分享方式:

規劃條件式存取部署 (機器翻譯)

  • 文章

規劃條件式存取部署對於實現組織對應用程式和資源的存取策略非常重要。 條件式存取原則提供絕佳的設定彈性。 不過,這種彈性也表示您應該謹慎規劃,以避免不想要的結果。

Microsoft Entra 條件式存取會結合使用者、裝置和位置等訊號,以自動決定並為資源強制執行組織的存取原則。 這些條件式存取原則可協助您平衡安全性和生產力,在需要時強制執行安全性控制,在不需要時不妨礙使用者。

條件式存取是 Microsoft 零信任安全性原則引擎的基礎。

顯示高階條件式存取概觀的圖表。

Microsoft 提供了安全性預設值,可確保沒有 Microsoft Entra ID P1 或 P2 的租用戶,也啟用基本的安全性層級。 有了條件式存取之後,您可以建立原則,提供和安全性預設值相同但更加細微的保護。 您無法同時使用條件式存取與安全性預設值,因為建立條件式存取原則會讓您無法啟用安全性預設值。

必要條件

溝通變更

溝通是成功運用所有新功能的關鍵要素。 您應該主動與使用者溝通其體驗的變更方式、變更時間,以及遇到問題時如何取得支援。

條件式存取原則元件

條件式存取原則會回答哪些人可以存取您的資源、可存取哪些資源,以及哪些條件下可存取的問題。 原則的目的是為了授與存取權、限制工作階段控制的存取權,或封鎖存取權。 您可以藉由定義 if-then 陳述式來建置條件式存取原則,例如:

如果符合指定 套用存取控制
如果您是財務部門中存取薪資應用程式的使用者 需要多重要素驗證和相容的裝置
如果您不是財務部門中存取薪資應用程式的成員 封鎖存取
若使用者風險很高 需要多重要素驗證和安全密碼變更

使用者排除

條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:

  • 緊急存取急用帳戶,以防止整個租用戶帳戶鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
  • [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。

提問正確的問題

以下是指派與存取控制的一些常見問題。 在建置每個原則的問題之前,請先記錄其解答。

使用者或工作負載身分識別

  • 原則中可以納入或排除哪些使用者、群組、目錄角色或工作負載身分識別?
  • 原則中應排除哪些緊急存取帳戶或群組?

雲端應用程式或動作

此原則是否適用於任何應用程式、使用者動作或驗證內容? 若為是:

  • 原則會套用至哪些應用程式或服務?
  • 哪些使用者動作必須遵循此原則?
  • 此原則將套用至哪些驗證內容?
應用程式的篩選

使用篩選來包含或排除應用程式,而不是個別指定應用程式可協助組織:

  • 輕鬆地調整及指定任意數目的應用程式。
  • 使用類似的原則需求輕鬆管理應用程式。
  • 減少個別原則的數目。
  • 在編輯原則時減少錯誤:不需要手動從原則新增/移除應用程式。 只要管理屬性即可。
  • 克服原則大小限制。

條件

  • 該原則將納入或排除哪些裝置平台?
  • 組織已知的網路位置為何?
    • 該原則將納入或排除哪些位置?
  • 該原則已納入或排除哪些用戶端應用程式類型?
  • 您是否需要以特定裝置屬性為目標?
  • 如果使用 Microsoft Entra ID Protection,您要納入登入或使用者風險嗎?
使用者與登入風險

對於具有 Microsoft Entra ID P2 授權的組織,他們可以在其條件式存取原則中包含使用者和登入風險。 這些新增功能只有在使用者或登入被視為有風險時,才需要多重要素驗證或安全密碼變更,以協助降低安全性措施的摩擦。

如需風險及其在原則中使用的詳細資訊,請參閱什麼是風險一文。

封鎖或授與控制

您是否要透過要求下列一或多個項目來授與對資源的存取權?

  • 多重要素驗證
  • 標示為符合規範的裝置
  • 使用 Microsoft Entra 混合式聯結裝置
  • 使用核准的用戶端應用程式
  • 已套用應用程式保護原則
  • 密碼變更
  • 已接受使用規定

封鎖存取是功能強大的控制項,運用時應具備適當的知識。 具有 block 陳述式的原則可能會產生非預期的副作用。 在大規模啟用控制項之前,適當的測試和驗證非常重要。 在進行變更時,管理員應該利用條件式存取中的工具,例如條件式存取報告專用模式條件式存取中的 What If 工具

工作階段控制項

您是否要對雲端應用程式強制執行下列任何存取控制?

  • 使用應用程式強制執行限制
  • 使用條件式存取應用程式控制
  • 強制執行登入頻率
  • 使用持續性瀏覽器工作階段
  • 自訂持續性存取評估

組合原則

建立和指派原則時,您必須考慮存取權杖的運作方式。 存取權杖會根據提出要求的使用者是否通過授權及驗證,來授與或拒絕存取。 若要求者可以證明他們為自己所宣稱的身分,就可以存取受保護的資源或功能。

若條件式存取原則的條件,不會觸發存取控制,系統預設會發出存取權杖

此原則不會防止應用程式能夠封鎖存取。

例如,請考慮簡化的原則範例,其中:

使用者:FINANCE GROUP
存取:薪資應用程式
存取控制:多重要素驗證

  • 使用者 A 位於 FINANCE GROUP 中,其必須執行多重要素驗證才能存取薪資應用程式
  • 使用者 B 不在 FINANCE GROUP 中,會對其發出存取權杖,並允許其存取薪資應用程式,而不需要執行多重要素驗證。

為了確保 FINANCE GROUP 外部的使用者無法存取薪資應用程式,可以建立個別的原則來封鎖所有其他使用者,例如下列簡化的原則:

使用者:包含所有使用者/排除 FINANCE GROUP
存取:薪資應用程式
存取控制:封鎖存取

現在當使用者 B 嘗試存取其遭封鎖的薪資應用程式時。

建議

考慮到我們在使用條件式存取和支援其他客戶方面的經驗教訓,以下是一些根據我們的經驗的建議。

將條件式存取原則套用至每個應用程式

請確定每個應用程式至少都已套用了一個條件式存取原則。 從安全性的角度看,最好是建立內含「所有雲端應用程式」的原則,然後排除您不想要套用原則的應用程式。 此做法可確保您不需要每次在新的應用程式上架時,更新條件式存取原則。

提示

在單一原則中使用區塊與所有應用程式要非常小心。 這樣可能會使系統管理員遭封鎖,而且無法針對重要端點 (例如 Microsoft Graph) 設定排除項目。

將條件式存取原則的數目降至最低

針對每個應用程式建立原則的效率不高,且會導致管理困難。 條件式存取具有每個租用戶 195 個原則的限制。 此 195 原則限制包含任何狀態的條件式存取原則,包括報告專用模式 (開啟或關閉)。

建議您分析您的應用程式,並將其分組,各應用程式組別對於相同的使用者具備相同的資源需求。 例如,若所有 Microsoft 365 應用程式或所有人力資源應用程式,針對相同的使用者具備相同的需求,請建立單一原則,並納入其套用的所有應用程式。

條件式存取原則包含在 JSON 檔案中,並且該檔案受到大小限制,我們預計單一原則不會超出該大小限制。 若在原則中使用一長串 GUID,可能會達到此限制。 若遇到這些限制,建議您使用如下的替代方法:

設定僅限報告模式

根據預設,從範本建立的每個原則都會以報告專用模式建立。 我們建議組織先測試及監視使用量,以確保預期的結果,再開啟每個原則。

在報告專用模式中啟用原則。 在報告專用模式中儲存原則後,即可在登入記錄中看到對即時登入的影響。 從登入記錄中選取事件,然後瀏覽至 [報告專用] 索引標籤,以查看每個報告專用原則的結果。

您可以在見解與報告活頁簿中,檢視條件式存取原則的彙總影響。 若要存取活頁簿,您會需要 Azure 監視器訂用帳戶,而且必須將登入記錄串流到 Log Analytics 工作區

針對中斷進行規劃

為降低未預期的中斷而封鎖的風險,請為您組織規劃復原策略

設定原則的命名標準

命名標準的助益在於,無須在 Azure 管理入口網站中開啟原則,即可尋找原則並了解其用途。 我們建議您為您的原則命名,以顯示:

  • 序號
  • 適用的雲端應用程式
  • 回應
  • 適用的人員
  • 適用的時機

此圖顯示原則的範例命名標準。

範例;需要從外部網路存取 Dynamics CRP 應用程式之行銷使用者使用 MFA 的原則可能是:

此圖顯示範例命名標準。

描述性名稱可協助您大致了解條件式存取的實作。 如果您需要參考交談中的原則,序號會很有用。 例如,如果您透過電話與管理員交談,您可以要求其開啟原則 CA01 來解決問題。

緊急存取控制措施的命名標準

除了作用中的原則外,也實作已停用的原則,作為中斷或緊急狀況的次要復原性存取控制 \(部分機器翻譯\)。 您用於應變原則的命名標準應該包含:

  • 開頭的 ENABLE IN EMERGENCY,使這個名稱在其他原則中脫穎而出。
  • 應該在中斷時套用的名稱。
  • 排序的序號,可協助系統管理員了解啟用原則的順序。

範例:下列名稱指出,如果發生 MFA 中斷,此原則是要啟用的四個原則中的第一個:

  • EM01 - 啟用緊急狀態:MFA 中斷 [1/4] - Exchange SharePoint:VIP 使用者需要 Microsoft Entra 混合式聯結。

封鎖您未預期會登入的國家/地區

Microsoft Entra ID 可讓您建立具名位置。 建立允許的國家/地區清單,然後建立一個網路封鎖原則,排除這些「允許的國家/地區」。 此選項會為以較小地理位置為基礎的客戶產生較少的額外負荷。 請務必使您的緊急存取帳戶免受此原則的影響

部署條件式存取原則

準備就緒後,請分階段部署條件式存取原則。

建置條件式存取原則

請參閱條件式存取原則範本適用於Microsoft 365 組織的一般安全性原則,以搶佔先機。 這些範本是部署 Microsoft 建議的便利方式。 請務必要排除您的緊急存取帳戶。

評估原則影響

建議您使用下列工具來評估原則在變更前後的效果。 模擬執行可供您了解條件式存取原則的效果,並不會取代正確設定的開發環境中的實際測試執行。

測試您的原則

確定您會測試原則的排除準則。 例如,您可能會從需要 MFA 的原則排除使用者或群組。 測試是否會對排除的使用者提示進行 MFA,因為其他原則的組合可能要求那些使用者進行 MFA。

使用測試使用者執行測試方案中的每個測試。 測試計畫非常重要,它可用來比較預期結果和實際結果。 下表概述一些測試案例範例。 根據您條件式存取原則設定的方式,調整案例與預期的結果。

原則 案例 預期的結果
有風險的登入 使用者利用未經核准的瀏覽器登入應用程式 根據使用者未執行登入的機率,計算風險分數。 需要使用者利用 MFA 進行自我補救
裝置管理 授權使用者嘗試從已授權的裝置登入 授與的存取權
裝置管理 授權使用者嘗試從未經授權的裝置登入 已封鎖存取
具風險使用者的密碼變更 授權使用者嘗試使用遭洩漏的認證登入 (高風險登入) 使用者收到變更密碼的提示,或根據您的原則已封鎖存取

部署在生產環境中

在您使用報告專用模式確認影響後,系統管理員可以將 [啟用原則] 開關從 [報表專用] 切換為 [開啟]

復原原則

如果您需要復原新實作的原則,請使用下列一或多個選項:

  • 停用原則。 停用原則可確保該原則不會在使用者嘗試登入時套用。 當您想要使用原則時,您隨時都可以回到這裡啟用原則。

  • 從原則中排除使用者或群組。 如果使用者無法存取應用程式,您可以選擇從原則排除使用者。

    警告

    應謹慎使用排除項目,僅在使用者受信任的情況下使用。 建議您儘速將使用者加回原則或群組中。

  • 如果原則已停用且不再需要,請將其刪除

對條件式存取原則進行疑難排解

若使用者遇到條件式存取原則的問題,請收集下列資訊,協助進行疑難排解。

  • 使用者主體名稱
  • 使用者顯示名稱
  • 作業系統名稱
  • 時間戳記 (接受近似值)
  • 目標應用程式
  • 用戶端應用程式類型 (瀏覽器與用戶端)
  • 相互關聯識別碼 (這是登入的專屬識別碼)

如果使用者收到包含更多詳細資料連結的訊息,其可以為您收集大部分的資訊。

範例錯誤訊息和更多詳細資料的螢幕擷取畫面。

收集資訊之後,請參閱下列資源:

  • 條件式存取的登入問題:使用錯誤訊息和 Microsoft Entra 登入記錄,了解與條件式存取相關的非預期登入結果。
  • 使用 What-If 工具 \(部分機器翻譯\) - 了解為什麼在特定情況下將原則套用於使用者或不套用於使用者,或者原則是否會在已知狀態下套用。

相關內容