你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

什么是条件访问?

新式安全外围网络现已超出组织网络的范围,其中涵盖了用户和设备标识。 在做出访问控制决策过程中,组织可以使用标识驱动的信号。

条件访问会统合信号,以便做出决策并实施组织策略。 Azure AD 条件访问是新的标识驱动控制平面的核心。

概念性条件信号加上要实施的决策

最简单地讲,条件访问策略是一些 if-then 语句:如果用户想要访问某个资源,则必须完成某个操作。 示例:薪资管理人员想要访问薪资应用程序,而需要执行多重身份验证才能访问。

管理员面临着两个主要目标:

  • 使用户能够随时随地保持高效的工作
  • 保护组织的资产

使用条件访问策略,可以在必要时应用适当的访问控制来确保组织的安全。

概念性条件访问的流程

重要

完成第一因素身份验证后将强制执行条件访问策略。 在遇到拒绝服务 (DoS) 攻击等情景中,条件访问不应充当组织的第一道防线,但它可以使用这些事件的信号来确定访问权限。

常见信号

在做出策略方面的决策时,条件访问可以考虑的常见信号包括:

  • 用户或组成员身份
    • 策略可以针对特定的用户和组,并为管理员提供精细的访问控制。
  • IP 定位信息
    • 组织可以创建在做出策略决策时使用的受信任 IP 地址范围。
    • 管理员可以指定整个国家/地区的 IP 范围,阻断或允许来自其范围内的流量。
  • 设备
    • 实施条件访问策略时,用户可以使用的装有特定平台或标有特定状态的设备。
    • 使用设备的筛选器将策略目标设定为特定设备,例如特权访问工作站。
  • 应用程序
    • 尝试访问特定应用程序的用户可以触发不同的条件访问策略。
  • 实时风险和计算风险检测
    • 将信号与 Azure AD 标识保护相集成可让条件访问策略识别有风险的登录行为。 然后,策略可以强制用户更改密码或执行多重身份验证,以降低其风险级别,或者在管理员采取手动措施之前阻止其访问。
  • Microsoft Defender for Cloud Apps
    • 实时监视和控制用户应用程序的访问和会话,提高云环境中执行的访问和活动的透明度与控制度。

常见决策

  • 阻止访问
    • 最严格的决策
  • 授予访问权限
    • 最不严格的决策仍可要求以下一个或多个选项:
      • 需要多重身份验证
      • 要求将设备标记为合规
      • 要求使用加入混合 Azure AD 的设备
      • 需要批准的客户端应用
      • 需要应用保护策略(预览版)

经常应用的策略

许多组织都存在条件访问策略可以帮助解决的常见访问问题,例如:

  • 要求具有管理角色的用户执行多重身份验证
  • 要求在运行 Azure 管理任务时执行多重身份验证
  • 阻止用户尝试使用旧式身份验证协议登录
  • 要求在受信任的位置注册 Azure AD 多重身份验证
  • 阻止或允许来自特定位置的访问
  • 阻止有风险的登录行为
  • 要求在组织管理的设备上使用特定的应用程序

许可要求

使用此功能需要 Azure AD Premium P1 许可证。 若要根据需要查找合适的许可证,请参阅比较 Azure AD 的正式发布功能

拥有 Microsoft 365 商业高级版许可证的客户也可以访问条件访问功能。

基于风险的策略需要访问标识保护,这是一项 Azure AD P2 功能。

如果有其他产品和功能可能与条件访问策略交互,则需要为这些产品和功能提供适当的许可。

条件访问所需的许可证过期时,系统不会自动禁用或删除策略,因此客户可以从条件访问策略迁出,其安全状况不会突然改变。 可以查看和删除剩余的策略,但不能再对其进行更新。

安全默认值有助于防范与标识相关的攻击,并且适用于所有客户。

后续步骤