建置條件式存取原則

如什麼是條件式存取一文所述，條件式存取原則是指派 和 存取控制 的 if-then 語句。條件式存取原則將訊號整合在一起，以制定決策及施行組織原則。

組織如何建立這些原則？需要什麼？這些套用方式為何？

Conditional Access (Signals + Decisions + Enforcement = Policies)

多個條件式存取原則可以隨時套用至個別使用者。在此情況下，必須滿足所有套用的原則。例如，如果一個原則需要多重要素驗證，而另一個原則需要相容的裝置，您必須完成 MFA，並使用相容的裝置。所有指派都是 邏輯 ANDed 。如果您已設定多個指派，則必須滿足所有指派才能觸發原則。

如果選取 [需要其中一個選取控制項] 的原則，我們會在定義的順序中提示，只要滿足原則需求，就會授與存取權。

所有原則都會在兩個階段中強制執行：

階段 1 ：收集會話詳細資料
- 收集會話詳細資料，例如原則評估所需的網路位置和裝置身分識別。
- 在僅限報表模式中啟用的原則和原則，會發生原則評估階段 1。
階段 2 ：強制執行
- 使用階段 1 中收集的會話詳細資料，以識別尚未符合的任何需求。
- 如果有設定為封鎖存取的原則，使用區塊授與控制，強制將會在此停止，而且使用者將會遭到封鎖。
- 系統會提示使用者完成下列順序在階段 1 期間未滿足的更多授與控制需求，直到滿足原則為止：
- 一旦滿足所有授與控制項之後，請套用會話控制項（應用程式強制執行、適用於雲端的 Microsoft Defender應用程式及權杖存留期）
- 所有啟用的原則都會進行原則評估階段 2。

作業

指派部分會控制條件式存取原則的人員、內容和位置。

使用者和群組會指派原則將包含或排除的人員。此指派可以包括所有使用者、特定使用者群組、目錄角色或外部來賓使用者。

雲端應用程式或動作可以包含或排除將受原則約束的雲端應用程式、使用者動作或驗證內容。

原則可以包含多個條件。

對於具有 Microsoft Entra ID Protection 的組織，產生的風險偵測可能會影響條件式存取原則。

具有多個裝置作業系統平臺的組織可能會想要在不同的平臺上強制執行特定原則。

用來計算裝置平臺的資訊來自未經驗證的來源，例如可以變更的使用者代理程式字串。

位置會將 IP 位址、地理位置和全域安全存取的相容網路連線到條件式存取原則決策。管理員istrators 可以選擇定義位置，並將某些位置標示為信任的位置，例如組織的主要網路位置。

使用者用來存取雲端應用程式的軟體。例如，「瀏覽器」和「行動應用程式和桌面用戶端」。根據預設，所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型，即使未設定用戶端應用程式條件也一樣。

用戶端應用程式條件的行為已于 2020 年 8 月更新。如果您有現有的條件式存取原則，它們會保持不變。不過，如果您在現有的原則上選取，則已移除設定切換，並選取套用原則的用戶端應用程式。

此控制項允許根據原則中的屬性，以特定裝置為目標。

條件式存取原則的存取控制部分會控制原則的強制執行方式。

授與可封鎖或授與存取權的原則強制執行方式可讓系統管理員使用。

封鎖存取只會封鎖指定指派下的存取。區塊控制項功能強大，應該具備適當的知識。

授與控制項可以觸發一或多個控制項的強制執行。

管理員istrators 可以選擇使用下列選項，要求其中一個先前的控制項或所有選取的控制項。多個控制項的預設值是需要全部。

會話控制項可以限制體驗

使用應用程式強制執行的限制
- 目前僅適用于 Exchange Online 和 SharePoint Online。
- 傳遞裝置資訊，以控制授與完整或有限存取權的體驗。
使用條件式存取應用程式控制
- 使用來自適用於雲端的 Microsoft Defender Apps 的訊號來執行下列動作：
  - 封鎖機密檔的下載、剪下、複製和列印。
  - 監視具風險的會話行為。
  - 需要標記敏感性檔案。
登入頻率
- 能夠變更新式驗證的預設登入頻率。
持續性瀏覽器會話
- 允許使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
自訂連續存取評估
停用復原預設值