條件式存取:工作階段
在條件式存取原則中,系統管理員可以利用工作階段控制項,在特定的雲端應用程式中啟用有限的體驗。
應用程式強制執行的限制
組織可以使用此控制,要求 Microsoft Entra ID 將裝置資訊傳遞給選取的雲端應用程式。 裝置資訊可讓雲端應用程式知道連線是否來自相容或已加入網域的裝置,並更新會話體驗。 選取時,雲端應用程式會使用裝置資訊為使用者提供有限或完整的體驗。 當裝置不受管理或符合規範且已滿時,裝置受管理且符合規範時會受到限制。
如需支援的應用程式和如何設定原則的清單,請參閱下列文章:
條件式存取應用程控
條件式存取應用程式控制使用反向 Proxy 架構,並且僅與 Microsoft Entra 條件式存取整合。 Microsoft Entra 條件式存取可讓您根據特定條件,對貴組織的應用程式強制執行存取控制。 條件會定義條件式存取原則適用的使用者或使用者、雲端應用程式和位置和網路群組。 決定條件之後,您可以將使用者路由傳送至 適用於雲端的 Microsoft Defender Apps,藉由套用存取權和會話控件,以使用條件式存取應用程控來保護數據。
條件式存取應用程式控制讓您可以根據存取和工作階段原則,即時監視並控制使用者應用程式存取和工作階段。 存取和會話原則會在 適用於雲端的 Defender Apps 入口網站內使用,以精簡篩選條件並設定要採取的動作。 使用存取和工作階段原則,即可:
- 防止資料外流:您可以針對非受控裝置等項目,封鎖下載、剪下、複製和列印敏感性文件的功能。
- 下載時保護:除了封鎖敏感性文件的下載,您也可以要求文件使用 Azure 資訊保護來標記和保護文件。 此動作可確保文件受到保護,並限制潛在風險工作階段中的使用者存取。
- 防止上傳未標記的檔案:在上傳、散發及使用敏感性檔案之前,請務必確定檔案具有正確的標籤和保護。 如此可確保在使用者分類內容前,包含敏感性內容的未標記檔案都無法上傳。
- 監視使用者會話的合規性 (預覽):有風險的使用者會在登入應用程式時受到監視,且其動作會從會話內記錄。 您可以調查並分析使用者行為,瞭解日後套用工作階段原則的位置和條件。
- 封鎖存取(預覽):您可以根據數個風險因素,細微地封鎖特定應用程式和使用者的存取。 例如,如果您使用用戶端憑證做為裝置管理形式,您可以加以封鎖。
- 封鎖自訂活動:有些應用程式的特殊案例會帶有風險,例如,在應用程式 (例如 Microsoft Teams 或 Slack) 中傳送具有敏感性內容的訊息。 在這類案例中,您可以掃描郵件中是否有敏感性內容,並即時將其封鎖。
如需詳細資訊,請參閱為精選應用程式部署條件式存取應用程控一文。
登入頻率
登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。 管理員 istrators 可以選取一段時間(小時或天),或選擇每次都需要重新驗證。
登入頻率設定適用於根據標準實作 OAUTH2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和 Mobile 的 Microsoft 原生應用程式,包括下列 Web 應用程式都會遵循設定。
- Word、Excel、PowerPoint Online
- OneNote Online
- Office.com
- Microsoft 365 管理入口網站
- Exchange Online
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM Online
- Azure 入口網站
如需詳細資訊,請參閱使用條件式存取設定驗證會話管理一文。
持續性瀏覽器工作階段
持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時,保持登入狀態。
如需詳細資訊,請參閱使用條件式存取設定驗證會話管理一文。
自訂連續存取評估
連續存取評估 會在組織的條件式存取原則中自動啟用。 針對想要停用持續性存取評估的組織,此設定現在已是條件式存取中工作階段控制項內的一個選項。 連續存取評估原則的範圍可以設定為所有使用者或特定使用者和群組。 系統管理員在建立新原則或編輯現有的條件式存取原則時,可以選取下列選項。
- 只有在選取 [所有雲端應用程式] 時停用,未選取任何條件,且 [會話>自定義條件式存取原則中的持續存取評估] 底下會選取 [停用]。 您可以選擇停用所有使用者或特定使用者和群組。
停用復原預設值
在中斷期間,Microsoft Entra ID 會在強制執行條件式存取原則時,擴充現有會話的存取權。
如果停用復原預設值,一旦現有的會話過期,就會拒絕存取權。 如需詳細資訊,請參閱條件式存取:復原預設值一文。
需要登入工作階段的權杖保護 (預覽)
令牌保護(有時稱為業界中的令牌系結)會嘗試減少使用令牌竊取的攻擊,方法是確保令牌只能從預期的裝置使用令牌。 當攻擊者能夠藉由劫持或重新執行來竊取令牌時,他們可以模擬受害者,直到令牌到期或撤銷為止。 令牌竊取被認為是一個相對罕見的事件,但它的損害可能很重要。
預覽僅適用於特定案例。 如需詳細資訊,請參閱條件式存取:令牌保護(預覽)一文。
使用全域安全存取安全性設定檔 (預覽)
搭配條件式存取使用安全性配置檔,會將身分識別控制與 Microsoft 安全性服務 Edge (SSE) 產品中的網路安全性統一,Microsoft Entra 網際網路存取。 選取此工作階段控制項可讓您將身分識別和內容感知帶到安全性設定檔,這些配置檔是全域安全存取中建立和管理的各種原則群組。