您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

生成条件访问策略

什么是条件访问一文中所述,条件访问策略是一个关于 分配访问控制 的 if-then 语句。 条件访问策略可统合信号,做出决策,并实施组织策略。

组织如何创建这些策略? 需要执行哪些操作? 这些策略是如何应用的?

条件访问(信号 + 决策 + 实施 = 策略)

随时可能都会有多个条件访问策略应用于单个用户的情况。 在这种情况下,必须满足所应用的所有策略。 例如,如果一个策略需要多重身份验证 (MFA),另一个策略需要兼容的设备,则你必须完成 MFA 并使用兼容的设备。 所有分配在逻辑上采用 AND 运算符。 如果配置了多个分配,则必须满足所有分配才能触发策略。

如果选择了“需要所选控件之一”的策略,我们会按照定义的顺序提示,只要满足策略要求,就会授予访问权限。

所有策略都是在两个阶段中强制实施的:

  • 阶段 1:收集会话详细信息
    • 收集会话详细信息,例如进行策略评估所需的网络位置和设备标识。
    • 针对已启用的策略和仅限报告模式下的策略执行策略评估的第 1 阶段。
  • 阶段 2:强制
    • 使用阶段 1 中收集的会话详细信息来确定尚未满足的任何要求。
    • 如果有一个配置为阻止访问的策略,并且具有阻止授予控制,则强制将在此处停止,并且用户将被阻止。
    • 系统将提示用户完成在阶段 1 期间未按以下顺序满足的更多授予控制要求,直到满足策略:
      • 多重身份验证
      • 批准的客户端应用/应用保护策略
      • 受管理设备(合规或混合 Azure AD 加入)
      • 使用条款
      • 自定义控件
    • 满足所有授权控制后,应用会话控制(App Enforced、Microsoft Defender for Cloud Apps 和令牌生命周期)
    • 针对所有已启用的策略执行策略评估的第 2 阶段。

分配

分配部分用于控制条件访问策略的对象、内容和位置。

用户和组

用户和组指定该策略将包含或排除的对象。 该分配可以包括所有用户、特定的用户组、目录角色或外部来宾用户。

云应用或操作

云应用或操作可以包括或排除将受策略约束的云应用程序、用户操作或身份验证上下文。

条件

一个策略可以包含多个条件

登录风险

对于使用 Azure AD 标识保护的组织而言,生成的风险检测可能会影响条件访问策略。

设备平台

具有多个设备操作系统平台的组织可能希望在不同的平台上实施特定的策略。

用于计算设备平台的信息来自未经验证的源,例如可以更改的用户代理字符串。

位置

位置数据由 IP 地理位置数据提供。 管理员可以选择定义位置,并选择将某些位置(例如其组织的网络位置)标记为受信任位置。

客户端应用

默认情况下,即使未配置客户端应用条件,所有新创建的条件访问策略也将应用于所有客户端应用类型。

已于 2020 年 8 月更新了客户端应用条件的行为。 如果你有现有的条件访问策略,则它们将保持不变。 但是,如果选择现有策略,则配置切换已被删除,并且已选择策略应用到的客户端应用。

设备状态

此控制条件用于排除已加入混合 Azure AD 或在 Intune 中标记为合规的设备。 可以通过此排除来阻止非托管设备。

适用于设备的筛选器(预览版)

此控制允许基于策略中特定设备的属性来定位特定设备。

访问控制

条件访问策略的访问控制部分用于控制策略的实施方式。

授予

授予为管理员提供了一种策略强制实施方法,使他们可以阻止访问或授予访问权限。

阻止访问

阻止访问只会阻止指定分配下的访问。 阻止控制的功能十分强大,应对其有一定了解后再使用。

授予访问权限

授予控制可以触发一项或多项控制的实施。

  • 需要多重身份验证(Azure AD 多重身份验证)
  • 要求将设备标记为合规 (Intune)
  • 要求使用加入混合 Azure AD 的设备
  • 需要批准的客户端应用
  • 需要应用保护策略
  • 要求更改密码
  • 需要使用条款

管理员可以使用以下选项选择是需要上述控制之一还是所有已选控制。 多项控制的默认值为全部需要。

  • 需要所有已选控制(控制和控制)
  • 需要某一已选控制(控制或控制)

会话

会话控制可以限制体验

  • 使用应用所强制实施的限制
    • 目前仅适用于 Exchange Online 和 SharePoint Online。
      • 传递设备信息,以允许控制授予完全访问权限或受限访问权限的体验。
  • 使用条件访问应用控制
    • 使用来自 Microsoft Defender for Cloud Apps 的信号执行类似操作:
      • 阻止下载、剪切、复制和打印敏感文档。
      • 监视危险的会话行为。
      • 需要标记敏感文件。
  • 登录频率
    • 能够更改新式身份验证的默认登录频率。
  • 持久性浏览器会话
    • 可让用户在关闭再重新打开其浏览器窗口后保持登录状态。

简单策略

条件访问策略必须至少包含以下内容才能实施:

  • 策略的 名称
  • 分配
    • 要应用策略的 用户和/或组
    • 要应用策略的 云应用或操作
  • 访问控制
    • 授予阻止 控制

空白条件访问策略

常用条件访问策略一文包含一些我们认为对大多数组织有用的策略。

后续步骤

创建条件访问策略

使用条件访问 What If 工具模拟登录行为

规划基于云的 Azure AD 多重身份验证部署

使用 Intune 管理设备合规性

Microsoft Defender for Cloud Apps 和条件访问