條件式存取傳統原則移轉

條件式存取是 Azure Active Directory 用來將訊號結合在一起、進行決策及強制執行組織原則的工具。 條件式存取如何成為新身分識別導向控制平面的核心。 雖然出於相同目的，但新版的 Azure 入口網站導入了條件式存取運作方式的重大改善。

請考慮移轉尚未在 Azure 入口網站中建立的原則，因為：

• 您現在可以處理之前無法處理的案例。
• 您可以合併它們以減少必須管理的原則數目。
• 您可以在一個集中位置管理您的所有條件存取原則。
• Azure 傳統入口網站將被淘汰。

本文說明如何將現有的條件式存取原則移轉到新的架構。

傳統原則

在 Azure 入口網站中，您可以在 Azure Active Directory>安全性>條件式存取下找到條件式存取原則。 您的組織可能也會有非使用此頁面建立的舊版條件式存取原則。 這些原則也稱為「傳統原則」。 傳統原則是條件式存取原則，您已建立於：

• Azure 傳統入口網站
• Intune 傳統入口網站
• Intune 應用程式防護入口網站

在 [條件式存取] 頁面中，按一下 [管理] 區段中的 [傳統原則]，即可存取您的傳統原則。

傳統原則檢視會提供選項以便：

• 篩選傳統原則。

• 停用傳統原則。

• 檢閱傳統原則的設定，並將其停用。

  

警告

一旦停用，就無法重新啟用傳統原則。

傳統原則的詳細資料檢視可讓您記錄設定、修改包括或排除的群組，以及停用原則。

藉由變更所選的群組或排除特定群組，您可以先針對幾位使用者測試停用傳統原則後的效果，然後再針對所有包括的使用者和群組停用此原則。

移轉考量

在本文中，Azure AD 條件式存取原則也稱為「新原則」。 您的傳統原則會繼續與新原則並存運作，直到您停用或刪除它們為止。

下列是原則彙總內容中的重要層面：

• 雖然傳統原則會繫結至特定雲端應用程式，但您可以在一個新原則中選取您所需要數量的雲端應用程式。
• 雲端應用程式的傳統原則與新原則的控制項要求滿足所有的控制項 (AND)。
• 在新原則中，您可以：
  • 結合多個條件 (如果您的案例所需)。
  • 選取數個授與需求作為存取控制，並將它們與邏輯 OR (需要其中一個選取的控制項) 或與邏輯AND (需要所有選取的控制項)結合。

Exchange Online

如果您想要移轉的 Exchange Online 傳統原則包括 Exchange Active Sync 為用戶端應用程式條件，您可能無法將其合併成一個新原則。

例如，如果您想要支援所有的用戶端應用程式類型，就是這種情況。 在以 Exchange Active Sync 作為用戶端應用程式條件的新原則中，您無法選取其他用戶端應用程式。

如果傳統原則包含數個條件，也不可能彙總成一個新的原則。 以 Exchange Active Sync 作為用戶端應用程式條件的新原則不支援其他條件：

如果您已設定以 Exchange Active Sync 作為用戶端應用程式條件的新原則，您必須確定並未設定其他條件。

以應用程式為基礎的 Exchange Online 將 Exchange Active Sync 納入為用戶端應用程式條件的傳統原則，可允許支援和不支援的裝置平台。 雖然您無法在相關的新原則中設定個別裝置平台，但您可以讓支援僅限於支援的裝置平台。

您可以彙總多個將 Exchange Active Sync 納入為用戶端應用程式條件的傳統原則，前提是您：

• 只有 Exchange Active Sync 作為條件
• 已設定授與存取的幾項需求

常見的案例之一：

• 從 Azure 傳統入口網站彙總以裝置為基礎的傳統原則
• 在 Intune 應用程式防護入口網站中彙總以應用程式為基礎的傳統原則

在此情況下，您可以將傳統原則彙總成一個已選取兩項需求的新原則。

裝置平台

具有以應用程式為基礎的控制項的傳統原則會將 iOS 和 Android 預先設定為裝置平台條件。

在新的原則中，您必須選取想要個別支援的裝置平台。

後續步驟

• 使用報表專用模式來進行條件式存取，以確認新原則決策的影響。
• 若要深入瞭解如何設定條件式存取原則的相關詳細資訊，請參閱條件式存取一般原則。
• 如果已準備好設定您環境的條件式存取原則，請參閱文章操作說明：規劃 Azure Active Directory 中的條件式存取部署。