大多数用户的正常行为是可以跟踪的,如果其行为超出规范,则允许他们登录可能很危险。 你可能想要阻止该用户或要求他们查看特定的 使用条款策略。 Microsoft Purview可以提供一个内部风险信号给条件访问,以完善访问控制决策。 内部风险管理是 Microsoft Purview 的一部分。 必须先启用它,然后才能在条件访问中使用信号。
排除用户
条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:
-
紧急访问或破窗帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
- 有关更多信息,请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户。
-
Service accounts 和 Service principals(如 Microsoft Entra Connect Sync Account)。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体(service principal)发出的调用不受适用于用户的条件访问策略的阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识。
模板部署
组织可以按照下面所述的步骤或使用 条件访问模板部署此策略。
使用条件访问策略阻止访问
提示
在创建以下策略之前配置 自适应保护 。
- 登录到 Microsoft Entra 管理中心,身份至少为条件访问管理员。
- 请导航到 Entra ID>条件访问>策略。
- 选择“新策略”。
- 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
- 在分配下,选择用户或工作负载标识。
- 在“包含”选项下,选择“所有用户”。
- 在“排除”下:
- 选择“用户和组”,并选择组织的紧急访问或不受限帐户。
- 选择 来宾或外部用户 ,然后选择以下内容:
- B2B 直接连接用户。
- 服务提供商用户。
- 其他外部用户。
- 在“目标资源”>“资源(以前为云应用)”>“包括”下,选择“所有资源(以前为‘所有云应用’)”。
- 在 “条件>内部风险”下,将 “配置”设置为 “是”。
- 在 选择要分配以强制实施策略的风险级别 选项下。
- 选择“提升”。
- 选择完成。
- 在 选择要分配以强制实施策略的风险级别 选项下。
- 在访问控制>下,选择阻止访问,然后点击选择。
- 确认设置,然后将“启用策略”设置为“只限报告”。
- 选择“ 创建 ”以启用策略。
使用 策略影响或仅报告模式确认设置后,将 “启用策略” 开关从 “仅报告” 切换到 “启用”。
某些管理员可能会创建使用其他访问控制的其他条件访问策略,例如内部风险级别较低的使用条款。