工作負載身分識別的條件式存取

  • 文章

條件式存取原則過去只會在使用者存取 SharePoint Online 等應用程式和服務時套用至使用者。 我們現在延伸對條件式存取原則的支援,以套用至組織所擁有的服務主體。 我們會針對工作負載身分識別呼叫這項功能條件式存取。

工作負載身分識別是一種身分識別,可讓應用程式或服務主體存取資源,有時是在使用者的內容中。 這些工作負載身分識別與傳統使用者帳戶不同,因為它們:

  • 無法執行多重要素驗證。
  • 通常不會有正式的生命週期流程。
  • 需要將其認證或祕密儲存於某處。

這些差異讓工作負載身分識別更難管理,並使其承受更高的盜用風險。

重要

需要工作負載身分識別進階版授權,才能建立或修改範圍設定為服務主體的條件式存取原則。 在沒有適當授權的目錄中,工作負載身分識別的現有條件式存取原則會繼續運作,但無法修改。 如需詳細資訊,請參閱 Microsoft Entra 工作負載 ID。  

注意

原則可以套用至已在租用戶中註冊的單一租用戶服務主體。 第三方 SaaS 和多租使用者應用程式範圍不足。 原則未涵蓋受控識別。

工作負載身分識別的條件式存取可根據 Microsoft Entra ID Protection 偵測到的風險,或與驗證內容結合,從受信任的公用 IP 範圍之外封鎖服務主體。

實作

建立位置型條件式存取原則

建立適用於服務主體的位置型條件式存取原則。

  1. 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [ 建立新原則]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [此原則套用至什麼?] 底下,選取 [工作負載身分識別]。
    2. 在 [包含],選擇 [選取服務主體],然後從清單中選取適當的服務主體。
  6. 在 [目標資源>雲端應用程式>包含] 下,選取 [所有雲端應用程式]。 只有在服務主體要求令牌時,才會套用此原則。
  7. 在 [條件>位置] 下,包含 [任何位置],並排除您想要允許存取的 [選取的位置]。
  8. 在 [授與] 下[封鎖存取] 是唯一可用的選項。 當令牌要求超出允許的範圍時,會封鎖存取。
  9. 您的原則可以儲存在僅限報表模式中,讓系統管理員能夠估計效果,或原則是透過開啟原則來強制執行。
  10. 選取 [建立] 以完成您的原則。

建立風險型條件式存取原則

建立適用於服務主體的風險型條件式存取原則。

建立具有工作負載身分識別和風險的條件式存取原則作為條件。

  1. 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取]。
  3. 選取 [ 建立新原則]。
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
    1. 在 [此原則套用至什麼?] 底下,選取 [工作負載身分識別]。
    2. 在 [包含],選擇 [選取服務主體],然後從清單中選取適當的服務主體。
  6. 在 [目標資源>雲端應用程式>包含] 下,選取 [所有雲端應用程式]。 只有在服務主體要求令牌時,才會套用此原則。
  7. 在條件>服務主體風險下
    1. 將 [設定] 切換為 []。
    2. 選取您想要觸發此原則的風險層級。
    3. 選取完成
  8. 在 [授與] 下[封鎖存取] 是唯一可用的選項。 看到指定的風險層級時,會封鎖存取。
  9. 您的原則可以儲存在僅限報表模式中,讓系統管理員能夠估計效果,或原則是透過開啟原則來強制執行。
  10. 選取 [建立] 以完成您的原則。

復原

如果您想要復原這項功能,您可以刪除或停用任何已建立的原則。

登入記錄

登入記錄可用來檢閱使用僅限報表模式時,如何針對服務主體強制執行原則或原則的預期影響。

  1. 流覽至 [身分>識別監視與健康情況>登入記錄>服務主體登入]。
  2. 選取記錄項目,然後選取「條件式存取」索引標籤來檢視評估資訊。

條件式存取封鎖服務主體時失敗的原因:「因條件式存取原則而封鎖存取」。

報告專用模式

若要檢視以位置為基礎的原則結果,請參閱登入報表事件的 [僅限報表] 索引卷標,或使用條件式存取深入解析和報表活頁簿。

若要檢視風險型原則的結果,請參閱登入報告中事件的 [僅限報表] 索引卷標。

參考

尋找 objectID

您可以從 Microsoft Entra Enterprise Applications 取得服務主體的 objectID。 無法使用 Microsoft Entra 中的物件識別碼 應用程式註冊。 此標識碼是應用程式註冊的物件標識碼,而不是服務主體的對象識別碼。

  1. 流覽至 [身分>識別應用程式>企業應用程式],尋找您註冊的應用程式。
  2. 從 [概 觀] 索引標籤複製 應用程式的 [物件標識符 ]。 此標識碼是條件式存取原則用來尋找呼叫應用程式之服務主體的唯一標識符。

Microsoft Graph

使用 Microsoft Graph Beta 端點進行位置型設定的範例 JSON。

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

下一步