条件访问:以编程方式访问

许多组织已经表示需要尽可能地像管理代码一样管理他们的环境。 使用 Microsoft Graph,你可以像对待环境中的任何其他代码片段一样对待条件访问策略。

Microsoft Graph 提供了一个统一的可编程性模型,组织可使用该模型与 Microsoft 365、Windows 10 和企业移动性 + 安全性中的数据交互。 有关 Microsoft Graph 的详细信息,请参阅 Microsoft Graph 概述一文。

An image showing the primary resources and relationships that are part of the graph

以下示例按原样提供,不提供支持。 你可以将这些示例用作组织中工具的基础。

下面的许多示例使用托管标识逻辑应用OneDriveTeamsAzure Key Vault 之类的工具。

配置

PowerShell

重要

由于计划弃用较旧的 PowerShell 模块,因此未计划进一步更新这些模块来支持新的条件访问功能。 有关详细信息,请参阅最近的公告:https://aka.ms/AzureADPowerShellDeprecation。 根据此公告,新的条件访问功能在这些 PowerShell 模块中可能不可用或可能无法正常运行。 请考虑迁移到 Microsoft Graph PowerShell。 更多的指导和示例将会很快发布。

对于许多管理员而言,PowerShell 已经是一个很熟悉的脚本编写工具。 以下示例演示了如何使用 Azure AD PowerShell 模块来管理条件访问策略。

Microsoft 图形 API

此示例显示了 Microsoft Graph 中的条件访问 API 中提供的基本的创建、读取、更新和删除 (CRUD) 选项。 此示例还包括了一些 JSON 模板,你可以用这些模板来创建一些示例策略。

使用模板进行配置

使用条件访问 API,以便通过模板在预生产环境中部署条件访问策略。

测试

此示例使用审批工作流为更安全的部署做法建模,这些工作流可以将条件访问策略从一个环境(例如预生产环境)复制到另一个环境(例如生产环境)。

部署

此示例提供了一种机制,用于逐步为用户群体执行分阶段的部署条件访问策略,使你能够及早管理支持影响并发现问题。

监视

此示例提供了一种机制,用于监视一段时间内的条件访问策略更改,可以在密钥策略被更改时触发警报。

管理

备份和还原

使用此示例,通过 Teams 中的审批自动执行条件访问策略的备份和还原。

紧急访问帐户

多个管理员可能会创建条件访问策略,并且可能会忘记将紧急访问帐户添加为这些策略的排除项。 此示例可确保更新所有策略,以包括指定的紧急访问帐户。

应变规划

事情并非始终如你所愿,当发生意外情况时,你需要一种方法来返回到可以继续工作的状态。 下面的示例提供了一种方法,用于将策略还原到已知的良好应变计划并禁用其他条件访问策略。

社区贡献

GitHub 存储库中提供了这些示例。 我们很乐意通过 GitHub 问题和拉取请求来支持社区贡献事宜。

后续步骤