工作負載身分識別的條件式存取

條件式存取原則過去只會在使用者存取 SharePoint Online 等應用程式和服務時套用至使用者。 我們現在延伸對條件式存取原則的支援，以套用至組織所擁有的服務主體。 我們會針對工作負載身分識別呼叫這項功能條件式存取。

工作負載身分識別是一種身分識別，可讓應用程式或服務主體存取資源，有時是在使用者的內容中。 這些工作負載身分識別與傳統使用者帳戶不同，因為它們：

• 無法執行多重要素驗證。
• 通常不會有正式的生命週期流程。
• 需要將其認證或祕密儲存於某處。

這些差異讓工作負載身分識別更難管理，並使其承受更高的盜用風險。

重要

需要工作負載身分識別進階版授權，才能建立或修改範圍設定為服務主體的條件式存取原則。 在沒有適當授權的目錄中，工作負載身分識別的現有條件式存取原則會繼續運作，但無法修改。 如需詳細資訊，請參閱 Microsoft Entra 工作負載 ID。  

注意

原則可以套用至租用戶中已註冊的單一租使用者服務主體。 協力廠商 SaaS 與多租用戶應用程式不在範圍內。 原則不會涵蓋受控識別。

工作負載身分識別的條件式存取會啟用封鎖服務主體：

• 從已知的公用IP範圍之外。
• 根據Microsoft Entra ID Protection 偵測到的風險。
• 結合 驗證內容。

實作

建立位置型條件式存取原則

建立適用於服務主體的位置型條件式存取原則。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]>[原則]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [此原則適用於何者？] 下，選取 [工作負載身分識別]。
   2. 在 [包含] 下，選擇 [選取服務主體] ，然後從清單中選取適當的服務主體。
6. 在 [目標資源]> [雲端應用程式]>[包含] 下，選取 [所有雲端應用程式]。 只有在服務主體要求權杖時，才會套用此原則。
7. 在 [條件]>[位置] 下，包含 [任何位置]，並排除您想要允許存取的 [選取位置]。
8. 在 [授與] 下，[封鎖存取] 是唯一可用的選項。 從允許的範圍外部提出權杖要求時，會封鎖存取。
9. 您可以使用僅限報表模式儲存原則，讓管理員可以估計效果，或藉由開啟原則來強制執行原則。
10. 選取 [建立] 完成您的原則。

建立風險型條件式存取原則

建立適用於服務主體的風險型條件式存取原則。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]>[原則]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [此原則適用於何者？] 下，選取 [工作負載身分識別]。
   2. 在 [包含] 下，選擇 [選取服務主體] ，然後從清單中選取適當的服務主體。
6. 在 [目標資源]> [雲端應用程式]>[包含] 下，選取 [所有雲端應用程式]。 只有在服務主體要求權杖時，才會套用此原則。
7. 在 [條件]> [服務主體風險] 下
   1. 將 [設定] 切換設定為 [是]。
   2. 選取您想要觸發此原則的風險層級。
   3. 選取完成。
8. 在 [授與] 下，[封鎖存取] 是唯一可用的選項。 看到指定的風險層級時，會封鎖存取。
9. 您可以使用僅限報表模式儲存原則，讓管理員可以估計效果，或藉由開啟原則來強制執行原則。
10. 選取 [建立] 完成您的原則。

復原

如果您想要復原這項功能，可以刪除或停用任何已建立的原則。

登入記錄

登入記錄會用來檢查原則如何針對服務主體強制執行，或當使用僅限報表模式時，對原則的預期影響。

1. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄][服務主體登入]>。
2. 選取記錄項目，然後選取「條件式存取」索引標籤來檢視評估資訊。

條件式存取封鎖服務主體時的失敗原因：「由於條件式存取原則，存取遭到封鎖。」

報告專用模式

若要檢視位置型原則的結果，請參閱 [登入報告] 中事件的 [報告專用] 索引標籤，或使用 [條件式存取深入解析和報告] 活頁簿。

若要檢視風險型原則的結果，請參閱 [登入報告] 中事件的 [僅限報告] 索引標籤。

參考

尋找 objectID

您可以從 Microsoft Entra 企業應用程式取得服務主體的 objectID。 無法使用 Microsoft Entra 應用程式註冊中的物件識別碼。 此識別碼是應用程式註冊的物件識別碼，而不是服務主體的物件識別碼。

1. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式]，選取您登錄的應用程式。
2. 從 [總覽] 索引標籤中，複製應用程式的 [物件識別碼]。 此識別碼是服務主體的唯一識別碼，可供條件式存取原則用來尋找呼叫的應用程式。

Microsoft Graph

使用 Microsoft Graph 搶鮮版 (Beta) 端點進行位置型設定的樣本 JSON。

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

下一步

• 使用條件式存取原則中的網路位置
• 什麼是條件式存取報告專用模式？