條件式存取範本 (預覽)

條件式存取範本提供方便的方法，可部署與 Microsoft 建議一致的新原則。 這些範本的設計目的是提供最大的保護，而保護與各種客戶類型和位置的常用原則相符。

有 14 個條件式存取原則範本，依五個不同的案例進行篩選：

• 安全基礎
• 零信任
• 遠端工作
• 保護系統管理員
• 新興威脅
• 全部

在Azure 入口網站>Azure Active Directory>安全性>條件式存取>新原則中，從範本 (Preview) 尋找範本。 選取 [顯示更多 ] 以查看每個案例中的所有原則範本。

重要

條件式存取範本原則只會排除從範本建立原則的使用者。 如果您的組織需要 排除其他帳戶，您就能夠在建立原則後修改原則。 只要流覽至[Azure 入口網站>Azure Active Directory>安全性>條件式存取>原則]，選取原則以開啟編輯器，並修改排除的使用者和群組，以選取您想要排除的帳戶。

每個原則預設都會以報告專用模式予以建立，因此建議組織先測試和監視使用狀況以確保能獲得預期的結果，再開啟每個原則。

組織可以選取個別原則範本，並：

• 檢視原則設定的摘要。
• 編輯，以根據組織需求自訂。
• 匯出 JSON 定義以用於程式設計工作流程。
  • 您可以使用 [匯入 原則檔案 ] 選項，在主要條件式存取原則頁面上編輯並匯入這些 JSON 定義。

條件式存取範本原則

• 封鎖舊版驗證*
• 系統管理員需要多重要素驗證*
• 所有使用者都需要多重要素驗證*
• 需要 Azure 管理的多重要素驗證*

* 這四個原則同時設定時可提供安全性預設值所啟用的類似功能。

• 封鎖未知或不受支援裝置平台的存取
• 沒有持續性瀏覽器工作階段
• 需要已核准的用戶端應用程式或應用程式保護
• 所有使用者都需要符合規範或已使用混合式 Azure AD 而聯結的裝置，或多重要素驗證
• 管理員需要符合規範或已使用混合式 Azure AD 而聯結的裝置
• 風險性登入需要多重要素驗證需要 Azure AD Premium P2
• 需要多重要素驗證以進行來賓存取
• 高風險使用者需要變更密碼需要 Azure AD Premium P2
• 保護安全性資訊註冊
• 對非受控裝置使用應用程式強制的限制

其他常見原則

• 依位置封鎖存取
• 封鎖特定應用程式以外的存取

使用者排除

條件式存取原則是功能強大的工具，建議您從您的原則中排除下列帳戶：

• 緊急存取或急用帳戶，以避免整個租用戶帳戶遭到鎖定。 雖然不太可能發生，但如果所有管理員都遭到鎖定而無法使用租用戶，緊急存取系統管理帳戶就可以用來登入租用戶，以採取存取權復原步驟。
  • 如需詳細資訊，請參閱在 Azure AD 中管理緊急存取帳戶一文。
• 服務帳戶和服務主體，例如 Azure AD Connect 同步處理帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 條件式存取不會封鎖服務主體所進行的呼叫。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將其取代為受控識別。 您暫時可以在基準原則中排除這些特定帳戶，來解決此問題。

後續步驟

• 使用條件式存取 What If 工具模擬登入行為。

• 使用報告專用模式來進行條件式存取，以確認新原則決策的結果。