelijke toegang.

  3. Schakel onder Agentmogelijkheden het selectievakje Agent toestaan in om acceptatiecampagnes met een wachtwoordsleutel te maken .

    Schermopname van de agentinstelling om suggesties voor de wachtwoordsleutelcampagne in te schakelen.

Nadat deze instelling is ingeschakeld, begint de agent met het analyseren van uw tenant om gebruikers te identificeren die in aanmerking komen voor een wachtwoordsleutelcampagne. Op dit moment richt de agent zich standaard op bevoegde beheerdersgebruikers. Zie Ondersteunde beheerdersrollen voor meer informatie.

Opmerking

Initiële analyse kan enkele minuten duren. Als de beoordelingscampagne niet wordt weergegeven, kunt u Analyse uitvoeren selecteren op de suggestiekaart of wachten op de volgende geplande uitvoering van de agent.

Bekijk het campagneoverzicht

Wanneer er een passkey-campagne beschikbaar is, wordt deze weergegeven als een suggestie op het overzicht van de voorwaardelijke toegang optimalisatie-agent.

De campagne bekijken:

  1. Blader naar de agent voor optimalisatie van voorwaardelijke toegang.

  2. Zoek onder Recente suggesties de suggestie voor de uitrol van de adoptiecampagne voor passkeys voor beheerders.

  3. Selecteer De campagne Beoordelen.

    Schermopname van de agentsuggesties, waarbij het resultaat van een passkey-campagne is gemarkeerd.

Het eerste campagneoverzicht bevat een overzicht van het voorgestelde plan van de agent, waaronder:

  • Het campagnedoel
  • Een door AI gegenereerde gereedheids outlook voor de beoogde gebruikers
  • Belangrijke metrische gegevens van campagne, zoals:
    • Geschatte campagneduur
    • Aantal beoogde gebruikers
  • Een uitsplitsing van de gereedheid van gebruikers:
    • Gebruikers die apparaatupdates nodig hebben: gebruikers met ten minste één apparaat dat is geregistreerd bij Microsoft Entra, maar niet voldoen aan de minimale besturingssysteemvereisten voor wachtwoordsleutels.
    • Gebruikers die een wachtwoordsleutel moeten registreren: gebruikers met compatibele apparaten, maar geen geregistreerde wachtwoordsleutel.
    • Gebruikers die klaar zijn voor afdwinging: gebruikers met compatibele apparaten en een geregistreerde wachtwoordsleutel.

In deze weergave kunt u de campagne direct implementeren of de gedetailleerde campagne-ervaring openen. We raden u aan het gedetailleerde campagneplan te bekijken voordat u de campagne implementeert.

Schermopname van de samenvatting van de wachtwoordsleutelcampagne.

Het gedetailleerde campagneplan bekijken en aanpassen

Selecteer Beoordelingscampagne om de gedetailleerde campagne-ervaring te openen, waar u de gereedheid van gebruikers uitgebreider kunt bekijken en de configuratie van de campagne kunt aanpassen vóór de implementatie. De wachtwoordsleutelcampagne bestaat uit vier fasen:

  • Doelgebruikers voor een wachtwoordsleutelcampagne
  • Gereedheid van apparaten controleren
  • Wachtwoordsleutelregistratie vereisen
  • Wachtwoordsleutelgebruik afdwingen

Beoordeel de doelgebruikers

Met de gedetailleerde campagneweergave kunt u alle gebruikers bekijken die zijn gericht op de campagne en aanpassingen aanbrengen vóór de implementatie. Aanpassing van campagne is alleen beschikbaar terwijl de campagne de status Niet gestart heeft. Zodra de implementatie is gestart, kunnen deze instellingen niet worden gewijzigd.

  • Als u de gebruikers wilt weergeven die zijn gericht op de campagne: selecteer de koppeling voor het totaalaantal gebruikers voor die categorie.
  • Als u de gebruikers wilt bewerken die zijn gericht op de campagne: selecteer de knop Doelgebruikers bewerken .

Schermopname van de details van de wachtwoordsleutelcampagne met de opties voor doelgebruikers gemarkeerd.

Aanbeveling

We raden u aan om break glass-beheerders of noodtoegangsaccounts uit de campagne uit te sluiten.

De fase Apparaatgereedheid controleren heeft mogelijk niet hetzelfde aantal gebruikers als het totale aantal beoogde gebruikers voor de campagne. Als alle gebruikers huidige apparaten hebben met het nieuwste besturingssysteem dat wachtwoordsleutels ondersteunt, worden ze niet opgenomen in deze fase. Als er geen gebruikers zijn voor deze fase, wordt de campagne automatisch verplaatst naar de volgende fase.

Respijtperioden aanpassen

Respijtperioden bepalen hoe lang gebruikers een vereiste actie moeten uitvoeren. Respijtperioden kunnen van toepassing zijn op het bijwerken van een apparaat, het registreren van een wachtwoordsleutel of de tijd tussen informatieve meldingen en afdwinging.

De respijtperioden voor een fase van de campagne weergeven en aanpassen:

  1. Selecteer de pijl in de rechterbovenhoek van het scherm om de details uit te vouwen.

  2. Pas de respijtperiode aan door de slider aan te passen of een getal in het tekstvak in te voeren.

    Schermopname van de details van de wachtwoordsleutelcampagne met de respijtperiodeopties gemarkeerd.

Als een gebruiker een gratieperiode overschrijdt om een vereiste actie te voltooien, zet de agent die gebruiker niet verder door de campagne heen. Als u deze gebruikers wilt weergeven, selecteert u het totaalaantal gebruikers voor de relevante campagnecategorie. De kolom Respijtperiode overschreden geeft aan wanneer een gebruiker de respijtperiode heeft overschreden.

Uitstelopties configureren

Uitstel kan worden ingeschakeld naast respijtperioden om gebruikers meer flexibiliteit te bieden. Wanneer uitstel is ingeschakeld:

  • Gebruikers kunnen ervoor kiezen om een vereiste actie of afdwingingsmelding gedurende een beperkte tijd uit te stellen.
  • Zodra de uitstelduur is beëindigd, hervat de agent herinneringen en meldingen voor de vereiste actie of geplande afdwinging.

Details van uitstel configureren:

  1. Selecteer Review campagne voor de aanbeveling voor de implementatie van de passkey-campagne.

  2. Schakel het selectievakje Uitstellen van gebruiker inschakelen in.

  3. Stel vanuit de nieuwe opties die worden weergegeven het aantal dagen in.

    Schermopname van de details van de wachtwoordsleutelcampagne met de details van het uitstel gemarkeerd.

Inactieve apparaten filteren

Filter inactieve apparaten om te voorkomen dat gebruikers met oude of ongebruikte apparaten blijven hangen in de fase Gereedheid van het apparaat controleren .

Deze instelling is van toepassing op campagneniveau en stelt beheerders in staat om te definiëren wat in aanmerking komt als een actief apparaat. De agent sluit apparaten uit die niet binnen het opgegeven tijdvenster zijn gebruikt, zodat gebruikers worden geëvalueerd op basis van apparaten waarmee ze zich actief aanmelden. De agent beschouwt standaard apparaten die in het afgelopen jaar worden gebruikt.

Schermopname van de details van de wachtwoordsleutelcampagne met de optie inactieve apparaten gemarkeerd.

De campagne implementeren en uitvoeren

Nadat u het gedetailleerde campagneplan hebt bekeken en aangepast, kunt u de campagne implementeren.

Als u de campagne wilt starten, selecteert u Campagne implementeren in het campagneoverzicht of de gedetailleerde campagneweergave.

De implementatie van de campagne wordt doorgaans binnen een paar minuten voltooid. Tijdens de implementatie maakt de agent de vereiste resources en bereidt de agent zich voor om gebruikers door de campagne te leiden. U ontvangt voortgangsmeldingen wanneer de implementatie wordt voortgezet. In het zeldzame geval dat er een time-out optreedt voor een toepassing, worden de actieknoppen opnieuw ingeschakeld, zodat u een nieuwe poging kunt wagen.

Zodra de implementatie is voltooid, wordt de campagnestatus gewijzigd in In uitvoering op de overzichtspagina van de agent voor voorwaardelijke toegang.

De uitvoering van de campagne bewaken en beheren

Nadat u een campagne hebt uitgerold, wordt de status gewijzigd in In uitvoering op de overzichtspagina van de optimalisatieagent voor voorwaardelijke toegang. De agent beheert vervolgens de uitvoering van campagnes automatisch en werkt de voortgang bij wanneer gebruikers de vereiste acties uitvoeren. Het overzicht van de campagne en gedetailleerde campagneweergaven weerspiegelen altijd de meest recente campagnestatus, uitsplitsingen van gebruikerscategorie en details op gebruikersniveau, zodat beheerders de voortgang kunnen controleren en problemen indien nodig kunnen onderzoeken.

Terwijl een campagne wordt uitgevoerd:

  • Configuratie-instellingen voor campagne zijn vergrendeld (met uitzondering van wijzigingen in beleid voor voorwaardelijke toegang).
  • De uitvoering kan worden beheerd vanuit de gedetailleerde campagneweergave.

Beschikbare acties zijn onder andere:

  • Onderbreken: alle agentacties tijdelijk stoppen. Er worden geen nieuwe gebruikers gecontacteerd of verder geholpen.
  • Einde: Hiermee stopt u de campagne definitief en wordt de status opnieuw ingesteld op Niet gestart.

Het onderbreken of beëindigen van een campagne retourneert geen acties die al zijn voltooid.

Hoe de agent gebruikers begeleidt

Terwijl de campagne actief is, wordt de agent voor optimalisatie van voorwaardelijke toegang automatisch elke 24 uur uitgevoerd om de voortgang te evalueren en gebruikers op basis van hun huidige gereedheid vooruit te helpen.

Tijdens de uitvoering:

  • Gebruikers die apparaatupdates nodig hebben
    • Microsoft Teams-meldingen ontvangen waarin hen wordt gevraagd hun apparaten bij te werken om te voldoen aan de minimale vereisten voor het besturingssysteem
    • Herinneringsmeldingen ontvangen tijdens de geconfigureerde respijtperiode
  • Gebruikers die een wachtwoordsleutel moeten instellen
    • Teams-meldingen ontvangen met richtlijnen voor het instellen van een wachtwoordsleutel
    • Herinneringsmeldingen ontvangen tijdens de respijtperiode
  • Gebruikers die klaar zijn voor afdwinging
    • Een melding ontvangen over aanstaande afdwinging
    • Nadat de respijtperiode voor afdwinging is beëindigd, worden gebruikers toegevoegd aan een beleidsgroep voor voorwaardelijke toegang waarvoor phishingbestendige verificatie is vereist
    • Het beleid voor voorwaardelijke toegang wordt gemaakt in de rapportage-alleen modus

Gedrag van beleid voor voorwaardelijke toegang

Wanneer gebruikers in aanmerking komen voor afdwinging, maakt de agent een beleid voor voorwaardelijke toegang om phishingbestendige verificatie te vereisen.

  • Het beleid wordt pas gemaakt nadat ten minste één gebruiker de respijtperiode voor afdwingingsmeldingen heeft voltooid.
  • Het beleid wordt in eerste instantie gemaakt in de alleen rapporteren modus, zodat beheerders de impact kunnen controleren voordat authenticatie-eisen worden afgedwongen.
  • Beleidsconfiguratie kan rechtstreeks vanuit voorwaardelijke toegang worden gecontroleerd en beheerd.

Bekende beperkingen

  • De agent voor optimalisatie van voorwaardelijke toegang controleert momenteel niet of doelgebruikers zijn ingeschakeld voor wachtwoordsleutels in het beleid voor verificatiemethoden. Zorg ervoor dat deze vereiste is geconfigureerd voordat u een campagne implementeert.
  • Campagne-instellingen, zoals targeting, respijtperioden en configuratie van uitstel, kunnen niet worden gewijzigd nadat de uitvoering van de campagne is gestart.
  • Beleid voor voorwaardelijke toegang wordt pas gemaakt nadat ten minste één gebruiker de respijtperiode voor afdwingingsmeldingen heeft voltooid.
  • Beleidsbeheeropties worden pas weergegeven nadat het beleid is gemaakt.
  • Uitstel wordt momenteel alleen ondersteund voor gebruikers die de rol van Security Copilot Owner of Security Copilot Contributor hebben. Beheerders kunnen controleren welke gebruikers deze rollen hebben in de Security Copilot-beheerportal.

Ondersteunde beheerdersrollen

  • Verificatiebeheerder
  • Factureringsbeheerder
  • Cloudtoepassingsbeheerder
  • Beheerder voor voorwaardelijke toegang
  • Exchange-beheerder
  • Globale beheerder
  • Helpdeskbeheerder
  • Intune-servicebeheerder
  • Wachtwoordbeheerder
  • Bevoorrechte verificatiebeheerder
  • Bevoorrechte Rollenbeheerder
  • Beveiligingsbeheerder
  • SharePoint-beheerder
  • Teams-beheerder
  • Gebruikersbeheerder
  • Last updated on