條件式存取範本
條件式存取範本提供方便的方法,可部署與 Microsoft 建議一致的新原則。 這些範本的設計目的是提供最大的保護,而保護與各種客戶類型和位置的常用原則相符。
範本類別
條件式存取原則範本會組織成下列類別:
Microsoft 建議這些原則作為所有組織的基底。 我們建議將這些原則部署為群組。
在 Microsoft Entra 系統管理中心>保護>條件式存取>從範本建立新原則中尋找這些範本。 選取 [ 顯示更多 ] 以查看每個類別中的所有原則範本。
重要
條件式存取範本原則只會排除從範本建立原則的使用者。 如果您的組織需要 排除其他帳戶,一旦建立原則,您就能夠修改原則。 您可以在 Microsoft Entra 系統管理中心>保護>條件式存取>原則中找到這些原則。 選取原則以開啟編輯器,並修改排除的使用者和群組,以選取您要排除的帳戶。
根據預設,每個原則都是在僅限報表模式中建立,我們建議的組織在開啟每個原則之前先測試及監視使用方式,以確保預期的結果。
組織可以選取個別原則範本,並:
- 檢視原則設定的摘要。
- 編輯,根據組織需求自定義。
- 匯出 JSON 定義,以用於程序設計工作流程。
- 您可以使用 [上傳原則檔案] 選項,在主要條件式存取原則頁面上編輯並匯入這些 JSON 定義。
其他常見原則
使用者排除
條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
- 如需詳細資訊,請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為用戶的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。