Implementação em fases do Agente de Otimização de Acesso Condicional

O Agente de Otimização de Acesso Condicional para Microsoft Entra inclui uma funcionalidade de distribuição em fases que ajuda as organizações a implantar novas políticas de Acesso Condicional de forma segura e eficiente. Esse recurso Microsoft Security Copilot em Microsoft Entra permite que os administradores introduzam políticas gradualmente, monitorem seu impacto e minimizem interrupções. Essa funcionalidade de distribuição em fases fornece implantação gradual de novas políticas para minimizar a chance de interrupção generalizada para os usuários finais e reduzir a necessidade de análise e planejamento manuais, salvando semanas de esforço. Assim como acontece com todos os aspectos do Agente de Otimização de Acesso Condicional, os administradores mantêm controle total das alterações de política, como seleção de grupo, ritmo de distribuição e implantação. O raciocínio claro para o plano de lançamento também é fornecido para manter a transparência.

Este artigo explica como o processo de distribuição em fases funciona, descreve os pré-requisitos e descreve as proteções internas que ajudam a garantir uma implantação tranquila.

Pré-requisitos

Como funciona

Qualquer política somente de relatório que se aplique a todos os usuários é qualificada para uma distribuição em fases. O agente pode sugerir um plano de distribuição em fases para políticas criadas por ele ou os administradores podem aplicar a distribuição em fases a qualquer política somente de relatório existente direcionada a todos os usuários. O agente analisa dados de entrada e políticas existentes para definir um plano de distribuição em fases.

Como há cinco fases distintas em um plano de distribuição, você deve ter pelo menos cinco grupos para que o plano de distribuição seja aplicado. Para determinar quais grupos usar, o agente examina grupos que foram anteriormente ou atualmente são usados em políticas de Acesso Condicional. O agente analisa esses grupos para ver como outras políticas de Acesso Condicional as afetaram, para medir o impacto potencial. O agente analisa o tamanho dos grupos e, em seguida, usa todos esses fatores para atribuir os grupos às fases que começam com os grupos de baixo impacto e terminam com os grupos de impacto mais altos.

Há três etapas no processo de distribuição em fases:

  1. O agente identifica uma política apenas de relatório para implementação gradual
  2. O administrador analisa, edita e aceita o plano de distribuição
  3. O administrador executa o plano de distribuição aprovado

Você pode examinar os grupos incluídos em cada fase e fazer alterações antes e durante a distribuição em fases. Quando a primeira fase é iniciada, uma nova política é criada e ativada para os grupos incluídos na primeira fase. A política de modo somente relatório original permanece intacta.

O agente identifica uma política de somente relatório para implementação em fases

O agente pode sugerir um plano de implantação em fases ao criar novas políticas ou para qualquer política existente no modo somente relatório direcionada a todos os usuários. Os planos de distribuição incluem cinco fases, começando com grupos pequenos e de baixo risco e progredindo para grupos maiores e de alto risco. Há algumas maneiras de encontrar as sugestões de distribuição em fases no centro de administração do Microsoft Entra:

  • Para as políticas criadas pelo agente, procure a distribuição em fases sugerida na coluna Ações executadas pelo agente na lista de sugestões.

    Captura de tela das sugestões do agente com um tipo de distribuição em fases realçado.

  • Para políticas existentes no modo somente relatório, navegue até a guia Implantação em fases na página Acesso Condicional – Políticas. Essa guia dedicada fornece uma exibição completa do ciclo de vida do processo de distribuição em fases.

    Captura de tela da página políticas de Acesso Condicional com o menu de distribuição em fases realçado.

  • Use o botão de filtro Mostrar políticas qualificadas para distribuição em fases na lista de políticas de Acesso Condicional para localizar políticas qualificadas para uma distribuição em fases.

    Captura de tela da lista de políticas com um tipo de distribuição em fases realçado.

O administrador analisa, edita e aceita o plano de distribuição

Os administradores precisam examinar os detalhes do plano, incluindo os grupos incluídos em cada fase, o tempo de cada fase e como o plano é executado.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.

  2. Navegue até o Agente de Otimização de Acesso Condicional ou Acesso Condicional – Políticas e selecione uma política com a sugestão de distribuição em fases.

    1. Na página Acesso Condicional – Políticas , selecione Gerar plano no painel aberto.

  3. Na página de detalhes da política do Agente de Otimização de Acesso Condicional ou depois que o plano for gerado, selecione Fases de revisão.

    Captura de tela de uma sugestão de política de distribuição em fases.

  4. Selecione Editar Grupos para editar os grupos incluídos na fase.

    Captura de tela das fases que podem ser editadas com o botão editar grupos realçado.

  5. Selecione o botão Iniciar distribuição em fases no painel de detalhes da política ou na página de detalhes de distribuição em fases. O agente cria a nova política no modo de relatório apenas.

Dica

Você pode pausar a distribuição ou marcar a distribuição concluída a qualquer momento.

O administrador executa o plano de distribuição aprovado

Depois de iniciar uma distribuição em fases, o agente ajudará você a progredir. A sugestão de implementação em fases está presente em todo o processo de implementação e pode indicar que nenhuma ação é necessária, sugerir o progresso para a próxima fase ou sugerir a reversão. As diretrizes aparecem na lista de sugestões do Agente de Otimização de Acesso Condicional e na lista Acesso Condicional – Políticas. Ambas as políticas indicam que a implantação gradativa está em andamento.

Você tem várias opções para gerenciar a distribuição em fases durante a implantação. Durante cada fase, o agente monitora a atividade relacionada à política para garantir que não haja erros ou problemas. Você pode ajustar os grupos para fases que ainda não foram iniciadas. Mover entre fases ou concluir a implantação é feito usando os botões na parte superior da página.

  • Selecione Mover para a próxima fase para avançar cada fase da distribuição.
  • Selecione Reverter para a fase anterior para cancelar a fase atual e retornar à fase anterior.
  • Selecione Marcar implantação como concluída para aplicar a nova política a todos os grupos e concluir a implantação.

Captura de tela de um plano de distribuição em fases no modo de execução manual.

Proteções internas

Depois que a distribuição em fases começar, você não poderá atualizar os controles de concessão da política. Se forem feitas alterações nos controles de concessão, a distribuição em fases será cancelada. Se mais de 10% das autenticações forem bloqueadas pela nova política em qualquer fase, a implementação será imediatamente pausada. O administrador é notificado e as diretrizes de solução de problemas são fornecidas, o que inclui um relatório mostrando por que as entradas falharam. Essa orientação sempre aparece quando uma reversão é recomendada, ajudando os administradores a identificar e resolver rapidamente os problemas antes de retomar a implantação.

Sinais usados para recomendações de grupo de distribuição em fases

Para garantir uma distribuição segura e eficaz das políticas de Acesso Condicional, o Agente de Otimização de Acesso Condicional analisa vários sinais importantes para recomendar os melhores grupos para cada estágio de implantação. Essa abordagem ajuda a minimizar a interrupção ao maximizar a cobertura de segurança.

  • Tamanho e alcance do grupo: o agente considera o tamanho de cada grupo em relação à sua base de usuários total. Começar com grupos menores e representativos permite testes mais seguros antes de expandir para populações mais amplas.
  • Desempenho histórico da política: o agente analisa como os usuários em um grupo interagiram com as políticas existentes ao longo do tempo.
    • Altas taxas de sucesso indicam que os usuários já estão atendendo aos requisitos de segurança.
    • Altas taxas de bloqueio podem indicar possíveis pontos de atrito que precisam ser tratados antes de uma implementação rigorosa.
    • O agente também analisa a frequência com que as políticas se aplicam às entradas do grupo.
  • Padrões de uso: o agente avalia o volume de atividade para cada grupo. Grupos com altos níveis de atividade fornecem mais pontos de dados para validação, enquanto grupos de baixa atividade podem não gerar sinais suficientes para um piloto confiante.
  • Controles de segurança existentes: o agente identifica quais tipos de controles já são eficazes para o grupo sugerir efetivamente novos tipos de política, reduzindo a probabilidade de confusão ou bloqueio do usuário.
  • Contexto administrativo recente: o agente considera os grupos que estiveram recentemente envolvidos em alterações de políticas ou ações administrativas, para garantir que as sugestões sejam atuais e reflitam as alterações organizacionais mais recentes, em vez de dependerem apenas de definições de grupo estático.

Perguntas frequentes

Como funciona a funcionalidade de distribuição em fases?

Depois de selecionar os grupos aos quais cada fase se aplica, o agente cria uma política de Acesso Condicional duplicada que inclui apenas o grupo da primeira fase. A política de Acesso Condicional original persiste no modo somente relatório e tem como destino todos os usuários, para que você possa continuar coletando dados. Quando a implantação avança para a próxima fase, o lote de grupos é adicionado à política de Acesso Condicional habilitada. O agente monitora como cada estágio afeta as entradas associadas a essa política. Se a taxa de êxito cair abaixo de 90%, a distribuição em fases será interrompida e a política habilitada será colocada novamente no modo somente relatório. Em seguida, você pode examinar os logs para determinar por que os logins estavam falhando antes de tentar a implementação gradual novamente.

Tenho que ativar a distribuição em fases?

A funcionalidade de distribuição em fases é ativada por padrão. Para desativá-lo, vá para a guia Configurações na página Agente de Otimização de Acesso Condicional. Em distribuição em fases, mude a chave para Desativada.

Conteúdo relacionado

  • Last updated on