一般條件式存取原則:封鎖舊版驗證
由於舊版驗證通訊協議的風險增加,Microsoft 建議組織使用這些通訊協定封鎖驗證要求,並要求新式驗證。 如需為何封鎖舊版驗證很重要的詳細資訊,請參閱如何:使用條件式存取封鎖舊版驗證至 Microsoft Entra ID 一文。
範本部署
組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。
建立條件式存取原則
下列步驟將協助建立條件式存取原則來封鎖舊版驗證要求。 此原則會設定為 僅限報表模式 以啟動,讓系統管理員可以判斷他們對現有用戶的影響。 當系統管理員覺得原則如所要套用時,可以藉由新增特定群組並排除其他人,切換至 開啟 或暫存部署。
- 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [ 建立新原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇任何必須維護使用舊版驗證能力的帳戶。 Microsoft 建議您排除至少一個帳戶,以防止自己被鎖定。
- 在 [目標資源>雲端應用程式>包含] 下,選取 [所有雲端應用程式]。
- 在 [條件>用戶端應用程式] 底下,將 [設定] 設定為 [是]。
- 只核取 Exchange ActiveSync 用戶端和其他用戶端的方塊。
- 選取完成。
- 在 [訪問控制>授與] 底下,選取 [封鎖存取]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
注意
完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。