条件访问:用户、组和工作负载标识

条件访问策略必须包括用户、组或工作负载标识分配,作为决策过程中的信号之一。 可以在条件访问策略中将这些标识包括在内或排除在外。 Microsoft Entra ID 会评估所有策略,确保只有满足所有要求才授予访问权限。

包括用户

此用户列表通常包括组织在条件访问策略中设为目标的所有用户。

创建条件访问策略时,可以包括以下选项。

    • 不选择任何用户
  • 所有用户
    • 目录中存在的所有用户,包括 B2B 来宾。
  • 选择“用户和组”
    • 来宾或外部用户
      • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
        • B2B 协作来宾用户
        • B2B 协作成员用户
        • B2B 直连用户
        • 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
        • 服务提供商用户,例如云解决方案提供商 (CSP)
        • 其他外部用户或未由其他用户类型选项代表的用户
      • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
    • 目录角色
      • 支持管理员选择用于确定策略分配的特定内置目录角色。 例如,组织可以对主动分配有特权角色的用户创建更严格的策略。 不支持其他角色类型,包括管理单元范围的角色和自定义角色。
        • 条件访问允许管理员选择一些作为弃用项列出的角色。 这些角色仍显示在基础 API 中,并允许管理员向其应用策略。
    • 用户和组
      • 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中任何类型的用户组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。

重要

选择条件访问策略中包含的用户和组时,可直接添加到条件访问策略中的单独用户数量存在限制。 如果需要将大量单独用户直接添加到条件访问策略,则建议将用户归为一组,并改为将该组分配到条件访问策略。

如果用户或组是 2048 个以上的组的成员,则其访问可能会被阻止。 此限制适用于直接组和嵌套组成员身份。

警告

条件访问策略不支持为用户分配范围为管理单元的目录角色或范围直接为对象的目录角色(例如,通过自定义角色进行角色分配时就是如此)。

注意

将策略定向到 B2B 直接连接外部用户时,这些策略也将应用于访问 Teams 或 SharePoint Online 的 B2B 协作用户,这些用户也有资格进行 B2B 直接连接。 这同样适用于面向 B2B 协作外部用户的策略,这意味着,如果访问 Teams 共享频道的用户在租户中也存在来宾用户,则会应用 B2B 协作策略。

排除用户

如果组织同时包括并排除某个用户或组,则会从策略中排除该用户或组。 排除操作会替代策略中的包括操作。 排除通常用于紧急访问或不受限帐户。 在以下文章中可以找到有关紧急访问帐户及其为何重要的详细信息:

创建条件访问策略时,可以排除以下选项。

  • 来宾或外部用户
    • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
      • B2B 协作来宾用户
      • B2B 协作成员用户
      • B2B 直连用户
      • 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
      • 服务提供商用户,例如云解决方案提供商 (CSP)
      • 其他外部用户或未由其他用户类型选项代表的用户
    • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
  • 目录角色
  • 用户和组
    • 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中的任何类型的组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。

防止管理员锁定

为防止管理员锁定,在创建应用于所有用户所有应用的策略时,会出现以下警告。

别把自己锁在外面! 我们建议先将策略应用于一小部分用户,以验证其行为是否符合预期。 我们还建议至少从此策略中排除一个管理员。 这可确保在需要更改时,你仍然可以访问策略并对其进行更新。 请查看受影响的用户和应用。

默认情况下,此策略会提供一个从策略中排除当前用户的选项,但管理员可以替代它,如下图所示。

警告:别把自己锁在外面!

如果发现自己被锁在外面,请参阅如果被锁定在外面,该怎么办?

外部合作伙伴访问权限

面向外部用户的条件访问策略可能会干扰服务提供商访问,例如,精细委派的管理员权限。请参阅精细委派的管理员权限 (GDAP) 简介。 对于旨在面向服务提供商租户的策略,请使用“来宾或外部用户”选项中提供的“服务提供商用户”外部用户类型。

工作负载标识

工作负载标识是允许应用程序或服务主体访问资源(有时在用户上下文中)的标识。 条件访问策略可应用于已在租户中注册的单租户服务主体。 第三方 SaaS 和多租户应用超出了范围。 策略未涵盖托管标识。

组织可以针对特定的工作负载标识,在策略中将其包括在内或排除在外。

有关详细信息,请参阅工作负载标识的条件访问一文。

后续步骤