條件式存取:篩選應用程式
目前條件式存取原則可以套用至所有應用程式或個別應用程式。 具有大量應用程式的組織可能會發現此程式難以跨多個條件式存取原則進行管理。
條件式存取的應用程式篩選可讓組織標記具有自定義屬性的服務主體。 這些自定義屬性接著會新增至其條件式存取原則。 應用程式的篩選會在令牌發行運行時間進行評估,常見的問題是應用程式是在運行時間或設定時間指派。
在本檔中,您會建立自定義屬性集、將自定義安全性屬性指派給應用程式,以及建立條件式存取原則來保護應用程式。
指派角色
自定義安全性屬性具有安全性敏感性,而且只能由委派的使用者管理。 下列一或多個角色應該指派給管理或報告這些屬性的使用者。
角色名稱 | 描述 |
---|---|
屬性指派系統管理員 | 將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。 |
屬性指派讀取器 | 讀取支援的 Microsoft Entra 物件的自定義安全性屬性索引鍵和值。 |
屬性定義 管理員 istrator | 定義和管理自定義安全性屬性的定義。 |
屬性定義讀取器 | 讀取自定義安全性屬性的定義。 |
將適當的角色指派給在目錄範圍管理或報告這些屬性的使用者。 如需詳細步驟,請參閱 指派角色。
重要
根據預設,全域 管理員 istrator 和其他系統管理員角色沒有讀取、定義或指派自定義安全性屬性的許可權。
建立自訂安全性屬性
遵循文章中的指示, 在 Microsoft Entra ID 中新增或停用自定義安全性屬性,以新增下列 屬性集 和新 屬性。
- 建立名為 ConditionalAccessTest 的屬性集。
- 建立名為 policyRequirement 的新屬性,允許指派多個值,並只允許指派預先定義的值。 我們會新增下列預先定義的值:
- legacyAuthAllowed
- blockGuestUsers
- requireMFA
- requireCompliantDevice
- requireHybridJoinedDevice
- requireCompliantApp
注意
應用程式的條件式存取篩選僅適用於類型為 「string」 的自定義安全性屬性。 自定義安全性屬性支援建立布爾數據類型,但條件式存取原則僅支援 「string」。。
建立條件式存取原則
- 以至少條件式存取 管理員 istrator 和屬性定義讀取器身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 選取完成。
- 在 [目標資源] 底下,選取下列選項:
- 選取此原則適用於 雲端應用程式的內容。
- 包含 選取應用程式。
- 選取 [ 編輯篩選]。
- 將 [設定] 設定為 [是]。
- 選取我們稍早建立的屬性,稱為 policyRequirement。
- 將運算子設定為 Contains。
- 將 [值] 設定為 requireMFA。
- 選取完成。
- 在 [訪問控制>授與] 底下,選取 [授與存取權]、[需要多重要素驗證],然後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
設定自訂屬性
步驟 1:設定範例應用程式
如果您已經有使用服務主體的測試應用程式,您可以略過此步驟。
設定範例應用程式,示範作業或 Windows 服務如何使用應用程式身分識別來執行,而不是使用者的身分識別。 請遵循快速入門:取得令牌,並使用主控台應用程式的身分識別來建立此應用程式來呼叫 Microsoft Graph API 一文中的指示。
步驟 2:將自定義安全性屬性指派給應用程式
當您的租使用者中未列出服務主體時,就無法將它設為目標。 Office 365 套件是其中一個這類服務主體的範例。
- 至少以條件式存取 管理員 istrator 和屬性指派 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分>識別應用程式企業應用程式]。>
- 選取您要套用自定義安全性屬性的服務主體。
- 在 [管理>自定義安全性屬性] 底下,選取 [新增指派]。
- 在 [屬性集] 底下,選取 [條件式][AccessTest]。
- 在 [屬性名稱] 底下,選取 [原則][要求]。
- 在 [指派的值] 底下,選取 [新增值],從列表中選取 requireMFA,然後選取 [完成]。
- 選取 [儲存]。
步驟 3:測試原則
以套用原則的使用者身分登入,並測試存取應用程式時需要 MFA。
其他案例
- 封鎖舊版驗證
- 封鎖應用程式的外部存取
- 要求符合規範的裝置或 Intune 應用程式保護原則
- 強制特定應用程式的登入頻率控制件
- 需要特定應用程式的特殊許可權存取工作站
- 需要高風險使用者和特定應用程式的會話控件