條件式存取:雲端應用程式、動作和驗證內容

雲端應用程式、動作和驗證內容是條件式存取原則中的重要訊號。 管理員可利用條件式存取原則,將控制項指派給特定的應用程式、動作或驗證內容。

  • 管理員可以從應用程式清單中挑選,內有內建的 Microsoft 應用程式及任何 Azure AD 整合式應用程式 (包括資源庫、非資源庫以及透過應用程式 Proxy 發佈的應用程式)。
  • 在定義原則時,管理員可以選擇不以雲端應用程式為基礎,而是根據使用者動作,例如 [登錄安全性資訊] 或 [註冊或加入裝置],讓條件式存取依據這些動作強制執行控制。
  • 管理員可以使用驗證內容,在應用程式中提供額外的安全性層級。

Define a Conditional Access policy and specify cloud apps

Microsoft 雲端應用程式

許多現有的 Microsoft 雲端應用程式都包含在您可從中選取的應用程式清單內。

管理員可以將條件式存取原則指派給下列 Microsoft 的雲端應用程式。 如 Office 365 和 Microsoft Azure 管理等特定應用程式,則包含多個相關的子系應用程式或服務。 我們會持續新增更多應用程式,因此下列清單並未包含所有項目,而且可能會變更。

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure 資料總管
  • Azure 事件中樞
  • Azure 服務匯流排
  • Azure SQL Database 和 Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights 分析
  • Microsoft Azure 資訊保護
  • Microsoft Azure 管理
  • Microsoft Azure 訂閱管理
  • Microsoft Defender for Cloud Apps
  • Microsoft Commerce Tools 存取控制入口網站
  • Microsoft Commerce Tools 驗證服務
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune 註冊
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Bing 專用 Microsoft 搜尋
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook Groups
  • Power BI 服務
  • Project Online
  • 商務用 Skype Online
  • 虛擬私人網路 (VPN)
  • Windows Defender ATP

重要

適用於條件式存取的應用程式已完成上架和驗證程序。 這份清單未包含所有的 Microsoft 應用程式,因為許多應用程式都是後端服務,而不會直接套用原則。 如果要尋找遺失的應用程式,您可以聯繫特定的應用程式小組,或在 UserVoice 上提出要求。

Office 365

Microsoft 365 提供雲端型的生產力和共同作業服務,例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 雲端服務經過深度整合,可保證提供順暢的共同作業體驗。 這項整合會在建立原則時造成混淆,因為某些應用程式 (如 Microsoft Teams) 與其他應用程式 (如 SharePoint 或 Exchange) 有相依性。

Office 365 套件可讓您一次將這些服務全部設為目標。 建議使用新的 Office 365 套件,而非以個別的雲端應用程式為目標,以避免出現服務相依性的問題。

將此應用程式群組做為目標,有助於避免發生由於原則和相依性不一致而導致的問題。 例如:Exchange Online 應用程式繫結至傳統的 Exchange Online 資料,例如郵件、行事曆和連絡人資訊。 相關的中繼資料可能會透過不同的資源公開,例如搜尋。 為了確保所有中繼資料都採用預期的保護方式,管理員應該將原則指派給 Office 365 應用程式。

管理員可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 用戶端應用程式。

Office 365 用戶端應用程式包含下列主要應用程式:

  • Exchange Online
  • Microsoft 365 搜尋服務
  • Microsoft Forms
  • Microsoft Planner (ProjectWorkManagement)
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Flow
  • Microsoft Office 365 入口網站
  • Microsoft Office 用戶端應用程式
  • Microsoft Stream
  • Microsoft To-Do WebApp
  • Microsoft Whiteboard Services
  • Office Delve
  • Office Online
  • OneDrive
  • Power Apps
  • Power Automate
  • 安全性與合規性中心
  • SharePoint Online
  • 商務用 Skype Online
  • Skype 和 Teams 租用戶系統管理 API
  • Sway
  • Yammer

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Microsoft Azure 管理

Microsoft Azure 管理應用程式包含多項服務。

  • Azure 入口網站
  • Azure Resource Manager 提供者
  • 傳統部署模型 API
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory 入口網站
  • Azure 事件中樞
  • Azure 服務匯流排
  • Azure SQL Database
  • SQL 受控執行個體
  • Azure Synapse
  • Visual Studio 訂閱管理員入口網站

注意

Microsoft Azure 管理應用程式適用於可呼叫 Azure Resource Manager APIAzure PowerShell。 不適用於呼叫 Microsoft Graph APIAzure AD PowerShell

如需有關如何設定 Microsoft Azure 管理的範例原則的詳細資訊,請參閱條件式存取:需要 Azure 管理的 MFA

注意

針對 Azure Government,您應該以 Azure Government 雲端管理 API 應用程式為目標。

其他應用程式

管理員可以將任何 Azure AD 註冊應用程式新增至條件式存取原則。 這類應用程式可能包含:

注意

由於條件式存取原則會訂定服務存取需求,因此無法將之套用到用戶端 (公用/原生) 應用程式。 換句話說,並不是直接在用戶端 (公用/原生) 應用程式上設定原則,而是在用戶端呼叫服務時套用。 例如,在 SharePoint 服務上設定的原則會套用至呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時,會套用 Exchange 上設定的原則。 因此無法在雲端應用程式選擇器中選取用戶端 (公用/原生) 應用程式,且在您租用戶中註冊的用戶端 (公用/原生) 應用程式設定中,無法使用 [條件式存取] 選項。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包含這些應用程式的唯一方法,就是包含 [所有應用程式]。

使用者動作

使用者動作是可由使用者執行的工作。 條件式存取目前支援兩個使用者動作:

  • 登錄安全性資訊:這個使用者動作可在已啟用合併註冊的使用者嘗試註冊其安全性資訊時,讓條件式存取原則強制執行。 如需詳細資訊,請參閱合併的安全性資訊註冊一文。

  • 註冊或加入裝置:此使用者動作可讓管理員在使用者將裝置註冊加入至 Azure AD 時,強制執行條件式存取原則。 此原則會提供註冊或加入裝置的多重要素驗證設定細微性,而不是目前存在的租用戶原則。 此使用者動作有三個主要考量:

    • Require multi-factor authentication 是此使用者動作唯一可使用的存取控制,其他存取控制都已停用。 這項限制可防止與相依於 Azure AD 裝置註冊,或不適用於 Azure AD 裝置註冊的存取控制發生衝突。
    • Client appsFilters for devicesDevice state 條件無法用於此使用者動作,因為這些條件會根據 Azure AD 裝置註冊來強制執行條件式存取原則。
    • 當使用此使用者動作啟用條件式存取原則時,您必須將 [Azure Active Directory]>[裝置]>[裝置設定] - Devices to be Azure AD joined or Azure AD registered require Multi-Factor Authentication 設定為 [否]。 否則,具備此使用者動作的條件式存取原則將無法正確強制執行。 有關此裝置設定的詳細資訊,可以參閱設定裝置設定

驗證內容 (預覽)

驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式,或 Microsoft Defender for Cloud Apps 所保護的應用程式。

例如,組織可能會將檔案保留在 SharePoint 網站,例如午餐功能表或其神秘 BBQ 醬汁配方。 每個人都可以存取午餐功能表網站,但是具有神秘 BBQ 醬汁配方網站存取權的使用者可能需要從受控裝置存取,並同意特定的使用規定。

設定驗證內容

驗證內容的管理位置在 Azure 入口網站的 [Azure Active Directory]>[安全性]>[條件式存取]>[驗證內容]。

Manage authentication context in the Azure portal

警告

  • 在預覽期間,無法刪除驗證內容定義。
  • 在 Azure 入口網站中,預覽總數限制為 25 個驗證內容定義。

選取 Azure 入口網站中的 [新增驗證內容],以建立新的驗證內容定義。 設定下列屬性:

  • [顯示名稱] 是用來識別 Azure AD 中的驗證內容以及取用驗證內容的應用程式名稱。 我們建議採用可跨資源使用的名稱,例如「受信任的裝置」,以減少所需的驗證內容數目。 設定縮減可限制重新導向的數目,並提供更好的端對端使用者體驗。
  • [描述] 提供 Azure AD 管理員所使用的原則,以及將驗證內容套用至資源的原則詳細資訊。
  • [發佈至應用程式] 核取方塊選取時會將驗證內容公告至應用程式,並使其可供指派。 如果未選取,則下游資源將無法使用驗證內容。
  • [識別碼] 為唯讀資訊,用於要求特定驗證內容定義的權杖和應用程式中。 識別碼會列在這裡,以供疑難排解和開發使用案例使用。

新增至條件式存取原則

管理員可以在其條件式存取原則中選取 [指派]>[雲端應用程式或動作] 下的已發佈驗證內容,然後從 [選取此原則的套用對象] 功能表選取 [驗證內容]。

Adding a Conditional Access authentication context to a policy

使用驗證內容標記資源

如需在應用程式中使用驗證內容的詳細資訊,請參閱下列文章。

後續步驟