使用條件式存取原則來管理外部資源存取
條件式存取會解譯訊號、強制執行原則,並判斷使用者是否獲得資源的存取權。 在本文中,了解如何將條件式存取原則套用至外部使用者。 本文會假設您可能無法存取權利管理,這是您可以搭配條件式存取使用的功能。
深入了解:
下圖會說明觸發存取流程的條件式存取訊號。
開始之前
本文是 10 篇文章系列中的第 7 篇。 建議您依序檢閱文章。 移至 [後續步驟] 一節,以查看整個系列。
將安全性計劃與條件式存取原則對齊
建立安全性計劃的指導在 10 篇文章集中的第三篇文章中。 使用該計畫來建立外部存取的條件式存取原則。 安全性計劃的一部分包括:
- 針對簡化存取的群組應用程式和資源
- 外部使用者的登入需求
重要
在套用原則之前,先建立內部和外部使用者測試帳戶來測試原則。
請參閱第三篇文章,建立外部資源存取的安全性方案
外部存取的條件式存取原則
以下章節是與使用條件式存取原則控管外部存取相關的最佳做法。
權利管理或群組
如果您無法在權利管理中使用已連線的組織,請為合作夥伴組織建立 Microsoft Entra 安全性群組或 Microsoft 365 群組。 將該夥伴的使用者指派給群組。 您可以在條件式存取原則中使用這些群組。
深入了解:
條件式存取原則建立
盡可能建立很少的條件式存取原則。 將具有相同存取需求的應用程式新增至相同的原則。
條件式存取原則最多可套用至 250 個應用程式。 如果有超過 250 個應用程式具有相同的存取需求,請建立重複的原則。 例如,原則 A 適用於應用程式 1-250、原則 B 適用於應用程式 251-500 等等。
命名慣例
使用釐清原則用途的命名慣例。 外部存取範例包括:
- ExternalAccess_actiontaken_AppGroup
- ExternalAccess_Block_FinanceApps
允許特定外部使用者的外部存取
在某些情況下,必須允許小型特定群組的存取。
開始之前,建議您建立安全性群組,其中包含存取資源的外部使用者。 查看,快速入門:建立具有成員的群組,並檢視 Microsoft Entra ID 中的所有群組和成員。
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 選取 [建立新原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有來賓和外部使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇貴組織的緊急存取或急用帳戶,以及外部使用者安全性群組。
- 在 [目標資源資源>](先前稱為雲端應用程式)底下,選取下列選項:
- 在 [包含] 下,選取 [所有資源] (先前為 [所有雲端應用程式] )
- 在 [排除]下,選取您想要排除的應用程式。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取],然後選取 [選取]。
- 選取 [建立] 以建立並啟用您的原則。
注意
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
深入了解:在 Microsoft Entra ID 中管理緊急存取帳戶。
服務提供者存取
外部使用者的條件式存取原則可能會干擾服務提供者存取,例如細微委派的管理權限。
深入了解:細微委派系統管理權限 (GDAP) 簡介
條件式存取範本
條件式存取範本是一種便利的方法,來部署與 Microsoft 建議相符的新原則。 這些範本提供符合各種客戶類型和位置常用原則的保護。
深入了解:條件式存取範本 (預覽)
下一步
使用下列系列文章來了解如何保護對資源的外部存取。 建議您遵循列出的順序。