條件式存取範本 (預覽)

條件式存取範本提供方便的方法,可部署與 Microsoft 建議一致的新原則。 這些範本的設計目的是提供最大的保護,而保護與各種客戶類型和位置的常用原則相符。

Azure 入口網站中的條件式存取原則和範本。

有 14 個條件式存取原則範本,依五個不同的案例進行篩選:

  • 安全基礎
  • 零信任
  • 遠端工作
  • 保護系統管理員
  • 新興威脅
  • 全部

Azure 入口網站>Azure Active Directory>安全性>條件式存取>新原則中,從範本 (Preview) 尋找範本。 選取 [顯示更多 ] 以查看每個案例中的所有原則範本。

從 Azure 入口網站中預先設定的範本建立條件式存取原則。

重要

條件式存取範本原則只會排除從範本建立原則的使用者。 如果您的組織需要 排除其他帳戶,您就能夠在建立原則後修改原則。 只要流覽至[Azure 入口網站>Azure Active Directory>安全性>條件式存取>原則],選取原則以開啟編輯器,並修改排除的使用者和群組,以選取您想要排除的帳戶。

每個原則預設都會以報告專用模式予以建立,因此建議組織先測試和監視使用狀況以確保能獲得預期的結果,再開啟每個原則。

組織可以選取個別原則範本,並:

  • 檢視原則設定的摘要。
  • 編輯,以根據組織需求自訂。
  • 匯出 JSON 定義以用於程式設計工作流程。
    • 您可以使用 [匯入 原則檔案 ] 選項,在主要條件式存取原則頁面上編輯並匯入這些 JSON 定義。

條件式存取範本原則

* 這四個原則同時設定時可提供安全性預設值所啟用的類似功能。

其他常見原則

使用者排除

條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:

  • 緊急存取急用帳戶,以避免整個租用戶帳戶遭到鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
  • 服務帳戶服務主體,例如 Azure AD Connect 同步處理帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 條件式存取不會封鎖服務主體所進行的呼叫。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將其取代為受控識別。 您暫時可以在基準原則中排除這些特定帳戶,來解決此問題。

後續步驟