條件式存取:條件
在條件式存取原則中,系統管理員可以從風險、裝置平台或位置等條件中使用信號,以增強其原則決策。
您可以結合多個條件來建立更精細和特定的條件式存取原則。
例如,在存取敏感的應用程式時,除了多重要素驗證等控制項,系統管理員可能會將身分識別保護的登入風險資訊和位置納入其存取決策。
登入風險
對於具有身分識別保護存取權的客戶,可以隨著條件式存取原則的一部分評估登入風險。 登入風險表示特定的驗證要求未獲身分識別擁有者授權的可能性。 有關登入風險的詳細資訊,請參閱文章什麼是風險和作法:設定和啟用風險原則。
使用者風險
對於具有身分識別保護存取權的客戶,使用者風險可做為條件式存取原則的一部分來加以評估。 使用者風險代表指定的身分識別或帳戶遭入侵的可能性。 有關使用者風險的詳細資訊,請參閱文章什麼是風險和做法:設定和啟用風險原則。
裝置平台
裝置平台是以裝置上執行的作業系統為特徵。 Azure AD 會使用裝置 (例如使用者代理程式字串) 所提供的資訊來識別平台。 因為使用者代理程式字串可以被修改,所以系統不會驗證這項資訊。 裝置平台應該搭配 Microsoft Intune 的裝置合規性原則或是做為封鎖陳述式的一部分使用。 預設是會將原則套用至所有裝置平台。
Azure AD 條件式存取支援下列裝置平台:
- Android
- iOS
- Windows
- macOS
- Linux
如果您使用其他用戶端條件來封鎖舊式驗證,也可以設定裝置平台條件。
重要
Microsoft 建議您針對不支援的裝置平台設定條件式存取原則。 例如,如果您想要封鎖從 CHROME OS 或任何其他不支援的用戶端存取公司資源,您應該使用包括任何裝置並排除受支援裝置平台的裝置平台條件來設定原則,並授與控制集「封鎖」存取權。
位置
將位置設定為條件時,組織可以選擇包括或排除位置。 這些命名位置可能包括公用 IPv4 網路資訊、國家或地區,甚至是未對應到特定國家或地區的未知區域。 僅有 IP 範圍能標記為受信任的位置。
當包括任何位置時,此選項會包括網際網路上的任何 IP 位址,而不只是設定的命名位置。 當您選取任何位置時,系統管理員可以選擇排除所有信任或選取的位置。
例如,有些組織可能會在使用者連線到受信任位置 (例如其實體總部) 中的網路時,選擇不需要多重要素驗證。 系統管理員可以建立包括任何位置,但排除其總部網路所選位置的原則。
如需位置條件有關的詳細資訊,請參閱文章 Azure Active Directory 條件式存取中的位置條件是什麼。
用戶端應用程式
根據預設,即使未設定用戶端應用程式條件,所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型。
注意
用戶端應用程式行為的條件已於 2020 年 8 月更新。 如果您有現有的條件式存取原則,這些原則將保持不變。 不過,如果您按一下現有的原則,則會看到設定切換已移除,並選取套用原則的用戶端應用程式。
重要
來自舊版驗證用戶端的登入不支援 MFA,且不會將裝置狀態資訊傳遞給 Azure AD,因此條件式存取授與控制項 (例如要求 MFA 或相容裝置) 將會封鎖這些用戶端。 如果您有必須使用舊版驗證的帳戶,則必須從原則中排除這些帳戶,或設定原則為僅套用至新式驗證用戶端。
設定為 [是] 時,[設定] 切換會套用至核取的項目,如果設定為 [否],則會套用至所有用戶端應用程式,包括新式和舊版驗證用戶端。 此切換在 2020 年 8 月之前建立的原則中並不存在。
- 新式驗證用戶端
- 瀏覽器
- 這些包括使用 SAML、WS-同盟、OpenID Connect 或服務註冊為 OAuth 機密用戶端等通訊協定的 Web 應用程式。
- 行動裝置應用程式和桌面用戶端
- 此選項包括應用程式,例如 Office 桌面和手機應用程式。
- 瀏覽器
- 舊版驗證用戶端
- Exchange ActiveSync 用戶端
- 此選項包括所有 Exchange ActiveSync (EAS) 通訊協定的使用。
- 當原則封鎖使用 Exchange ActiveSync 時,受影響的使用者將會收到一封隔離電子郵件。 這封電子郵件會提供封鎖原因的相關資訊,可能的話也會包括補救指示。
- 系統管理員只能透過條件式存取 Microsoft Graph API,將原則套用至支援的平台 (例如 iOS、Android 和 Windows)。
- 其他用戶端
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- 經過驗證的 SMTP - 由 POP 與 IMAP 用戶端用於傳送電子郵件。
- 自動探索 - 由 Outlook 與 EAS 用戶端用於尋找及連線至 Exchange Online 中的信箱。
- Exchange Online PowerShell - 用於透過 PowerShell 連線至 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組來連線。 如需指示,請參閱使用多重要素驗證連線至 Exchange Online PowerShell。
- Exchange Web 服務 (EWS) - Outlook、Mac 版 Outlook 及協力廠商應用程式使用的程式設計介面。
- IMAP4 - IMAP 電子郵件用戶端所使用。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 與以後版本所使用。
- 離線通訊錄 (OAB) - Outlook 所下載與使用的一份地址清單集合。
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 及之前版本所使用。
- Outlook Service - Windows 10 版郵件與行事曆應用程式所使用。
- POP3 - POP 電子郵件用戶端所使用。
- Reporting Web Services - 用於擷取 Exchange Online 中的報告資料。
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- Exchange ActiveSync 用戶端
這些條件通常是在要求受管理的裝置、封鎖舊版驗證,以及封鎖 Web 應用程式但允許行動或桌面應用程式時使用。
支援的瀏覽器
此設定適用於所有瀏覽器。 不過,為了滿足像是符合裝置需求規範等的裝置原則,支援下列作業系統和瀏覽器。 這份清單並未列出已不受主要支援的作業系統和瀏覽器:
| 作業系統 | 瀏覽器 |
|---|---|
| Windows 10 + | Microsoft Edge、Chrome 和 Firefox 91 + |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge、Safari (請參閱注意事項) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
這些瀏覽器支援裝置驗證,因此可以根據原則來識別和驗證裝置。 如果瀏覽器在私人模式中執行或是 Cookie 停用,裝置檢查將會失敗。
注意
Edge 85 + 要求使用者必須登入瀏覽器,才能正確地傳遞裝置身分識別。 否則,它的行為就像沒有帳戶延伸模組的 Chrome。 這種登入可能不會自動出現在混合式 Azure AD Join 案例中。
Safari 支援以裝置為基礎的條件式存取,但無法滿足需要核准的用戶端應用程式或需要應用程式保護原則條件。 受管理的瀏覽器 (例如 Microsoft Edge) 可符合核准的用戶端應用程式和應用程式保護原則需求。 在具有第三方 MDM 解決方案的 iOS 上,只有 Microsoft Edge 瀏覽器才支援裝置原則。
Firefox 91+ 支援裝置型條件式存取,但需要啟用 [允許 Microsoft、公司和學校帳戶的 Windows 單一登入]。
為什麼我在瀏覽器中看到憑證提示
在 Windows 7、iOS、Android 和 macOS,Azure AD 會使用裝置向 Azure AD 註冊時所佈建的用戶端憑證識別裝置。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取憑證。 使用者必須選取此憑證,才能使用瀏覽器。
Chrome 支援
如需 Windows 10 Creators Update (1703 版) 或更新版本中的 Chrome 支援,請安裝 Windows 10 帳戶或 Office Online 擴充功能。 當條件式存取原則需要裝置特定的詳細資料時,就需要這些延伸模組。
若要自動將此擴充功能部署到 Chrome 瀏覽器,請建立下列登錄機碼:
- 路徑 HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
- 名稱 1
- 類型 REG_SZ (字串)
- 資料 ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
如需 Windows 8.1 和 7 中的 Chrome 支援,請建立下列登錄機碼:
- 路徑 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
- 名稱 1
- 類型 REG_SZ (字串)
- 資料 {"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
支援的行動裝置應用程式和桌面用戶端
組織可以選取行動裝置應用程式和桌面用戶端做為用戶端應用程式。
這項設定會影響從下列行動裝置應用程式和桌面用戶端進行的存取嘗試:
| 用戶端應用程式 | 目標服務 | 平台 |
|---|---|---|
| Dynamics CRM 應用程式 | Dynamics CRM | Windows 10、Windows 8.1、iOS 和 Android |
| [電子郵件]/[行事曆]/[人員] 應用程式、Outlook 2016、Outlook 2013 (使用新式驗證) | Exchange Online | Windows 10 |
| 應用程式的 MFA 和位置原則。 不支援裝置型原則。 | 任何 My Apps 應用程式服務 | Android 和 iOS |
| Microsoft Teams Services - 此用戶端應用程式會控制支援 Microsoft Teams 及其所有用戶端應用程式的所有服務 - Windows 桌面、iOS、Android、Windows Phone 和 Web 用戶端 | Microsoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android 及 macOS |
| Office 2016 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 應用程式、通用 Office 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint Online | Windows 10 |
| Office 2016 (僅限 Word、Excel、PowerPoint、OneNote)。 | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10,macOS |
| Office 行動應用程式 | SharePoint | Android、iOS |
| Office Yammer 應用程式 | Yammer | Windows 10、iOS、Android |
| Outlook 2019 | SharePoint | Windows 10,macOS |
| Outlook 2016 (macOS 版 Office) | Exchange Online | macOS |
| Outlook 2016、Outlook 2013 (已啟用新式驗證)、商務用 Skype (採用新式驗證) | Exchange Online | Windows 8.1、Windows 7 |
| Outlook 行動應用程式 | Exchange Online | Android、iOS |
| Power BI 應用程式 | Power BI 服務 | Windows 10、Windows 8.1、Windows 7、Android 和 iOS |
| 商務用 Skype | Exchange Online | Android、iOS |
| Visual Studio Team Services 應用程式 | Visual Studio Team Services | Windows 10、Windows 8.1、Windows 7、iOS 和 Android |
Exchange ActiveSync 用戶端
- 組織只能在指派原則給使用者或群組時,選取 Exchange ActiveSync 用戶端。 選取 [所有使用者]、[所有來賓和外部使用者] 或 [目錄角色],將會使所有使用者都成為原則的主體。
- 建立指派給 Exchange ActiveSync 用戶端的原則時,Exchange Online 應該是指派給原則的唯一雲端應用程式。
- 組織可以使用 裝置平台 條件,將此原則的範圍縮小為特定平台。
如果指派給原則的存取控制使用 [需要核准的用戶端應用程式],則會將使用者導向安裝和使用 Outlook 行動用戶端。 在需要 多重要素驗證、使用規定或自訂控制項的情況下,受影響的使用者會遭到封鎖,因為基本驗證不支援這些控制項。
如需詳細資訊,請參閱下列文章:
其他用戶端
藉由選取 [其他用戶端],您可以指定會影響搭配使用基本驗證和郵件通訊協定 (如 IMAP、MAPI、POP、SMTP) 之應用程式的條件,這些條件也會影響不是使用新式驗證的舊版 Office 應用程式。
裝置狀態 (已取代)
這項預覽功能已被取代。 客戶應該在條件式存取原則中使用 [裝置的篩選] 條件來滿足案例,而案例先前是使用裝置狀態 (預覽) 條件來達成。
裝置狀態條件已用來從組織的條件式存取原則中,排除已使用混合式 Azure AD 而聯結的裝置,和/或標示為符合 Microsoft Intune 合規性原則的裝置。
例如,「所有使用者」存取「Microsoft Azure 管理」雲端應用程式時,包含 [所有裝置狀態],排除 [已使用混合式 Azure AD 而聯結的裝置]和 [標示為符合規範的裝置],且 [存取控制] 為 [封鎖]。
- 此範例會建立一個原則,只允許從「已使用混合式 Azure AD 而聯結的裝置」或「標示為符合規範的裝置」存取 Microsoft Azure 管理。
上述案例可以設定為使用「所有使用者」存取「Microsoft Azure 管理」雲端應用程式,並使用以下規則 device.trustType -ne "ServerAD" -or device.isCompliant -ne True 將 [裝置篩選條件] 設為 [不包括] 模式,[存取控制] 則設為 [封鎖]。
- 此範例會建立一個原則,封鎖不受管理或不符合規範的裝置對 Microsoft Azure Management cloud 應用程式的存取。
重要
裝置狀態和裝置篩選無法在條件式存取原則中搭配使用。 裝置篩選條件提供更精細的目標鎖定,包括透過 trustType 和 isCompliant 屬性鎖定裝置狀態資訊的支援。
裝置篩選條件
條件式存取中有一個新的選擇性條件,稱為「裝置篩選條件」。 當您將裝置篩選條件設定為條件時,組織可以透過採用規則運算式的篩選條件,依裝置屬性選擇要包含或排除裝置。 您可以使用規則產生器或規則語法來撰寫裝置篩選條件的規則運算式。 這項過程類似用於群組的動態成員資格規則。 如需詳細資訊,請參閱下列文章:條件式存取:裝置篩選 (預覽)。