描述 Azure 條件式存取
條件式存取是 Microsoft Entra ID 用於根據身分識別訊號來允許 (或拒絕) 資源存取要求的工具。 這些訊號包括使用者是誰、使用者所在位置,以及使用者要求存取所用的裝置。
條件式存取可協助 IT 系統管理員:
- 讓使用者隨時隨地提高工作效率。
- 保護組織的資產。
條件式存取也可為使用者提供更細微的多重要素驗證體驗。 例如,如果使用者位於已知位置,則可能不需要提供第二個驗證要素。 但若登入訊號不尋常或使用者位於非預期的位置,即可能會面臨第二個驗證要素的挑戰。
在登入期間,條件式存取會收集使用者的訊號,並根據那些訊號做出決策,然後透過允許或拒絕存取要求,或對多重要素驗證回應發出挑戰,以強制執行該決策。
下圖說明此流程:
在這裡,訊號可能是使用者的位置、裝置或嘗試存取的應用程式。
根據這些訊號,如果使用者從其平常的位置登入,則決策可能會允許完整存取。 如果使用者從不尋常位置或標示為高風險的位置登入,則可能會完全封鎖存取,或在使用者提供第二種形式的驗證後,才可能授與存取權。
強制執行是執行決策的動作。 例如,動作可以是允許存取,或要求使用者提供第二種形式的驗證。
何時可使用條件式存取?
需要執行下列動作時,條件式存取會很實用:
- 需要多重要素驗證 (MFA) ,才能根據要求者的角色、位置或網路來存取應用程式。 例如,您可以要求管理員使用 MFA,但不需要一般使用者或從公司網路外部連線的人員。
- 要求只能透過核准的用戶端應用程式來存取服務。 例如,您可以限制哪些電子郵件應用程式能夠連線到您的電子郵件服務。
- 要求使用者只能從受控裝置存取應用程式。 「受控裝置」是符合安全性與合規性標準的裝置。
- 封鎖不受信任來源的存取,例如來自不明或非預期位置的存取。