條件式存取:授與

在條件式存取原則中,系統管理員可以利用存取控制來授與或封鎖對資源的存取權。

Conditional Access policy with a grant control requiring multi-factor authentication

封鎖存取

封鎖會將任何指派列入考慮,並根據條件式存取原則設定防止存取。

Block 是功能強大的控制項,應該以適當的知識絕大部分是。 具有 block 語句的原則可能會有非預期的副作用。 適當的測試和驗證在大規模啟用之前是很重要的。 在進行變更時,系統管理員應該利用條件式存取中的工具,例如條件式 存取僅限報表模式What If 工具

授與存取權

系統管理員可以在授與存取權時,選擇強制執行一個或多個控制項。 這些控制項包括下列選項:

當系統管理員選擇合併這些選項時,他們可以選擇下列方法:

  • 需要 (控制項 控制項的所有選取控制項)
  • 需要其中一個選取的控制項 (控制項 控制)

依預設,條件式存取需要所有選取的控制項。

需要多重要素驗證

選取此核取方塊將會要求使用者執行 Azure AD Multi-Factor Authentication。 如需部署 Azure AD Multi-Factor Authentication 的詳細資訊,請參閱規劃雲端式 Azure AD Multi-Factor Authentication 部署一文。

商務 Windows Hello可滿足條件式存取原則中的多重要素驗證需求。

裝置需要標記為符合規範

已部署 Microsoft Intune 的組織可以使用其裝置傳回的資訊,來識別符合特定合規性需求的裝置。 此原則合規性資訊會從 Intune 轉送到 Azure AD,條件式存取可在此決定授與或封鎖對資源的存取權。 如需合規性政策的詳細資訊,請參閱文章中的 設定裝置規則,以允許使用 Intune 存取組織中的資源

裝置可針對任何裝置作業系統) 或協力廠商 MDM 系統(適用于 Windows 10 裝置),標示為符合 Intune (。 在 Intune 中支援協力廠商裝置合規性合作夥伴的文章中,可以找到支援的協力廠商 MDM 系統清單。

裝置必須先在 Azure AD 中註冊,才能標示為符合規範。 如需裝置註冊的詳細資訊,請參閱文章: 什麼是裝置身分識別

備註

  • 需要將裝置標示為符合規範的需求:
    • 僅支援 Windows Windows 目前 (Windows 10 +) 、iOS、Android 和 macOS 裝置,以 Azure AD 註冊並向 Intune 註冊。
    • 針對使用協力廠商 MDM 系統註冊的裝置,請參閱 在 Intune 中支援協力廠商裝置合規性夥伴
    • 條件式存取無法將 InPrivate 模式中的 Microsoft Edge 視為符合規範的裝置。

注意

在 Windows 7、iOS、Android、macOS 和一些協力廠商網頁瀏覽器上,Azure AD 使用在裝置向 Azure AD 註冊時所布建的用戶端憑證來識別裝置。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取該憑證。 終端使用者必須選取此憑證,才能繼續使用瀏覽器。

需要已加入混合式 Azure AD 的裝置

組織可以選擇使用裝置身分識別作為其條件式存取原則的一部分。 組織可以使用此核取方塊,要求將裝置加入混合式 Azure AD。 如需裝置身分識別的詳細資訊,請參閱文章 什麼是裝置身分識別?

使用 裝置程式碼 OAuth 流程時,不支援要求受管理的裝置授與控制或裝置狀態條件。 這是因為執行驗證的裝置無法將裝置狀態提供給提供程式碼的裝置,且權杖中的裝置狀態會鎖定至執行驗證的裝置。 請改用 [需要多重要素驗證] 授與控制權。

備註

  • 需要混合式 Azure AD 聯結裝置需求:
    • 僅支援已加入網域 Windows 下層 (預先 Windows 10) 和 Windows (Windows 10) 的裝置。
    • 條件式存取無法考慮以 InPrivate 模式 Microsoft Edge,因為混合式 Azure AD 加入的裝置。

需要已核准的用戶端應用程式

組織可能需要從已核准的用戶端應用程式進行存取所選雲端應用程式的存取嘗試。 這些核准的用戶端應用程式支援 Intune 應用程式保護原則 ,而不受任何行動裝置管理 (MDM) 解決方案。

為了套用此授與控制,條件式存取要求裝置必須在 Azure Active Directory 中註冊,而這需要使用訊息代理程式應用程式。 訊息代理程式應用程式可以是適用于 iOS 的 Microsoft Authenticator,或適用于 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。 當使用者嘗試驗證時,如果裝置上未安裝 broker 應用程式,則會將使用者重新導向至適當的 app store,以安裝所需的訊息代理程式應用程式。

已確認下列用戶端應用程式支援這項設定:

  • Microsoft Azure 資訊保護
  • Microsoft Bookings
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Power Automate
  • Microsoft Invoicing
  • Microsoft Kaizala
  • Microsoft Launcher
  • Microsoft 清單
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft 商務用 Skype
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft Whiteboard
  • Microsoft 365 系統管理員

備註

  • 經過核准的用戶端應用程式支援 Intune 行動應用程式管理功能。
  • 需要經過核准的用戶端應用程式需求:
    • 僅支援裝置平台條件適用的 iOS 和 Android。
    • 需要 broker 應用程式才能註冊裝置。 訊息代理程式應用程式可以是適用于 iOS 的 Microsoft Authenticator,或適用于 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。
  • 條件式存取無法考慮已核准的用戶端應用程式在 InPrivate 模式中 Microsoft Edge。
  • 使用 Azure AD 應用程式 Proxy 來啟用 Power BI 行動應用程式連線到內部部署 Power BI 報表伺服器,但需要 Microsoft Power BI 應用程式做為核准用戶端應用程式的條件式存取原則並不支援。

如需設定範例,請參閱文章 :如何:使用條件式存取要求已核准的用戶端應用程式存取雲端應用程式

需要應用程式保護原則

在您的條件式存取原則中,您可以在用戶端應用程式上要求有 Intune 應用程式保護原則 ,然後才可供選取的雲端應用程式存取。

為了套用此授與控制,條件式存取要求裝置必須在 Azure Active Directory 中註冊,而這需要使用訊息代理程式應用程式。 訊息代理程式應用程式可以是適用於 iOS 的 Microsoft 驗證器,或適用於 Android 裝置的 Microsoft 公司入口網站。 當使用者嘗試驗證時,如果裝置上未安裝 broker 應用程式,則會將使用者重新導向至 app store,以安裝訊息代理程式應用程式。

應用程式必須已實行符合原則保證Intune SDK ,並符合某些其他需求,才能支援這種設定。 使用 Intune SDK 來執行應用程式的開發人員可以在 SDK 檔中找到這些需求的詳細資訊。

已確認下列用戶端應用程式支援這項設定:

  • Microsoft Cortana
  • Microsoft Edge
  • Microsoft Excel
  • Microsoft 清單 (iOS)
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft Planner
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • Microsoft 待辦事項
  • Microsoft Word
  • 適用于 Intune 的多行
  • 九封郵件-電子郵件行事 & 曆

注意

Microsoft Kaizala,microsoft 商務用 Skype 和 microsoft Visio 不支援「需要應用程式保護原則」授與。 如果您需要這些應用程式才能運作,請使用 [需要專用的 核准應用程式 ] 授與。 這 or 三個應用程式在這兩個授與之間使用子句將無法運作。

備註

  • 應用程式保護原則的應用程式支援 Intune 行動應用程式管理功能與原則保護。
  • 需要應用程式保護原則需求:
    • 僅支援裝置平台條件適用的 iOS 和 Android。
    • 需要 broker 應用程式才能註冊裝置。 在 iOS 上,broker 應用程式是 Microsoft Authenticator,在 Android 上,則是 Intune 公司入口網站應用程式。

請參閱下列文章 :如何:需要應用程式保護原則和已核准的用戶端應用程式,以使用條件式存取來存取 設定範例的雲端應用程式。

需要密碼變更

當偵測到使用者風險時,若使用使用者風險原則條件,系統管理員可以選擇讓使用者使用 Azure AD 自助式密碼重設來安全地變更密碼。 如果偵測到使用者風險,使用者可以執行自助式密碼重設以進行自我補救,此程式將會關閉使用者風險事件,以防止系統管理員不必要的干擾。

當系統提示使用者變更其密碼時,必須先完成多重要素驗證。 您會想要確定所有的使用者都已註冊多重要素驗證,以便在偵測到其帳戶發生風險時做好準備。

警告

使用者必須先註冊自助式密碼重設,才能觸發使用者風險原則。

使用密碼變更控制項設定原則時的限制。

  1. 原則必須指派給「所有雲端應用程式」。 這項需求可防止攻擊者使用不同的應用程式來變更使用者的密碼,並藉由登入不同的應用程式來重設帳戶風險。
  2. 要求密碼變更無法與其他控制項一起使用,例如需要符合規範的裝置。
  3. 密碼變更控制只能與使用者和群組指派條件、雲端應用程式指派條件 ((必須設定為所有) 和使用者風險條件)一起使用。

使用規定

如果您的組織已建立使用規定,則 [授與控制] 下可能會顯示其他選項。 這些選項可讓系統管理員在存取受原則保護的資源時,要求使用規定的條件。 如需使用條款的詳細資訊,請參閱本文中的Azure Active Directory 使用條款

下一步