條件式存取：目標資源

目標資源 (之前稱為雲端應用程式、動作和驗證內容) 是條件式存取原則中的重要訊號。 條件式存取原則允許系統管理員將控制項指派給特定應用程式、服務、動作或驗證內容。

• 系統管理員可以從應用程式或服務清單中進行選擇，而應用程式或服務包括內建 Microsoft 應用程式和任何 Microsoft Entra 整合式應用程式 (包括資源庫、非資源庫以及透過應用程式 Proxy 發佈的應用程式)。
• 系統管理員可能會選擇定義未根據雲端應用程式的原則，而是根據使用者動作，例如 [註冊安全性資訊] 或 [註冊或加入裝置]，讓條件式存取依據這些動作來強制執行控制項。
• 系統管理員可以將來自全域安全存取的流量轉送設定檔設為目標，以增強功能。
• 管理員可以使用驗證內容，在應用程式中提供額外的安全性層級。

Microsoft 雲端應用程式

許多現有的 Microsoft 雲端應用程式都包含在您可從中進行選取的應用程式清單中。

管理員可以將條件式存取原則指派給下列 Microsoft 的雲端應用程式。 如 Office 365 和 Windows Azure 服務管理 API 等特定應用程式，則包含多個相關的子系應用程式或服務。 我們會持續新增更多應用程式，因此下列清單並未包含所有項目，而且可能會變更。

• Office 365
• Azure Analysis Services
• Azure DevOps
• Azure 資料總管
• Azure 事件中樞
• Azure 服務匯流排
• Azure SQL Database 和 Azure Synapse Analytics
• Common Data Service
• Microsoft Application Insights 分析
• Microsoft Azure 資訊保護
• Windows Azure Service Management API
• Microsoft Defender for Cloud Apps
• Microsoft Commerce Tools 存取控制入口網站
• Microsoft Commerce Tools 驗證服務
• Microsoft Forms
• Microsoft Intune
• Microsoft Intune 註冊
• Microsoft Planner
• Microsoft Power Apps
• Microsoft Power Automate
• Bing 專用 Microsoft 搜尋
• Microsoft StaffHub
• Microsoft Stream
• Microsoft Teams
• Exchange Online
• SharePoint
• Yammer
• Office Delve
• Office Sway
• Outlook Groups
• Power BI 服務
• Project Online
• Skype for Business Online
• 虛擬私人網路 (VPN)
• Windows Defender ATP

重要

適用於條件式存取的應用程式已完成上架和驗證程序。 這份清單未包含所有的 Microsoft 應用程式，因為許多應用程式都是後端服務，而不會直接套用原則。 如果要尋找遺失的應用程式，您可以聯繫特定的應用程式小組，或在 UserVoice 上提出要求。

Office 365

Microsoft 365 提供雲端型的生產力和共同作業服務，例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 雲端服務經過深度整合，可保證提供順暢的共同作業體驗。 這項整合會在建立原則時造成混淆，因為某些應用程式 (如 Microsoft Teams) 與其他應用程式 (如 SharePoint 或 Exchange) 有相依性。

Office 365 套件可讓您同時以這些服務為目標。 建議使用新的 Office 365 套件，而非以個別的雲端應用程式為目標，以避免出現服務相依性的問題。

以此應用程式群組為目標，有助於避免發生因原則與相依性不一致而導致的問題。 例如：Exchange Online 應用程式繫結至傳統的 Exchange Online 資料，例如郵件、行事曆和連絡人資訊。 相關的中繼資料可能會透過不同的資源予以公開，例如搜尋。 為了確保所有中繼資料都採用預期的保護方式，管理員應該將原則指派給 Office 365 應用程式。

管理員可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 雲端應用程式。

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Windows Azure 服務管理 API

當您以 Windows Azure 服務管理 API 應用程式為目標時，會針對核發給一組緊密繫結至入口網站的權杖強制執行原則。 此分組包含下列各項的應用程式 ID：

• Azure Resource Manager
• Azure 入口網站，其中也涵蓋 Microsoft Entra 管理中心
• Azure Data Lake
• Application Insights API
• Log Analytics API

因為套用至 Azure 管理入口網站和 API、服務或具有 Azure API 服務相依性用戶端的原則可能會間接受到影響。 例如：

• Azure CLI
• Azure Data Factory 入口網站
• Azure DevOps
• Azure 事件中樞
• Azure PowerShell
• Azure 服務匯流排
• Azure SQL Database
• Azure Synapse
• 傳統部署模型 API
• Microsoft 365 系統管理中心
• Microsoft IoT Central
• SQL 受控執行個體
• Visual Studio 訂閱管理員入口網站

注意

Windows Azure Service Management API 應用程式適用於可呼叫 Azure Resource Manager API 的 Azure PowerShell。 其不適用於呼叫 Microsoft Graph API 的 Microsoft Graph PowerShell。

如需有關如何設定 Windows Azure 服務管理 API 的範例原則的詳細資訊，請參閱條件式存取：需要 Azure 管理的 MFA。

提示

針對 Azure Government，您應該以 Azure Government 雲端管理 API 應用程式為目標。

Microsoft 管理入口網站

當條件式存取原則以 Microsoft 管理員入口網站雲端 App 為目標時，會針對核發至下列 Microsoft 系統管理入口網站之應用程式 ID 的權杖強制執行原則：

• Azure 入口網站
• Exchange 系統管理中心
• Microsoft 365 系統管理中心
• Microsoft 365 Defender 入口網站概觀
• Microsoft Entra 系統管理中心
• Microsoft Intune 系統管理中心
• Microsoft Purview 合規性入口網站
• Microsoft Teams 系統管理中心

我們會不斷將更多系統管理入口網站新增至清單。

注意

Microsoft 系統管理員入口網站應用程式僅適用於所列出系統管理員入口網站的互動式登入。 此應用程式未涵蓋登入 Microsoft Graph 或 Azure Resource Manager API 這類基礎資源或服務。 這些資源受到 Windows Azure Service Management API 應用程式的保護。 這可讓客戶沿著系統管理員的 MFA 採用旅程移動，而不會影響依賴 API 和 PowerShell 的自動化。 準備好時，Microsoft 建議使用需要系統管理員一律執行 MFA 的原則，以進行全面保護。

其他應用程式

管理員可以將任何 Microsoft Entra 註冊應用程式新增至條件式存取原則。 這類應用程式可能包括：

• 透過 Microsoft Entra 應用程式 Proxy 發佈的應用程式
• 從資源庫新增的應用程式
• 不在資源庫中的自訂應用程式
• 透過應用程式傳遞控制器和網路發佈的舊版應用程式
• 使用密碼式單一登入的應用程式

注意

由於條件式存取原則會訂定服務存取需求，因此無法將之套用到用戶端 (公用/原生) 應用程式。 換句話說，並不是直接在用戶端 (公用/原生) 應用程式上設定原則，而是在用戶端呼叫服務時套用。 例如，SharePoint 服務上所設定的原則會套用至所有呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時，會套用 Exchange 上設定的原則。 因此無法在雲端應用程式選擇器中選取用戶端 (公用/原生) 應用程式，且在您租用戶中註冊的用戶端 (公用/原生) 應用程式設定中，無法使用 [條件式存取] 選項。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包括這些應用程式的唯一方法，是包括 [所有雲端應用程式]。

所有雲端應用程式

將條件式存取原則套用至 [所有雲端應用程式] 會導致針對所有發行至網站和服務的權杖強制執行原則。 此選項包括條件式存取原則中無法個別設為目標的應用程式，例如 Microsoft Entra ID。

在某些情況下，「所有雲端應用程式」原則可能會不小心地封鎖使用者存取。 這些案例會從原則強制執行中予以排除，並包括：

• 達到所需安全性態勢所需的服務。 例如，裝置註冊呼叫會從目標設為所有雲端應用程式的符合規範裝置原則中予以排除。

• Azure AD Graph 和 Microsoft Graph 呼叫，以存取使用者設定檔、群組成員資格和關聯性資訊，而這些通常是供從原則中排除的應用程式所使用。 列出已排除的範圍，如下所示。 仍然需要同意，應用程式才能使用這些權限。

  • 針對原生用戶端：
    • Azure AD Graph：email、offline_access、openid、profile、User.Read
    • Microsoft Graph：email、offline_access、openid、profile、User.Read、People.Read
  • 針對機密/已驗證的用戶端：
    • Azure AD Graph：email、offline_access、openid、profile、User.Read、User.Read.All、and User.ReadBasic.All
    • Microsoft Graph：email、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All、People.Read、People.Read.All、GroupMember.Read.All、Member.Read.Hidden

使用者動作

使用者動作是使用者所執行的工作。 條件式存取目前支援兩個使用者動作：

• 登錄安全性資訊：這個使用者動作可在已啟用合併註冊的使用者嘗試註冊其安全性資訊時，讓條件式存取原則強制執行。 如需詳細資訊，請參閱合併的安全性資訊註冊一文。

注意

套用以使用者動作為目標來註冊安全性資訊的原則時，如果使用者帳戶是來自 Microsoft 個人帳戶 (MSA) 的來賓，則使用 [需要多重要素驗證] 控制項將需要 MSA 使用者向組織註冊安全性資訊。 如果來賓使用者來自另一個提供者 (例如 Google)，則將會封鎖存取。

• 註冊或加入裝置：此使用者動作可讓系統管理員在使用者將裝置註冊或加入至 Microsoft Entra ID 時，強制執行條件式存取原則。 此原則會提供註冊或加入裝置的多重要素驗證設定細微性，而不是目前存在的租用戶原則。 此使用者動作有三個主要考量：
  • Require multifactor authentication 是此使用者動作唯一可使用的存取控制，其他存取控制都已停用。 這項限制可防止與根據 Microsoft Entra 裝置註冊或不適用於 Microsoft Entra 裝置註冊的存取控制發生衝突。
  • Client apps、Filters for devices 和 Device state 條件無法用於此使用者動作，因為這些條件會根據 Microsoft Entra 裝置註冊來強制執行條件式存取原則。

警告

使用 [註冊或加入裝置] 使用者動作來設定條件式存取原則時，您必須將 [身分識別] > [裝置] > [概觀] > [裝置設定] - Require Multifactor Authentication to register or join devices with Microsoft Entra 設定為 [否]。 否則，不會正確地強制執行具有此使用者動作的條件式存取原則。 有關此裝置設定的詳細資訊，可以參閱設定裝置設定。

流量轉送設定檔

全域安全存取中的流量轉送設定檔可讓系統管理員定義和控制如何透過 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取來路由傳送流量。 流量轉送設定檔可以指派給裝置和遠端網路。 如需如何將條件式存取原則套用至這些流量設定檔的範例，請參閱如何將條件式存取原則套用至 Microsoft 365 流量設定檔一文。

如需這些設定檔的詳細資訊，請參閱全域安全存取流量轉送設定檔一文。

驗證內容

驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式，或 Microsoft Defender for Cloud Apps 所保護的應用程式。

例如，組織可能會將檔案保留在 SharePoint 網站，例如午餐菜單或其神秘 BBQ 醬汁配方。 每個人都可以存取午餐菜單網站，但是具有神秘 BBQ 醬汁配方網站存取權的使用者可能需要從受控裝置存取並同意特定使用規定。

驗證內容適用於使用者或工作負載身分識別，但不適用於相同的條件式存取原則。

設定驗證內容

驗證內容是在 [保護] > [條件式存取] > [驗證內容] 下方進行管理。

選取 [新增驗證內容]，以建立新的驗證內容定義。 組織會限制為共 99 個驗證內容定義 c1-c99。 設定下列屬性：

• [顯示名稱] 是用來識別 Microsoft Entra ID 中驗證內容以及跨可取用驗證內容的應用程式的名稱。 我們建議採用可跨資源使用的名稱 (例如「受信任的裝置」)，以減少所需的驗證內容數目。 設定縮減可限制重新導向的數目，並提供更好的端對端使用者體驗。
• [描述] 提供系統管理員所使用原則以及將驗證內容套用至資源的原則的詳細資訊。
• [發佈至應用程式] 核取方塊選取時會將驗證內容公告至應用程式，並使其可供指派。 如果未核取，則下游資源無法使用驗證內容。
• [識別碼] 為唯讀資訊，用於要求特定驗證內容定義的權杖和應用程式中。 列在這裡，以供疑難排解和開發使用案例使用。

新增至條件式存取原則

管理員可以在其條件式存取原則中選取 [指派]>[雲端應用程式或動作] 下的已發佈驗證內容，然後從 [選取此原則的套用對象] 功能表選取 [驗證內容]。

刪除驗證內容

當您刪除驗證內容時，請確定沒有任何應用程式仍在使用該內容。 否則，不再保護對應用程式資料的存取。 您可以檢查套用驗證內容條件式存取原則案例的登入記錄，以確認此必要條件。

若要刪除驗證內容，其必須沒有指派的條件式存取原則，且不得發佈至應用程式。 這項需求有助於避免意外刪除仍在使用中的驗證內容。

使用驗證內容標記資源

如需在應用程式中使用驗證內容的詳細資訊，請參閱下列文章。

• 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
• 適用於雲端應用程式的 Microsoft Defender
• 自訂應用程式

下一步

• 條件式存取：條件
• 條件式存取一般原則
• 用戶端應用程式相依性