常見的條件式存取原則：封鎖具有內部風險的使用者存取

大部分使用者都有可追蹤的正常行為，而當他們超出此標準範圍時，光是允許他們登入就可能會有風險。 您可能要封鎖該使用者，或只是要求他們檢閱使用規定原則。 Microsoft Purview 可以提供條件式存取內部風險訊號，以精簡存取控制決策。 內部風險管理是 Microsoft Purview 的一部分。 您必須先啟用它，才能在條件式存取中使用訊號。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。 雖然不太可能發生，但如果所有管理員都遭到鎖定而無法使用租用戶，緊急存取系統管理帳戶就可以用來登入租用戶，以採取存取權復原步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
• [服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本。

使用條件式存取原則封鎖存取

提示

在您建立下列原則前，請先設定調適型保護。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]>[原則]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 底下：
      1. 選取 [使用者和群組]，然後選擇組織的緊急存取或急用帳戶。
      2. 選取 [來賓或外部使用者]，然後選擇以下內容：
         1. [B2B 直接連接使用者]。
         2. [服務提供者使用者]。
         3. [其他外部使用者]。
6. 在 [目標資源]>[雲端應用程式]>[包含] 底下，選取 [所有雲端應用程式]。
7. 在 [條件]>[內部風險] 底下，將 [設定] 設為 [是]。
   1. 在 [選取為強制執行原則而必須指派的風險層級] 底下。
      1. 選取 [提高]。
      2. 選取完成。
8. 在 [存取控制]>[授與] 下，選取 [封鎖存取]，然後選取 [選取]。
9. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
10. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

下一步

• 使用調適型保護來動態降低風險
• 內部風險作為條件
• 使用條件式存取報告專用模式判斷影響
• 使用報告專用模式來進行條件式存取，以確認新原則決策的結果。