共用方式為

建立條件式存取原則

  • 發行項

何謂條件式存取文章中所述,條件式存取原則是「指派」和「存取控制」的 if-then 陳述式。 條件式存取原則將訊號整合在一起,以制定決策及施行組織原則。

組織如何建立這些原則? 必要項目為何? 套用方式為何?

圖:顯示條件式存取訊號的概念以及可強制執行組織原則的決策。

多個條件式存取原則可能隨時會套用至個別使用者。 在此情況下,必須滿足所有套用的原則。 例如,如果某個原則需要多重要素驗證,而另一個原則需要符合規範的裝置,則您必須完成 MFA,並使用符合規範的裝置。 所有指派邏輯上都會使用 AND 運算子。 如果您設定多個指派,則必須滿足所有指派才能觸發原則。

如果選取 [需要其中一個選取的控制項] 的原則,則我們會依所定義的順序來提示,只要滿足原則需求,即會授與存取權。

所有的原則都會在兩個階段強制執行:

  • 第 1 階段:收集工作階段詳細資料
    • 收集進行原則評估所需的工作階段詳細資料,例如網路位置和裝置身分識別。
    • 原則評估的第 1 階段適用於已啟用的原則以及處於報告專用模式的原則。
  • 第 2 階段:強制執行

作業

指派部分可控制條件式存取原則的使用者、內容和位置。

使用者和群組

使用者和群組會指派原則在套用時所包括或排除的使用者。 此指派可以包括所有使用者、特定使用者群組、目錄角色或外部來賓使用者。

目標資源

目標資源可以包括或排除受制於原則的雲端應用程式、使用者動作或驗證內容。

網路

網路包含 IP 位址、地理位置和全域安全存取符合規範網路,以做出條件式存取原則決策。 系統管理員可以選擇定義位置,以及將一些位置標示為受信任 (例如,其組織主要網路位置的位置)。

條件

原則可以包含多個條件

登入風險

針對具有 Microsoft Entra ID Protection 的組織,該處所產生的風險偵測可能會影響您的條件式存取原則。

裝置平台

具有多個裝置作業系統平台的組織可能會在不同的平台上強制執行特定原則。

用來計算裝置平台的資訊來自未驗證的來源,例如可變更的使用者代理程式字串。

用戶端應用程式

使用者用於存取雲端應用程式的軟體。 例如,「瀏覽器」和「行動應用程式和桌面用戶端」。 根據預設,即使未設定用戶端應用程式條件,還是會將所有新建立的條件式存取原則都套用至所有用戶端應用程式類型。

裝置的篩選

此控制項允許根據特定裝置在原則中的屬性以將目標設為這些裝置。

存取控制

條件式存取原則的存取控制部分可控制原則的強制執行方式。

授與

授與會將一種原則強制執行方法提供給管理員,讓管理員可以封鎖或授與存取權。

封鎖存取

封鎖存取會這麼做,而且會封鎖所指定指派下方的存取。 封鎖控制項功能強大,使用時應具備適當的知識。

授予存取權

授與控制項可以觸發一或多個控制項的強制執行。

  • 需要多重要素驗證
  • 需要將裝置標示為符合規範 (Intune)
  • 需要 Microsoft Entra 混合式加入裝置
  • [需要已核准的用戶端應用程式]
  • 需要應用程式保護原則
  • 需要密碼變更
  • 需要使用規定

管理員可以選擇使用下列選項來要求其中一個先前的控制項或所有選取的控制項。 多個控制項的預設值是全部都需要。

  • 需要所有選取的控制項 (控制項「和」控制項)
  • 需要其中一個選取的控制項 (控制項「或」控制項)

會議

工作階段控制項可以限制使用者的體驗。

  • 使用應用程式強制執行限制:
    • 目前只能與 Exchange Online 和 SharePoint Online 搭配運作。
    • 傳遞裝置資訊,以允許控制授與完整或有限存取權的體驗。
  • 使用條件式存取應用程式控制項:
    • 使用適用於雲端應用程式的 Microsoft Defender 所發出的訊號來執行下列作業:
      • 封鎖敏感性文件的下載、剪下、複製和列印。
      • 監視具風險的工作階段行為。
      • 需要標記敏感性檔案。
  • 登入頻率:
    • 可以變更新式驗證的預設登入頻率。
  • 持續性瀏覽器工作階段:
    • 可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
  • 自訂持續性存取評估
  • 停用復原預設值

簡單原則

條件式存取原則至少必須包含下列項目才能強制執行:

  • 原則的「名稱」
  • 指派
    • 要套用原則的「使用者和/或群組」
    • 要套用原則的「雲端應用程式或動作」
  • 存取控制
    • 「授與」或「封鎖」控制項

空白條件式存取原則

常見的條件式存取原則這篇文章包含一些我們認為對大部分組織有用的原則。

相關內容