需要符合規範的裝置、Microsoft Entra 混合加入的裝置，或所有使用者的多重驗證

部署 Microsoft Intune 的組織可以使用其裝置傳回的資訊來識別符合合規性需求的裝置，例如：

• 需要 PIN 才能解除鎖定
• 需要裝置加密
• 需要最小或最大作業系統版本
• 需要裝置未經過越獄或 Root 權限的破解

原則合規性資訊會傳送給 Microsoft Entra ID，讓條件式存取決定授與或封鎖對資源的存取。 如需裝置合規性政策的詳細資訊，請參閱在 裝置上設定規則，以允許使用 Intune 存取貴組織中的資源

是否需要 Microsoft Entra 混合式聯結裝置，取決於您的裝置是否已使用 Microsoft Entra 混合聯結。 如需詳細資訊，請參閱 設定Microsoft Entra 混合式聯結一文。

使用者排除名單

條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶：

• 緊急存取 或 緊急解鎖帳戶，以防止因為原則設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下，您的緊急存取系統管理帳戶可用來登入和復原存取權。
  • 如需詳細資訊，請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
• 服務帳戶和服務主體，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式，但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請將其取代 為受控識別。

範本部署

組織可以遵循下列步驟，或使用 條件式存取範本來部署此原則。

建立條件式存取原則

下列步驟將協助您建立條件式存取原則，要求多重要素驗證、存取資源的裝置需標記為符合組織的 Intune 合規性原則，或已使用 Microsoft Entra 混合聯結。

1. 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 流覽至 Entra ID>條件式存取>原則。
3. 選取新政策。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在「排除」下：
      1. 選取 [使用者和群組]
         1. 選擇貴組織的緊急存取權或緊急用戶帳戶。
         2. 如果您使用混合式身分識別解決方案，例如 Microsoft Entra Connect 或 Microsoft Entra Connect Cloud Sync，請選取 [目錄角色]，然後選取 [ 目錄同步處理帳戶]
6. 在 [目標資源>資源（先前稱為云端應用程式）>包含] 下，選取 [所有資源]（先前為「所有雲端應用程式」）。
   1. 如果您必須從原則中排除特定應用程式，您可以從 [排除] 索引標籤的 [選取排除的雲端應用程式] 下，選擇這些應用程式，然後選擇 [選取]。
7. 在 訪問控制>授予 底下。
   1. 選取 [需要多重因素驗證]、[裝置需要標記為符合規範]，以及 [需要 Microsoft Entra 混合加入裝置]
   2. 針對多個控件 ，選取 [需要其中一個選取的控件]。
   3. 選取 [選取]。
8. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
9. 選取 [建立] 以建立並啟用您的原則。

使用 原則影響或僅限報告模式確認您的設定之後，請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。

注意

即使您對所有使用者和所有資源（先前稱為「所有雲端應用程式」）選擇要求裝置標示為符合規範，仍可使用先前的步驟將新裝置註冊至 Intune。 要求裝置標示為符合規範 的控制項不會封鎖 Microsoft Intune 的註冊，也不會限制存取 Microsoft Intune Web 公司入口網站應用程式。

已知行為

在 iOS、Android、macOS 和一些非Microsoft網頁瀏覽器上，Microsoft Entra ID 會使用以 Microsoft Entra ID 註冊裝置時布建的用戶端憑證來識別裝置。 當使用者第一次透過瀏覽器登入時，系統會提示使用者選取憑證。 終端使用者必須選取此憑證，才能繼續使用瀏覽器。

訂用帳戶啟用

使用訂閱啟用功能讓使用者從某個 Windows 版本升級的組織，若要使用條件式存取政策來控制存取權，需要使用 選取排除的雲端應用程式 將下列其中一個雲端應用程式從其條件式存取政策中排除：

• 通用市集服務 API 和 Web 應用程式、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

• Windows 商務市集，AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。

雖然這兩個實例中的應用程式識別碼都相同，但雲端應用程式的名稱取決於租用戶。

當裝置離線一段時間，如果此條件式存取排除未到位，裝置可能不會自動重新啟動。 設定此條件式存取排除可確保訂閱啟用能夠持續順暢運作。

從 Windows 11 版本 23H2 與 KB5034848 或更新版本開始，當訂閱啟用需要重新啟用時，系統會提示使用者使用快顯通知進行驗證。 通知會顯示下列訊息：

您的帳戶需要驗證

請登入您的公司或學校帳戶，以確認您的資訊。

此外，在 [ 啟用 ] 窗格中，可能會出現下列訊息：

請登入您的公司或學校帳戶，以確認您的資訊。

當裝置離線一段時間時，通常會出現驗證提示。 這項變更消除了需要在 Windows 11 版本 23H2 的條件式存取原則中排除 KB5034848 或更高版本的需求。 如果不希望使用提示通知進行使用者驗證，可以在搭配 KB5034848 或更高版本的 Windows 11 23H2 中使用條件式存取原則。

下一步

條件式存取範本

使用僅限條件式存取報表模式來判斷效果

使用條件式存取的僅限報表模式來判斷新原則決策的結果。

裝置合規性政策可與 Microsoft Entra 識別碼搭配使用