共用方式為

條件式存取:目標資源

  • 發行項

目標資源(先前稱為雲端應用程式、動作和驗證內容)是條件式存取原則中的重要訊號。 條件式存取原則可讓系統管理員將控件指派給特定應用程式、服務、動作或驗證內容。

  • 系統管理員可以從包含內建Microsoft應用程式和任何Microsoft Entra 整合式應用程式的應用程式清單中進行選擇,包括資源庫、非資源庫,以及透過 應用程式 Proxy 發佈的應用程式。
  • 系統管理員可以選擇定義原則,而不是根據雲端應用程式,而是根據 用戶動作 ,例如 註冊安全性資訊註冊或加入裝置,允許條件式存取對這些動作強制執行控制。
  • 系統管理員可以將來自全域安全存取的流量轉送配置檔設為增強功能的目標。
  • 系統管理員可以使用 驗證內容 ,在應用程式中提供額外的安全性層。

顯示條件式存取原則和目標資源面板的螢幕快照。

Microsoft雲端應用程式

許多現有的 Microsoft 雲端應用程式都包含在您可從中進行選取的應用程式清單中。

系統管理員可以從 Microsoft 將條件式存取原則指派給下列雲端應用程式。 如 Office 365 和 Windows Azure 服務管理 API 等特定應用程式,則包含多個相關的子系應用程式或服務。 我們會持續新增更多應用程式,因此下列清單並不詳盡,而且可能會變更。

重要

條件式存取可用的應用程式已完成上線和驗證程式。 此清單不包含所有Microsoft應用程式,因為許多應用程式都是後端服務,而且不會直接套用原則。 如果您要尋找遺漏的應用程式,您可以連絡特定應用程式小組,或在UserVoice提出要求。

Office 365

Microsoft 365 提供雲端式生產力和共同作業服務,例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 個雲端服務已深入整合,以確保順暢且共同作業的體驗。 當建立原則時,此整合可能會導致混淆,例如Microsoft Teams 與其他應用程式相依於 SharePoint 或 Exchange。

Office 365 套件可讓您同時以這些服務為目標。 我們建議使用新的 Office 365 套件,而不是以個別雲端應用程式為目標,以避免服務相依性發生問題

以這組應用程式為目標有助於避免因原則和相依性不一致而引發的問題。 例如:Exchange Online 應用程式會系結至傳統的 Exchange Online 數據,例如郵件、行事曆和聯繫人資訊。 相關元數據可能會透過不同的資源公開,例如搜尋。 為了確保所有元數據都依預期受到保護,系統管理員應將原則指派給 Office 365 應用程式。

系統管理員可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 雲端應用程式。

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Windows Azure 服務管理 API

當您以 Windows Azure 服務管理 API 應用程式為目標時,會針對核發給一組緊密繫結至入口網站的權杖強制執行原則。 此分組包含下列各項的應用程式 ID:

  • Azure Resource Manager
  • Azure 入口網站,其中也涵蓋 Microsoft Entra 管理中心
  • Azure Data Lake
  • Application Insights API
  • Log Analytics API

由於原則會套用至具有 Azure API 服務相依性之 Azure 管理入口網站和 API、服務或用戶端,因此可能會間接受到影響。 例如:

  • Azure CLI
  • Azure Data Factory 入口網站
  • Azure DevOps
  • Azure 事件中樞
  • Azure PowerShell
  • Azure 服務匯流排
  • Azure SQL Database
  • Azure Synapse
  • 傳統部署模型 API
  • Microsoft 365 系統管理中心
  • Microsoft IoT Central
  • SQL 受控執行個體
  • Visual Studio 訂用帳戶系統管理員入口網站

注意

Windows Azure 服務管理 API 應用程式適用於 Azure PowerShell,其會呼叫 Azure Resource Manager API。 它不適用於 Microsoft Graph PowerShell,其會呼叫 Microsoft Graph API

如需有關如何設定 Windows Azure 服務管理 API 的範例原則的詳細資訊,請參閱條件式存取:需要 Azure 管理的 MFA

提示

針對 Azure Government,您應該以 Azure Government 雲端管理 API 應用程式為目標。

Microsoft 管理入口網站

當條件式存取原則以 Microsoft 管理員入口網站雲端 App 為目標時,會針對核發至下列 Microsoft 系統管理入口網站之應用程式 ID 的權杖強制執行原則:

  • Azure 入口網站
  • Exchange 系統管理中心
  • Microsoft 365 系統管理中心
  • Microsoft 365 Defender 入口網站概觀
  • Microsoft Entra 系統管理中心
  • Microsoft Intune 系統管理中心
  • Microsoft Purview 合規性入口網站
  • Microsoft Teams 系統管理中心

我們會不斷將更多系統管理入口網站新增至清單。

注意

Microsoft系統管理入口網站應用程式僅適用於列出的系統管理入口網站互動式登入。 此應用程式未涵蓋登入基礎資源或服務,例如 Microsoft Graph 或 Azure Resource Manager API。 這些資源會受到 Windows Azure 服務管理 API 應用程式的保護。 這可讓客戶沿著系統管理員的 MFA 採用旅程移動,而不會影響依賴 API 和 PowerShell 的自動化。 當您準備好時,Microsoft建議使用 原則,要求系統管理員一律 執行 MFA 以進行全面保護。

其他應用程式

管理員可以將任何 Microsoft Entra 註冊應用程式新增至條件式存取原則。 這類應用程式可能包括:

注意

由於條件式存取原則會設定存取服務的需求,因此您無法將它套用至用戶端(公用/原生)應用程式。 換句話說,原則不會直接在用戶端(公用/原生)應用程式上設定,但會在用戶端呼叫服務時套用。 例如,SharePoint 服務上設定的原則會套用至所有呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時,會套用 Exchange 上設定的原則。 這就是為什麼用戶端 (public/native) 應用程式無法用於在 Cloud Apps 選擇器和條件式存取選項中選取用戶端 (public/native) 應用程式在租用戶中註冊的應用程式設定中無法使用。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包含這些應用程式的唯一方法是包含 所有雲端應用程式

所有雲端應用程式

將條件式存取原則套用至 [所有雲端應用程式 ] 會導致針對發行至網站和服務的所有令牌強制執行原則。 此選項包括條件式存取原則中無法個別設為目標的應用程式,例如 Microsoft Entra ID。

在某些情況下, [所有雲端應用程式 ] 原則可能會不小心封鎖使用者存取。 這些案例會從原則強制執行中排除,包括:

  • 達到所需安全性狀態所需的服務。 例如,裝置註冊呼叫會從以所有雲端應用程式為目標的相容裝置原則中排除。

  • 呼叫 Azure AD Graph 和 Microsoft Graph,以存取從原則排除的應用程式常用的使用者配置檔、群組成員資格和關聯性資訊。 排除的範圍如下所示。 應用程式仍需要同意才能使用這些許可權。

    • 針對原生用戶端:
      • Azure AD Graph:電子郵件、offline_access、openid、配置檔、User.Read
      • Microsoft Graph:電子郵件、offline_access、openid、profile、User.Read、People.Read
    • 針對機密/已驗證的用戶端:
      • Azure AD Graph:電子郵件、offline_access、openid、profile、User.Read、User.Read.All 和 User.ReadBasic.All
      • Microsoft Graph:電子郵件、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All、People.Read、People.Read.All、GroupMember.Read.All、Member.Read.Hidden

使用者動作

用戶動作是使用者執行的工作。 條件式存取目前支援兩個使用者動作:

  • 註冊安全性資訊:此使用者動作可讓條件式存取原則在啟用合併註冊的用戶嘗試註冊其安全性資訊時強制執行。 如需詳細資訊, 請參閱合併安全性資訊註冊一文。

注意

套用原則以註冊安全性資訊為目標的用戶動作時,如果使用者帳戶是來自 Microsoft個人帳戶 (MSA) 的來賓,則使用 [需要多重要素驗證] 控件,將會要求 MSA 使用者向組織註冊安全性資訊。 如果來賓用戶來自其他提供者,例如 Google,則會封鎖存取。

  • 註冊或加入裝置:當用戶註冊加入裝置以Microsoft Entra ID 時,此用戶動作可讓系統管理員強制執行條件式存取原則。 它提供設定多重要素驗證以註冊或加入裝置,而不是目前存在的全租用戶原則的粒度。 此使用者動作有三個主要考慮:
    • Require multifactor authentication 是此用戶動作唯一可用的訪問控制,而所有其他訪問控制都會停用。 這項限制可防止與相依於 Microsoft Entra 裝置註冊的訪問控制發生衝突,或不適用於Microsoft Entra 裝置註冊。
    • Client appsFilters for devicesDevice state 條件無法透過此使用者動作使用,因為它們相依於Microsoft Entra 裝置註冊來強制執行條件式存取原則。

警告

當條件式存取原則設定為 [註冊] 或 [加入裝置] 用戶動作時,您必須將 [身分>識別裝置概觀>裝置>設定Require Multifactor Authentication to register or join devices with Microsoft Entra - ] 設定為 [否]。 否則,不會正確強制執行具有此使用者動作的條件式存取原則。 如需此裝置設定的詳細資訊,請參閱設定 裝置設定

流量轉送設定檔

全域安全存取中的流量轉送配置檔可讓系統管理員定義和控制如何透過 Microsoft Entra 網際網路存取 和 Microsoft Entra 私人存取 路由傳送流量。 流量轉送配置檔可以指派給裝置和遠端網路。 如需如何將條件式存取原則套用至這些流量配置檔的範例,請參閱如何將條件式存取原則套用至 Microsoft 365 流量配置檔一文

如需這些配置檔的詳細資訊,請參閱全域安全存取流量轉送配置檔一文

驗證內容

驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式,或 Microsoft Defender for Cloud Apps 所保護的應用程式。

例如,組織可能會將檔案保留在 SharePoint 網站中,例如午餐功能表或其秘密燒烤醬食譜。 每個人都可以存取午餐功能表網站,但有權存取秘密燒烤醬食譜網站的使用者可能需要從受管理裝置存取,並同意特定使用規定。

驗證內容適用於使用者或 工作負載身分識別,但不適用於相同的條件式存取原則。

設定驗證內容

驗證內容是在 [保護>條件式存取>驗證] 內容管理。

顯示驗證內容的管理螢幕快照。

選取 [新增驗證內容] 來建立新的驗證內容定義。 組織限制為總共99個驗證內容定義 c1-c99。 設定下列屬性:

  • 顯示名稱 是用來識別Microsoft Entra識別符和取用驗證內容之應用程式之驗證內容的名稱。 我們建議跨資源使用的名稱,例如 受信任的裝置,以減少所需的驗證內容數目。 降低集合會限制重新導向的數目,並提供更佳的用戶體驗。
  • 描述 提供有關系統管理員所使用之原則的詳細資訊,以及將驗證內容套用至資源的原則。
  • 核取時發佈至應用程式 複選框,將驗證內容公告給應用程式,並使其可供指派。 如果未檢查驗證內容,下游資源就無法使用。
  • 標識碼 是唯讀的,用於令牌和應用程式,以用於要求特定的驗證內容定義。 這裡列出疑難解答及開發使用案例。

新增至條件式存取原則

系統管理員可以在 [指派>雲端應用程式] 或 [動作] 底下的 [條件式存取] 原則中選取已發佈的驗證內容,然後從 [選取此原則套用至] 功能選取 [驗證內容]。

顯示如何將條件式存取驗證內容新增至原則的螢幕快照

刪除驗證內容

當您刪除驗證內容時,請確定沒有任何應用程式仍在使用它。 否則,不再保護應用程式數據的存取權。 您可以檢查套用驗證內容條件式存取原則時的情況登入記錄,以確認此必要條件。

若要刪除驗證內容,它不得有指派的條件式存取原則,不得發佈至應用程式。 這項需求有助於防止意外刪除仍在使用的驗證內容。

使用驗證內容標記資源

如需應用程式中驗證內容使用的詳細資訊,請參閱下列文章。

下一步