使用存取權檢閱來管理條件式存取原則中排除的使用者

在理想的世界中，所有使用者都遵循存取原則來保護組織資源的存取。 不過，有時候會有需要您視為例外狀況的商務案例。 本文將討論一些可能需要排除的情況範例。 身為 IT 系統管理員的您可以管理這項工作，避免疏忽原則例外狀況，以及向稽核員提供使用 Microsoft Entra 存取權檢閱定期檢閱這些例外狀況的證明。

注意

必須使用有效的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管、Enterprise Mobility + Security E5 付費或試用版授權，才能使用 Microsoft Entra 存取權檢閱。 如需詳細資訊，請參閱 Microsoft Entra 版本。

為什麼要將使用者排除在原則中？

假設身為系統管理員，您決定使用 Microsoft Entra 條件式存取 來要求多重要素驗證 （MFA），並限制特定網路或裝置的驗證要求。 在部署規劃期間，您發現並非所有使用者都能符合這些需求。 例如，您可以讓從遠端辦公室工作的使用者，而不是內部網路的一部分。 您也可以在等候這些裝置更換時，使用不支援的裝置來容納連線的使用者。 簡言之，企業需要這些使用者登入並執行其工作，以便您將他們排除在條件式存取原則中。

另一個範例是，您可能會使用 條件式存取中的具名位置 來指定一組您不想讓使用者存取其租用戶的國家/地區。

不幸的是，某些使用者可能仍有從這些封鎖的國家/地區登入的有效理由。 例如，使用者可以外出工作，而且需要存取公司資源。 在此情況下，要封鎖這些國家/地區的條件式存取原則可以使用雲端安全組作為原則中排除的使用者。 在旅行時需要存取權的使用者，可以使用 Microsoft Entra 自助群組管理將自己新增至群組。

另一個範例可能是您有條件式存取原則 封鎖絕大多數使用者的舊版驗證。 不過，如果您有一些需要使用舊版驗證方法來存取特定資源的使用者，則可以從封鎖舊版驗證方法的原則中排除這些使用者。

注意

Microsoft 強烈建議您封鎖在租使用者中使用舊版通訊協定，以改善安全性狀態。

為什麼排除專案具有挑戰性？

在 Microsoft Entra ID 中，您可以將條件式存取原則的範圍設定為一組使用者。 您也可以選取 Microsoft Entra 角色、個別使用者或來賓來設定排除專案。 您應該記住，設定排除專案時，無法對排除的使用者強制執行原則意圖。 如果使用使用者清單或使用舊版內部部署安全組來設定排除專案，您就有限地瞭解排除範圍。 因此：

• 使用者可能不知道他們已被排除。

• 使用者可以加入安全組以略過原則。

• 排除的使用者之前可能已符合排除資格，但不再符合排除資格。

當您第一次設定排除專案時，通常會有略過原則的用戶入圍清單。 隨著時間推移，將更多使用者新增至排除範圍，清單也會成長。 在某些時候，您必須檢閱清單，並確認這些使用者仍然有資格排除。 從技術觀點來看，管理排除清單可能相當容易，但誰做出商務決策，以及如何確定其全部可稽核？ 不過，如果您使用 Microsoft Entra 群組來設定排除，您可以使用存取權檢閱作為補償控件、驅動可見度，並減少排除的用戶數目。

如何在條件式存取原則中建立排除群組

請遵循下列步驟來建立新的 Microsoft Entra 群組，以及不適用於該群組的條件式存取原則。

建立排除群組

1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分>識別群組>] [所有群組]。

3. 選取新增群組。

4. 在 [ 群組類型 ] 列表中，選取 [ 安全性]。 指定名稱和描述。

5. 請務必將 [成員資格 類型] 設定為 [已指派]。

6. 選取應該屬於此排除群組的用戶，然後選取 [ 建立]。

建立排除群組的條件式存取原則

現在您可以建立使用此排除群組的條件式存取原則。

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。

2. 瀏覽至 [保護]>[條件式存取]。

3. 選取 [建立新原則]。

4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

5. 在 [指派] 底下，選取 [使用者和群組]。

6. 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。

7. 在 [排除] 下，選取 [使用者和群組]，然後選擇您建立的排除群組。

   注意

   最佳做法是，在測試時，建議在測試時，從原則中排除至少一個系統管理員帳戶，以確保您未鎖定租使用者。

8. 繼續根據您的組織需求設定條件式存取原則。

讓我們討論兩個範例，您可以在其中使用存取權檢閱來管理條件式存取原則中的排除專案。

範例 1：從封鎖的國家/地區存取的使用者存取權檢閱

假設您有條件式存取原則，可封鎖來自特定國家/地區的存取。 它包含從原則中排除的群組。 以下是檢閱群組成員的建議存取權檢閱。

注意

至少需要 Identity Governance 管理員 istrator 或 User 管理員 istrator 角色，才能建立存取權檢閱。 如需建立存取權檢閱的逐步指南，請參閱： 建立群組和應用程式的存取權檢閱。

1. 每周都會進行檢閱。

2. 檢閱永遠不會結束，以確保您將此排除群組保持在最新狀態。

3. 此群組的所有成員都在檢閱範圍內。

4. 每個使用者都需要自我證明，他們仍然需要從這些封鎖的國家/地區存取，因此他們仍然需要成為群組的成員。

5. 如果使用者未回應檢閱要求，系統會自動從群組中移除這些要求，且在前往這些國家/地區時，不再具有租使用者的存取權。

6. 啟用電子郵件通知，讓使用者知道存取權檢閱的開始和完成。

範例 2：使用舊版驗證存取的使用者存取權檢閱

假設您有條件式存取原則，會封鎖使用舊版驗證和舊版用戶端版本的使用者存取，其中包含排除在原則中的群組。 以下是檢閱群組成員的建議存取權檢閱。

1. 此檢閱必須是週期性檢閱。

2. 群組中的每個人都需要檢閱。

3. 它可設定為將業務單位擁有者列為選取的檢閱者。

4. 自動套用結果，並移除未核准以繼續使用舊版驗證方法的使用者。

5. 啟用建議可能很有説明，讓大型群組的檢閱者可以輕鬆地做出決策。

6. 啟用郵件通知，讓使用者知道存取權檢閱的開始和完成。

重要

如果您有許多排除群組，因此需要建立多個存取權檢閱，Microsoft Graph 可讓您以程序設計方式建立和管理它們。 若要開始使用，請參閱使用 Microsoft Graph 中的存取權檢閱 API 參考和教學課程。

存取權檢閱結果和稽核記錄

既然您已準備好所有專案、群組、條件式存取原則和存取權檢閱，現在可以監視和追蹤這些評論的結果。

1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心。

2. 流覽至 [身分識別治理>存取權檢閱]。

3. 選取您使用的存取權檢閱與您建立排除原則的群組。

4. 選取 [ 結果 ] 以查看已核准留在清單和已移除的人員。

   

5. 選取 [稽核記錄 ] 以查看此檢閱期間所採取的動作。

身為IT系統管理員，您知道管理原則的排除群組有時是不可避免的。 不過，維護這些群組、定期由企業主或使用者自行檢閱這些群組，並透過存取權檢閱更輕鬆地稽核這些變更。

下一步

• 建立群組或應用程式的存取權檢閱
• 什麼是 Microsoft Entra 識別符中的條件式存取？