常見的條件式存取原則:保護安全性信息註冊
使用條件式存取原則中的使用者動作,保護用戶註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的時機和方式。 這項功能可供已啟用 合併註冊的組織使用。 這項功能可讓組織將註冊程式視為條件式存取原則中的任何應用程式,並使用條件式存取的完整功能來保護體驗。 登入 Microsoft Authenticator 應用程式或啟用無密碼手機登入的使用者會受到此原則的約束。
過去某些組織可能已使用受信任的網路位置或裝置合規性作為保護註冊體驗的方法。 透過新增 Microsoft Entra 識別碼中的暫時存取傳遞 ,系統管理員可以為使用者提供限時認證,讓他們能夠從任何裝置或位置註冊。 暫時存取傳遞認證滿足多重要素驗證的條件式存取需求。
範本部署
組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。
建立原則以保護註冊
下列原則適用於選取的用戶,他們嘗試使用合併註冊體驗進行註冊。 此原則會要求用戶位於信任的網路位置、執行多重要素驗證或使用暫時存取傳遞認證。
- 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [ 建立新原則]。
- 在 [名稱] 中,輸入此原則的名稱。 例如, 結合安全性資訊註冊與 TAP。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
在 [包含] 下,選取 [所有使用者]。
警告
用戶必須啟用 合併註冊。
在 [排除] 底下。
選取 [所有來賓和外部使用者]。
注意
暫時存取通行證不適用於來賓使用者。
選取 [使用者和群組 ],然後選擇您組織的緊急存取權或打破帳戶。
- 在 [目標資源>用戶動作] 底下,檢查 [註冊安全性資訊]。
- 在 [條件>位置] 下。
- 將 [設定] 設定為 [是]。
- 包含 [任何位置]。
- 排除 [所有信任的位置]。
- 將 [設定] 設定為 [是]。
- 在 [訪問控制>授與] 底下。
- 選取 [ 授與存取權], [需要多重要素驗證]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
管理員 istrators 現在必須向新使用者發出暫時存取傳遞認證,才能滿足多重要素驗證註冊的需求。 若要完成這項工作,請參閱在 Microsoft Entra 系統管理中心建立暫時存取傳遞一節中找到。
組織可以選擇使用 或 取代 在步驟 8a 要求多重要素驗證 的其他授與控件。 選取多個控件時,請務必選取適當的單選按鈕切換,以在進行這項變更時要求 所有 或 其中一個 選取的控件。
來賓用戶註冊
對於需要在目錄中註冊多重要素驗證的來賓使用者,您可以選擇使用下列指南封鎖來自受信任網路位置外部的註冊。
- 以至少是條件式存取系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [ 建立新原則]。
- 在 [名稱] 中,輸入此原則的名稱。 例如,受信任網路上的合併安全性資訊註冊。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 底下,選取 [所有來賓和外部使用者]。
- 在 [目標資源>用戶動作] 底下,檢查 [註冊安全性資訊]。
- 在 [條件>位置] 下。
- 設定 [是]。
- 包含 [任何位置]。
- 排除 [所有信任的位置]。
- 在 [訪問控制>授與] 底下。
- 選取 [封鎖存取]。
- 然後按一下 [選取]。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。