規劃條件式存取部署

規劃條件式存取部署對於實現組織對應用程式與資源的存取策略非常重要。

Azure Active Directory (Azure AD) 條件式存取會分析訊號 (例如使用者、裝置與位置),以自動決定並為資源實施組織的存取原則。 條件式存取原則可讓您建置條件,以管理可以封鎖存取的安全性管控、需要多重要素驗證,或是在需要時限制使用者的工作階段,並在不需要時解除限制。

有了此評估與實行項目之後,條件式存取可定義 Microsoft 零信任安全性態勢管理的基礎。

Conditional Access overview

Microsoft 提供安全性預設值,確保可在沒有 Azure AD Premium 的租用戶中,已具備基本的安全性層級。 有了條件式存取之後,您可以建立原則,提供和安全性預設值相同但更加細微的保護。 條件式存取與安全性預設值不會合併,因為建立條件式存取原則會讓您無法啟用安全性預設值。

Prerequisites

了解條件式存取原則元件

原則會回答有關誰應該存取您的資源、應該存取哪些資源,以及在哪些條件下存取資源的問題。 原則的目的是為了授與存取權、限制工作階段控制的存取權,或封鎖存取權。 藉由定義 if-then 陳述式,可以建置條件式存取原則若符合指派,則套用存取控制

詢問正確的問題

以下是指派與存取控制的一些常見問題。 在建置每個原則的問題之前,請先記錄其解答。

使用者或工作負載身分識別

  • 原則中可以納入或排除哪些使用者、群組、目錄角色與工作負載身分識別?

  • 原則中應排除哪些緊急存取帳戶或群組?

雲端應用程式或動作 \(部分機器翻譯\)

此原則是否適用於任何應用程式、使用者動作或驗證內容? 若是-

  • 將套用原則的應用程式為何?
  • 將受此原則約束的使用者動作為何?
  • 此原則將套用什麼驗證內容?

條件

  • 將包含在原則中或從原則中排除的裝置平台為何?

  • 組織的信任位置為何?

  • 將包含在原則中或從原則中排除的位置為何?

  • 原則中將納入或排除什麼用戶端應用程式類型?

  • 您是否有原則會導致原則中將會排除 Azure AD 加入之裝置或混合式 Azure AD 加入之裝置?

  • 如果使用 Identity Protection,您是否要併入登入風險保護?

授與或封鎖

您是否要透過要求下列一或多個項目來授與對資源的存取權?

  • 需要 MFA

  • 裝置需要標記為符合規範

  • 需要已加入混合式 Azure AD 的裝置

  • 需要已核准的用戶端應用程式

  • 需要應用程式保護原則

  • 需要密碼變更

  • 運用使用條款

工作階段控制措施 \(部分機器翻譯\)

您是否要對雲端應用程式強制執行下列任何存取控制?

  • 使用應用程式強制執行限制

  • 使用條件式存取應用程式控制

  • 強制執行登入頻率

  • 使用持續性瀏覽器工作階段

  • 自訂持續性存取評估

存取權杖發行

存取權杖會根據提出要求的使用者是否通過授權及驗證,來授與或拒絕存取。 若要求者可以證明他們為自己所宣稱的身分,就可以存取受保護的資源或功能。

Access token issuance diagram

若條件式存取原則的條件,不會觸發存取控制,則預設會發出存取權杖

如此並不會讓應用程式無法有另一個授權來封鎖存取。 例如,假設有一個原則,其中:

  • 若使用者在財務小組中,「會」強制 MFA 可存取其薪資應用程式。

  • 而若不在財務小組中的使用者,嘗試存取薪資應用程式,則會對該使用者發出存取權杖。

  • 為確保財務團隊以外的使用者,無法存取薪資應用程式,應另外建立一個會封鎖所有其他使用者的原則。 若是除了財務小組與緊急存取帳戶團隊以外的所有使用者,要存取薪資應用程式,會封鎖存取。

遵循最佳做法

條件式存取可為您提供絕佳的設定彈性。 不過,絕佳的彈性也表示您應該先仔細地檢閱每個設定原則,然後才加以發行,以避免產生不想要的結果。

設定緊急存取帳戶

若原則的設定錯誤,可能會將組織封鎖定在 Azure 入口網站之外

透過在組織中建立兩個或多個緊急存取帳戶 \(部分機器翻譯\),來減輕管理員意外遭鎖定的影響。 建立一個專門用來管理原則,且從您的所有原則排除的使用者帳戶。

將條件式存取原則套用至每個應用程式

請確定每個應用程式至少都已套用了一個條件式存取原則。 從安全性的角度看,最好是建立內含「所有」雲端應用程式的原則,然後排除您不想要套用原則的應用程式。 如此可確保您不需要在每次新的應用程式上架時,更新條件式存取原則。

重要

在單一原則中使用區塊與所有應用程式要非常小心。 這樣可能會將系統管理員封鎖在 Azure 入口網站之外,而且無法針對重要端點 (例如 Microsoft Graph),設定排除範圍。

將條件式存取原則的數目降至最低

針對每個應用程式建立原則的效率不高,且會導致管理困難。 條件式存取將只會套用至每個使用者的前 195 個原則。 建議您分析您的應用程式,並將其分組,各應用程式組別對於相同的使用者具備相同的資源需求。 例如,若所有 Microsoft 365 應用程式或所有人力資源應用程式,針對相同的使用者具備相同的需求,請建立單一原則,並納入其套用的所有應用程式。

設定報告專用模式

可能很難預測一般部署計畫所影響的使用者數目與名稱,例如:

  • 封鎖舊版驗證
  • 要求使用 MFA
  • 實作登入風險原則

要對環境啟用條件式存取原則之前,系統管理員可利用僅產生報告模式,先行評估其影響。 先以僅產生報告模式設定您的原則,並在對您的環境施行之前,先執行一段時間

針對中斷進行規劃

如果您倚賴單一存取控制措施 (例如 MFA 或網路位置) 來保護您的 IT 系統,則單一存取控制措施無法使用或設定不正確時,很容易發生存取失敗。

為降低未預期的中斷而封鎖的風險,請規劃適用於您組織的策略

設定原則的命名標準

命名標準的助益在於,無須在 Azure 管理入口網站中開啟原則,即可尋找原則並了解其用途。 我們建議您為您的原則命名,以顯示:

  • 序號

  • 其適用的雲端應用程式

  • 回應

  • 適用的人員

  • 適用時機 (如果適用)

Screenshot that shows the naming standards for policies.

範例;要求從外部網路存取 Dynamics CRP 應用程式之行銷使用者使用 MFA 的原則可能是:

Naming standard

描述性名稱可協助您大致了解條件式存取的實作。 如果您需要參考交談中的原則,序號會很有用。 例如,如果您透過電話與管理員交談,您可以要求其開啟原則 CA01 來解決問題。

緊急存取控制措施的命名標準

除了作用中的原則外,也實作已停用的原則,作為中斷或緊急狀況的次要復原性存取控制 \(部分機器翻譯\)。 您用於應變原則的命名標準應該包含:

  • 開頭的 ENABLE IN EMERGENCY,使這個名稱在其他原則中脫穎而出。

  • 應該在中斷時套用的名稱。

  • 排序的序號,可協助系統管理員了解啟用原則的順序。

範例

下列名稱指出,如果發生 MFA 中斷,此原則是要啟用的四個原則中的第一個:

  • EM01 - ENABLE IN EMERGENCY:MFA 中斷 [1/4] - Exchange SharePoint:需要 VIP 使用者的混合式 Azure AD Join。

封鎖您未預期會登入的國家/地區。

Azure Active Directory 可讓您建立具名位置 \(部分機器翻譯\)。 建立允許的國家/地區清單,然後建立一個網路封鎖原則,排除這些「允許的國家/地區」。 對於主要位於小環境地理位置的客戶而言,如此可以產生較少的額外負荷。請務必豁免此原則的緊急存取帳戶

部署條件式存取原則

當新的原則準備就緒時,請分階段部署您的條件式存取原則。

建置您的條件式存取原則

請參閱常見的條件式存取原則,開始使用。 使用 Microsoft 建議的條件式存取範本,是最簡單的方式。 請務必要排除您的緊急存取帳戶。

評估原則影響

在生產環境中看到條件式存取原則的影響之前,建議先使用下列兩項工具執行模擬。

設定報告專用模式

根據預設,每個原則都建立在僅產生報告模式下,建議組織在開啟每項原則之前,先測試及監視使用狀況,以確保能獲得預期的結果。

啟用僅產生報告模式中的原則。 一旦您在報告專用模式中儲存原則之後,就可以在登入記錄中看到對即時登入的影響。 從登入記錄中選取事件,然後瀏覽至 [報告專用] 索引標籤,以查看每個報告專用原則的結果。

您可以在 [見解與報告] 活頁簿中,檢視條件式存取原則的彙總影響。 若要存取活頁簿,您需要 Azure 監視器訂閱,而且必須將登入記錄串流至 Log Analytics 工作區

使用模擬工具來模擬登入

驗證條件式存取原則的另一種方式,是使用模擬工具,其會模擬哪些原則適用於在假定情況下登入的使用者。 選取您要測試的登入屬性 (例如使用者、應用程式、裝置平台與位置),並查看將會套用哪些原則。

注意

雖然模擬執行可提供您對條件式存取原則所具有影響的概念,但其不會取代實際的測試執行。

測試您的原則

確定您會測試原則的排除準則。 例如,您可能會從原則排除需要 MFA 的使用者或群組。 測試是否會對排除的使用者提示進行 MFA,因為其他原則的組合可能要求那些使用者進行 MFA。

使用測試使用者執行測試方案中的每個測試。 測試計畫非常重要,它可用來比較預期結果和實際結果。 下表概述範例測試案例。 根據您條件式存取原則設定的方式,調整案例與預期的結果。

原則 狀況 預期的結果
有風險的登入 使用者利用未經核准的瀏覽器登入應用程式 根據使用者未執行登入的機率,計算風險分數。 需要使用者利用 MFA 進行自我補救
裝置管理 已授權的使用者嘗試從已授權的裝置登入 已授與存取權
裝置管理 已授權的使用者嘗試從未經授權的裝置登入 封鎖存取權
具風險使用者的密碼變更 已授權的使用者嘗試以被盜用的認證登入 (高風險登入) 根據您的原則,系統會提示使用者變更密碼或封鎖存取

部署在生產環境中

使用僅產生報表模式確認影響之後,系統管理員可以將 [啟用原則] 從 [報表專用] 切換為 [開啟]。

復原原則

如果您需要復原新實作的原則,請使用下列一或多個選項:

  • 停用原則。 停用原則可確保其不會在使用者嘗試登入時套用。 當您想要使用原則時,您隨時都可以回到這裡啟用原則。

enable policy image

  • 從原則中排除使用者或群組。 如果使用者無法存取應用程式,您可以選擇從原則排除使用者。

exclude users and groups

注意

您應該盡量避免使用此選項,只有在使用者可信任的情況時才使用。 您應該儘速將使用者加回原則或群組中。

  • 刪除原則。 如果已不再需要原則,請將其刪除

對條件式存取原則進行疑難排解

當使用者遇到條件式存取原則的問題時,請收集下列資訊,協助進行疑難排解。

  • 使用者主體名稱

  • 使用者顯示名稱

  • 作業系統名稱

  • 時間戳記 (接受近似值)

  • 目標應用程式

  • 用戶端應用程式類型 (瀏覽器與用戶端)

  • 相互關聯識別碼 (這是登入所獨有的)

如果使用者收到包含更多詳細資料連結的訊息,其可以為您收集大部分的資訊。

Can’t get to app error message

收集資訊之後,請參閱下列資源:

  • 條件式存取的登入問題 \(部分機器翻譯\) – 使用錯誤訊息和 Azure AD 登入記錄,了解與條件式存取相關的非預期登入結果。

  • 使用 What-If 工具 \(部分機器翻譯\) - 了解為什麼在特定情況下將原則套用於使用者或不套用於使用者,或者原則是否會在已知狀態下套用。

後續步驟

深入了解 Multi-Factor Authentication \(部分機器翻譯\)

深入了解 Identity Protection

使用 Microsoft Graph API 管理條件式存取原則