條件式存取:保護安全性資訊註冊

使用條件式存取原則中的使用者動作,即可保護使用者註冊 Azure AD Multi-Factor Authentication 和自助式密碼重設的時間和方式。 這項功能可供已啟用 合併註冊的組織使用。 這項功能可讓組織將註冊程式視為條件式存取原則中的任何應用程式,並使用條件式存取的完整功能來保護體驗。 登入 Microsoft Authenticator 應用程式或啟用無密碼電話登入的使用者受限於此原則。

過去有些組織可能會使用信任的網路位置或裝置合規性,以保護註冊體驗。 透過在 Azure AD 中新增暫時存取權,系統管理員可以為其使用者提供有時間限制的認證,讓他們可以從任何裝置或位置進行註冊。 暫時存取傳遞認證滿足多重要素驗證的條件式存取需求。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則,或使用 (Preview) 的條件式存取範本

建立安全註冊的原則

下列原則會套用至選取的使用者,並嘗試使用合併的註冊體驗進行註冊。 原則要求使用者必須位於受信任的網路位置、執行多重要素驗證,或使用暫時性存取通過認證。

  1. Azure 入口網站中,流覽至Azure Active Directory安全性條件式存取
  2. 選取 [新增原則]。
  3. 在 [名稱] 中,輸入此原則的名稱。 例如, 結合安全性資訊註冊與點一下。
  4. 在 [指派] 底下,選取 [使用者和群組] 。
    1. 在 [包含] 下,選取 [所有使用者]。

      警告

      使用者必須能使用合併註冊

    2. 在 [ 排除] 下。

      1. 選取 [ 所有來賓] 和 [外部使用者]。

      2. 選取 [目錄角色] 並選擇 [全域管理員]

        注意

        暫時存取傳遞不適用於來賓使用者。

      3. 選取 [ 使用者和群組 ],然後選擇您組織的緊急存取或玻璃帳戶。

  5. 在 [雲端應用程式或動作] 底下選取 [使用者動作],然後勾選 [註冊安全性資訊]。
  6. 在 [條件位置] 下。
    1. 將 [設定] 設定為 [是]。
      1. 包含 [任何位置]。
      2. 排除 [所有信任的位置]。
  7. 在 [存取控制與] 下。
    1. 選取 [授與存取權需要多重要素驗證]。
    2. 選取 [選取] 。
  8. 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
  9. 選取 [建立],以建立並啟用您的原則。

使用 僅限報表模式確認設定之後,系統管理員可以將 [ 啟用原則 ] 切換從 [ 僅限報表 ] 移至 [ 開啟]。

系統管理員現在必須將暫存存取權傳遞認證發給新的使用者,才能滿足註冊多重要素驗證的需求。 若要完成這項工作的步驟,請參閱Azure AD 入口網站中的建立暫存存取階段一節。

組織可能會選擇要求其他授與的控制項,並在步驟6b 進行 要求多重要素驗證 。 選取多個控制項時,請務必選取適當的選項按鈕切換,以在進行此變更時,要求 全部其中一個 選取的控制項。

來賓使用者註冊

如果 來賓使用者 需要在您的目錄中註冊多重要素驗證,您可以選擇使用下列指南來封鎖從 信任的網路位置 以外的註冊。

  1. Azure 入口網站中,流覽至Azure Active Directory安全性條件式存取
  2. 選取 [新增原則]。
  3. 在 [名稱] 中,輸入此原則的名稱。 例如,受信任網路上的合併安全性資訊註冊
  4. 在 [指派] 底下,選取 [使用者和群組] 。
    1. 在 [ 包含] 底下,選取 [ 所有來賓和外部使用者]。
  5. 在 [雲端應用程式或動作] 底下選取 [使用者動作],然後勾選 [註冊安全性資訊]。
  6. 在 [條件位置] 下。
    1. 設定 [是]。
    2. 包含 [任何位置]。
    3. 排除 [所有信任的位置]。
  7. 在 [存取控制與] 下。
    1. 選取 [封鎖存取]。
    2. 然後按一下 [選取] 。
  8. 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
  9. 選取 [建立],以建立並啟用您的原則。

使用 僅限報表模式確認設定之後,系統管理員可以將 [ 啟用原則 ] 切換從 [ 僅限報表 ] 移至 [ 開啟]。

後續步驟

條件式存取一般原則

使用條件式存取報告專用模式判斷影響

使用條件式存取 What If 工具模擬登入行為

要求使用者重新確認驗證資訊