一般條件式存取原則:封鎖舊版驗證
由於舊版驗證通訊協議的風險增加,Microsoft建議組織封鎖使用這些通訊協議的驗證要求,並要求新式驗證。 如需為何封鎖舊版驗證很重要的詳細資訊,請參閱如何:使用條件式存取封鎖舊版驗證以Microsoft Entra ID 一文。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
範本部署
組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。
建立條件式存取原則
下列步驟可協助建立條件式存取原則來封鎖舊版驗證要求。 此原則會設定為 僅限報表模式 以啟動,讓系統管理員可以判斷他們對現有用戶的影響。 當系統管理員覺得原則如所要套用時,可以藉由新增特定群組並排除其他人,切換至 開啟 或暫存部署。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取>原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇任何必須維護使用舊版驗證能力的帳戶。 Microsoft建議您排除至少一個帳戶,以防止自己被鎖定。
- 在 [目標資源>雲端應用程式>包含] 下,選取 [所有雲端應用程式]。
- 在 [條件>用戶端應用程式] 底下,將 [設定] 設定為 [是]。
- 只核取 Exchange ActiveSync 用戶端和其他用戶端的方塊。
- 選取完成。
- 在 [訪問控制>授與] 底下,選取 [封鎖存取]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
注意
完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: