使用條件式存取封鎖舊式驗證

由於與舊版驗證通訊協定相關的風險增加，Microsoft 建議組織使用這些通訊協定封鎖驗證要求，並要求進行新式驗證。 如需為何封鎖舊式驗證很重要的詳細資訊，請參閱操作說明：使用條件式存取封鎖對 Microsoft Entra ID 的舊式驗證 (部分機器翻譯) 一文。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 中斷帳戶 ，以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶 和服務 主體，例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

建立條件式存取原則

下列步驟可協助建立條件式存取原則，以封鎖舊式驗證要求。 此原則會以報告專用模式啟動，讓管理員可以判斷對現有使用者的影響。 當管理員確信原則會如預期套用時，可以切換至 [開啟]，或藉由新增特定群組和排除其他群組以進行階段部署。

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護] > [條件式存取] > [原則]。
3. 選取 [新增原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 底下，選取 [使用者和群組]，並選擇必須維持使用舊版驗證功能的任何帳戶。 Microsoft 建議您至少排除一個帳戶，以防您自己遭到鎖定。
6. 在 [目標資源資源>]（先前稱為雲端應用程式）>[包含] 下，選取 [所有資源] （先前為 [所有雲端應用程式] 。
7. 在 [條件] > [用戶端應用程式 (預覽)] 下，將 [設定] 設定為 [是]。
   1. 只檢查 [Exchange ActiveSync 用戶端] 和 [其他用戶端] 的方塊。
   2. 選取完成。
8. 在 [存取控制]>[授與] 下，選取 [封鎖存取]。
   1. 選取選取。
9. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
10. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

注意

完成第一個要素驗證之後，即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線，但是可以利用來自這些事件的訊號來決定存取權。

下一步

條件式存取範本 (部分機器翻譯)

使用報告專用模式來進行條件式存取，以確認新原則決策的結果。

如何將多功能裝置或應用程式設為使用 Microsoft 365 傳送電子郵件