使用條件式存取原則管理資源的外部存取
條件式存取會解譯訊號、強制執行原則,並判斷使用者是否獲得資源的存取權。 在本文中,瞭解如何將條件式存取原則套用至外部使用者。 本文假設您可能無法存取權利管理,這是您可以搭配條件式存取使用的功能。
深入了解:
下圖說明觸發存取程序的條件式存取訊號。
開始之前
本文是 10 篇文章系列中的數位 7。 建議您依序檢閱文章。 移至 後續步驟 一節,以查看整個系列。
將安全性計劃與條件式存取原則對齊
在第三篇文章中,在10篇文章集中,有建立安全性計劃的指引。 使用該方案來協助建立外部存取的條件式存取原則。 安全性計劃的一部分包括:
- 針對簡化存取的群組應用程式和資源
- 外部使用者的登入需求
重要
在套用原則之前,先建立內部和外部用戶帳戶來測試原則。
請參閱建立資源外部存取的安全性計劃一 文
外部存取的條件式存取原則
下列各節是使用條件式存取原則控管外部存取的最佳做法。
權利管理或群組
如果您無法在權利管理中使用已連線的組織,請為合作夥伴組織建立 Microsoft Entra 安全組或 Microsoft 365 群組。 將該合作夥伴的使用者指派給群組。 您可以在條件式存取原則中使用群組。
深入了解:
條件式存取原則建立
盡可能建立最少的條件式存取原則。 對於具有相同存取需求的應用程式,請將它們新增至相同的原則。
條件式存取原則適用於最多 250 個應用程式。 如果超過 250 個應用程式具有相同的存取需求,請建立重複的原則。 例如,原則 A 適用於應用程式 1-250、原則 B 適用於應用程式 251-500 等等。
命名慣例
使用釐清原則用途的命名慣例。 外部存取範例包括:
- ExternalAccess_actiontaken_AppGroup
- ExternalAccess_Block_FinanceApps
允許外部存取特定外部使用者
在某些情況下,必須允許小型特定群組的存取。
開始之前,建議您建立安全組,其中包含存取資源的外部使用者。 請參閱快速入門:使用成員建立群組,並在 Microsoft Entra 標識符中檢視所有群組和成員。
- 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [ 建立新原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 底下,選取 [所有來賓和外部使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取權或中斷帳戶和外部使用者安全組。
- 在 [目標資源>雲端應用程式] 底下,選取下列選項:
- 在 [包含] 下,選取 [所有雲端應用程式]
- 在 [排除] 下,選取您想要排除的應用程式。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取],然後選取 [選取]。
- 選取 [建立] 以建立並啟用您的原則。
注意
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
深入瞭解: 在 Microsoft Entra ID 中管理緊急存取帳戶
服務提供者存取
外部用戶的條件式存取原則可能會干擾服務提供者存取,例如細微委派的管理許可權。
深入瞭解: 細微委派系統管理員許可權簡介 (GDAP)
條件式存取範本
條件式存取範本是一種方便的方法,可部署與 Microsoft 建議一致的新原則。 這些範本提供符合各種客戶類型和位置常用原則的保護。
深入了解: 條件式存取範本 (預覽)
下一步
使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。