條件式存取:使用者、群組和工作負載身分識別

條件式存取原則必須包含使用者、群組或工作負載身分識別指派,作為決策程式中的其中一個訊號。 這些身分識別可以包含或排除在條件式存取原則中。 Microsoft Entra ID 會評估所有原則,並確保在授與存取權之前符合所有需求。

包含使用者

此使用者清單通常包含組織以條件式存取原則為目標的所有使用者。

建立條件式存取原則時,可以包含下列選項。

  • 沒有
    • 未選取使用者
  • 所有使用者
    • 存在於目錄中的所有使用者,包括 B2B 來賓。
  • 選取使用者和群組
    • 來賓或外部使用者
      • 此選項提供數個選項,可用來將條件式存取原則的目標設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租使用者。 有 數種不同類型的來賓或外部使用者可以選取,而且可以進行多個選取:
        • B2B 共同作業來賓使用者
        • B2B 共同作業成員使用者
        • B2B 直接連線使用者
        • 本機來賓使用者,例如屬於主租使用者且使用者類型屬性設定為來賓的任何使用者
        • 服務提供者使用者,例如 雲端解決方案提供者 (CSP)
        • 其他外部使用者,或未由其他使用者類型選取專案表示的使用者
      • 您可以為選取的使用者類型指定一或多個租使用者,也可以指定所有租使用者。
    • 目錄角色
      • 可讓系統管理員選取用來判斷原則指派的特定 內建 Microsoft Entra 目錄角色 。 例如,組織可能會對主動指派全域 管理員 istrator 角色的使用者建立更嚴格的原則。 不支援其他角色類型,包括系統管理單位範圍角色和自定義角色。
        • 條件式存取可讓系統管理員選取一些 已列為已淘汰的角色。 這些角色仍會出現在基礎 API 中,我們允許系統管理員將原則套用至它們。
    • 使用者和群組
      • 允許以特定使用者集為目標。 例如,當選取 HR 應用程式做為雲端應用程式時,組織可以選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra 識別碼中的任何類型的使用者群組,包括動態或指派的安全性和通訊群組。 原則會套用至巢狀使用者和群組。

重要

選取條件式存取原則中包含哪些使用者和群組時,可以直接新增至條件式存取原則的個別用戶數目有限制。 如果需要將大量個別使用者新增至條件式存取原則,建議將使用者放在群組中,並將群組指派給條件式存取原則。

如果使用者或群組是超過 2048 個群組的成員,則其存取可能會遭到封鎖。 此限制同時適用於直接和巢狀群組成員資格。

警告

條件式存取原則不支援將目錄角色 指派給系統管理單位 或直接限定為對象的目錄角色,例如透過 自定義角色

注意

將原則設為 B2B 直接連線外部使用者時,這些原則也會套用至存取 Teams 或 SharePoint Online 的 B2B 共同作業使用者,這些使用者也有資格進行 B2B 直接連線。 同樣適用於以 B2B 共同作業外部用戶為目標的原則,這表示如果存取 Teams 共用頻道的使用者在租使用者中也有來賓使用者存在,則會套用 B2B 共同作業原則。

排除使用者

當組織同時包含和排除使用者或群組時,使用者或群組會從原則中排除。 排除動作會覆寫原則中的 include 動作。 排除專案通常用於緊急存取或打破帳戶。 如需緊急存取帳戶及其重要原因的詳細資訊,請參閱下列文章:

建立條件式存取原則時,可以使用下列選項來排除。

  • 來賓或外部使用者
    • 此選項提供數個選項,可用來將條件式存取原則的目標設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租使用者。 有 數種不同類型的來賓或外部使用者可以選取,而且可以進行多個選取:
      • B2B 共同作業來賓使用者
      • B2B 共同作業成員使用者
      • B2B 直接連線使用者
      • 本機來賓使用者,例如屬於主租使用者且使用者類型屬性設定為來賓的任何使用者
      • 服務提供者使用者,例如 雲端解決方案提供者 (CSP)
      • 其他外部使用者,或未由其他使用者類型選取專案表示的使用者
    • 您可以為選取的使用者類型指定一或多個租使用者,也可以指定所有租使用者。
  • 目錄角色
    • 可讓系統管理員選取用來判斷指派的特定 Microsoft Entra 目錄角色。 例如,組織可能會針對指派全域 管理員 istrator 角色的使用者建立更嚴格的原則。
  • 使用者和群組
    • 允許以特定使用者集為目標。 例如,當選取 HR 應用程式做為雲端應用程式時,組織可以選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra 識別碼中的任何類型的群組,包括動態或指派的安全性和通訊群組。 原則會套用至巢狀使用者和群組。

防止系統管理員鎖定

若要防止系統管理員鎖定,在建立套用至 所有使用者所有應用程式的原則時,會出現下列警告。

不要把自己鎖在外! 建議您先將原則套用至一組小型使用者,以確認其行為如預期般運作。 我們也建議您從此原則中排除至少一個系統管理員。 這可確保您仍然可以存取,而且如果需要變更,可以更新原則。 請檢閱受影響的用戶和應用程式。

根據預設,原則會提供選項來排除目前使用者與原則,但系統管理員可以覆寫,如下圖所示。

Warning, don't lock yourself out!

如果您發現自己被鎖定,請參閱 如果您遭到鎖定該怎麼辦?

外部合作夥伴存取

以外部用戶為目標的條件式存取原則可能會干擾服務提供者存取,例如細微的委派系統管理員許可權簡介細微委派系統管理員許可權 (GDAP)。 針對要以服務提供者租用戶為目標的原則,請使用客體或外部用戶選取選項中提供的服務提供者使用者外部使用者類型。

工作負載身分識別

工作負載身分識別是一種身分識別,可讓應用程式或服務主體存取資源,有時是在使用者的內容中。 條件式存取原則可以套用至您租用戶中註冊的單一租使用者服務主體。 第三方 SaaS 和多租使用者應用程式範圍不足。 原則未涵蓋受控識別。

組織可以將特定工作負載身分識別設為要包含在原則中或從原則中排除的目標。

如需詳細資訊,請參閱工作負載身分識別的條件式存取一文

下一步