建立條件式存取原則
如什麼是條件式存取一文所述,條件式存取原則是指派和訪問控制的 if-then 語句。 條件式存取原則將訊號整合在一起,以制定決策及施行組織原則。
組織如何建立這些原則? 需要什麼? 這些套用方式為何?
多個條件式存取原則可以隨時套用至個別使用者。 在此情況下,必須滿足所有套用的原則。 例如,如果一個原則需要多重要素驗證,而另一個原則需要相容的裝置,您必須完成 MFA,並使用相容的裝置。 所有指派都是 邏輯 ANDed。 如果您設定多個指派,則必須滿足所有指派才能觸發原則。
如果選取 [需要其中一個選取控件] 的原則,我們會在定義的順序中提示,只要滿足原則需求,就會授與存取權。
所有原則都會在兩個階段中強制執行:
- 階段 1:收集工作階段詳細數據
- 收集會話詳細數據,例如原則評估所需的網路位置和裝置身分識別。
- 在僅限報表模式中啟用的原則和原則,會發生原則評估階段 1。
- 階段 2:強制執行
- 使用階段 1 中收集的會話詳細數據來識別不符合的任何需求。
- 如果有使用區塊授與控件設定的原則,強制會在此停止,並封鎖使用者。
- 系統會提示使用者完成下列順序在階段 1 期間未滿足的更多授與控制需求,直到符合原則為止:
- 一旦滿足所有授與控件,請套用會話控件(應用程式強制執行、適用於雲端的 Microsoft Defender 應用程式及令牌存留期)
- 所有啟用的原則都會進行原則評估階段 2。
作業
指派部分會控制條件式存取原則的人員、內容和位置。
使用者和群組
套用原則時,使用者和群組 會指派原則包含或排除的人員。 此指派可以包括所有使用者、特定使用者群組、目錄角色或外部來賓使用者。
目標資源
目標資源 可以包含或排除受原則約束的雲端應用程式、用戶動作或驗證內容。
網路
網路 包含IP位址、地理位置和 全域安全存取的相容網路 ,以做出條件式存取原則決策。 管理員 istrators 可以選擇定義位置,並將某些位置標示為其組織主要網路位置的信任位置。
條件
原則可以包含多個 條件。
登入風險
對於具有 Microsoft Entra ID Protection 的組織,產生的風險偵測可能會影響條件式存取原則。
裝置平台
具有多個裝置操作系統平台的組織可能會在不同的平台上強制執行特定原則。
用來計算裝置平台的信息來自未經驗證的來源,例如可以變更的使用者代理程式字串。
用戶端應用程式
用戶用來存取雲端應用程式的軟體。 例如,「瀏覽器」和「行動應用程式和桌面用戶端」。 根據預設,所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型,即使未設定用戶端應用程式條件也一樣。
裝置的篩選
此控制項允許根據原則中的屬性,以特定裝置為目標。
存取控制
條件式存取原則的訪問控制部分會控制原則的強制執行方式。
授與
授 與可封鎖或授與存取權的原則強制執行方式可讓系統管理員使用。
封鎖存取
封鎖存取只會封鎖指定指派下的存取。 區塊控件功能強大,應該具備適當的知識。
授予存取權
授與控件可以觸發一或多個控件的強制執行。
- 需要多重要素驗證
- 要求裝置標示為符合規範 (Intune)
- 需要已加入 Microsoft Entra 混合式裝置
- [需要已核准的用戶端應用程式]
- 需要應用程式保護原則
- 需要密碼變更
- 需要使用規定
管理員 istrators 可以選擇使用下列選項,要求其中一個先前的控件或所有選取的控件。 多個控制件的預設值是需要全部。
- 需要所有選取的控制項(控制項與控制器)
- 需要其中一個選取的控制項(控制項或控制件)
會議
會話控件 可以限制用戶的體驗。
- 使用應用程式強制執行的限制:
- 目前僅適用於 Exchange Online 和 SharePoint Online。
- 傳遞裝置資訊,以控制授與完整或有限存取權的體驗。
- 使用條件式存取應用程式程式控制:
- 使用來自 適用於雲端的 Microsoft Defender Apps 的訊號來執行下列動作:
- 封鎖機密檔的下載、剪下、複製和列印。
- 監視具風險的會話行為。
- 需要標記敏感性檔案。
- 使用來自 適用於雲端的 Microsoft Defender Apps 的訊號來執行下列動作:
- 登入頻率:
- 能夠變更新式驗證的預設登入頻率。
- 持續性瀏覽器會話:
- 允許使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
- 自訂連續存取評估
- 停用復原預設值
簡單原則
條件式存取原則至少必須包含下列條件,才能強制執行:
- 原則的名稱 。
- 作業
- 要套用原則的使用者和/或群組 。
- 要套用原則的雲端應用程式或動作 。
- 存取控制
- 授 與或 封鎖 控件
一般條件式存取原則一文包含一些我們認為對大多數組織有用的原則。