條件式存取:條件
在條件式存取原則內,系統管理員可以使用一或多個訊號來增強其原則決策。
您可以結合多個條件來建立更細緻和特定的條件式存取原則。
當使用者存取敏感性應用程式時,系統管理員可能會將多個條件納入其存取決策,例如:
- 來自標識碼保護的登入風險資訊
- 網路位置
- 裝置資訊
使用者風險
可存取的 管理員 istrators標識元保護,可以評估用戶風險作為條件式存取原則的一部分。 使用者風險代表特定的身分識別或帳戶遭入侵的可能性。 如需用戶風險的詳細資訊,請參閱什麼是風險和如何:設定和啟用風險原則一文。
登入風險
可存取的 管理員 istrators標識元保護,可以評估登入風險作為條件式存取原則的一部分。 登入風險代表識別擁有者未提出指定驗證要求的機率。 如需登入風險的詳細資訊,請參閱什麼是風險和如何:設定和啟用風險原則一文。
測試人員風險 (預覽)
可存取的 管理員 istratorsMicrosoft Purview 自適性保護可以將來自 Microsoft Purview 的風險訊號納入條件式存取原則決策。 測試人員風險會考慮來自 Microsoft Purview 的數據控管、數據安全性和風險和合規性設定。 這些訊號是以下列內容因素為基礎:
- 使用者行為
- 歷程記錄模式
- 異常偵測
此條件可讓系統管理員使用條件式存取原則採取動作,例如封鎖存取、要求更強身份驗證方法,或要求接受使用規定。
這項功能牽涉到納入參數,專門解決組織內的潛在風險。 藉由設定條件式存取以考慮測試人員風險,系統管理員可以根據內容因素來量身打造訪問許可權,例如使用者行為、歷程記錄模式和異常偵測。
如需詳細資訊,請參閱設定及啟用以測試人員風險為基礎的原則一文。
裝置平台
條件式存取會使用裝置所提供的資訊來識別裝置平臺,例如使用者代理程式字串。 由於可以修改使用者代理程式字串,因此這項資訊未經驗證。 裝置平台應該搭配 Microsoft Intune 的裝置合規性原則或是做為封鎖陳述式的一部分使用。 預設是會將原則套用至所有裝置平台。
條件式存取支援下列裝置平臺:
- Android
- iOS
- Windows
- macOS
- Linux
如果您使用其他客戶端條件封鎖舊版驗證,您也可以設定裝置平台條件。
選取 [需要核准的用戶端應用程式] 或 [要求應用程式保護原則] 作為唯一的授與控件,或當您選擇 [要求所有選取的控件] 時,我們不支持選取 macOS 或 Linux 裝置平臺。
重要
Microsoft 建議您針對不支援的裝置平台設定條件式存取原則。 例如,如果您想要封鎖從 Chrome OS 或任何其他不支援的用戶端存取公司資源,您應該使用裝置平臺條件來設定原則,其中包含任何裝置,並排除支援的裝置平臺,並將控制權設定為 [封鎖存取]。
位置
當系統管理員將位置設定為條件時,他們可以選擇包含或排除位置。 這些具名位置可能包含公用 IPv4 或 IPv6 網路資訊、國家/地區、未對應至特定國家/地區的未知區域,以及 全域安全存取的相容網路。
當包含任何位置時,此選項會包含網際網路上的任何 IP 位址,而不只是設定的具名位置。 當系統管理員選取 任何位置時,他們可以選擇排除 所有信任 或 選取的位置。
管理員 istrators 可以建立以特定位置為目標的原則,以及其他條件。 如需位置的詳細資訊,請參閱 Microsoft Entra 條件式存取中什麼是位置條件一文。
用戶端應用程式
根據預設,所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型,即使未設定用戶端應用程式條件也一樣。
注意
用戶端應用程式條件的行為已於 2020 年 8 月更新。 如果您有現有的條件式存取原則,它們會保持不變。 不過,如果您按兩下現有的原則, 則會移除 [設定 ] 切換,並選取套用原則的客戶端應用程式。
重要
來自舊版驗證用戶端的登入不支援多重要素驗證 (MFA),而且不會傳遞裝置狀態資訊,因此條件式存取授與控制會封鎖它們,例如要求 MFA 或相容裝置。 如果您有必須使用舊版驗證的帳戶,則必須將這些帳戶從原則中排除,或設定原則以只套用至新式驗證用戶端。
設定為 [是] 時,[設定] 切換會套用至核取的項目,如果設定為 [否],則會套用至所有用戶端應用程式,包括新式和舊版驗證用戶端。 此切換在 2020 年 8 月之前建立的原則中並不存在。
- 新式驗證用戶端
- 瀏覽器
- 其中包括使用 SAML、WS-Federation、OpenID 連線 或註冊為 OAuth 機密用戶端的服務等通訊協定的 Web 應用程式。
- 行動應用程式和桌面用戶端
- 這個選項包含 Office 桌面和電話應用程式等應用程式。
- 瀏覽器
- 舊版驗證用戶端
- Exchange ActiveSync 用戶端
- 此選取範圍包含 Exchange ActiveSync (EAS) 通訊協定的所有使用方式。
- 當原則封鎖 Exchange ActiveSync 的使用時,受影響的使用者會收到單一隔離電子郵件。 此電子郵件提供封鎖原因的相關信息,並在能夠時包含補救指示。
- 管理員 istrators 只能透過條件式存取 Microsoft Graph API,將原則套用至支援的平臺(例如 iOS、Android 和 Windows)。
- 其他用戶端
- 此選項包含使用不支援新式驗證之基本/舊版驗證通訊協定的用戶端。
- SMTP - 由 POP 和 IMAP 用戶端用來傳送電子郵件訊息。
- 自動探索 - Outlook 和 EAS 用戶端用來尋找並連線到 Exchange Online 中的信箱。
- Exchange Online PowerShell - 用來使用遠端 PowerShell 連線到 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本身份驗證,則必須使用 Exchange Online PowerShell 模組進行連線。 如需指示,請參閱使用多重要素驗證 連線 Exchange Online PowerShell。
- Exchange Web Services (EWS) - Outlook、Mac 版 Outlook 和第三方應用程式所使用的程序設計介面。
- IMAP4 - 由 IMAP 電子郵件客戶程式使用。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 及更新版本使用。
- 離線通訊錄 (OAB) - Outlook 下載及使用的通訊清單集合複本。
- Outlook 隨處使用 (RPC over HTTP) - Outlook 2016 及更早版本使用。
- Outlook 服務 - Windows 10 的郵件和行事曆應用程式使用。
- POP3 - POP 電子郵件客戶程式使用。
- Reporting Web Services - 用來擷取 Exchange Online 中的報表數據。
- 此選項包含使用不支援新式驗證之基本/舊版驗證通訊協定的用戶端。
- Exchange ActiveSync 用戶端
這些條件通常用來:
- 需要受控裝置
- 封鎖舊式驗證
- 封鎖 Web 應用程式,但允許行動或傳統型應用程式
支援的瀏覽器
此設定適用於所有瀏覽器。 不過,為了滿足裝置原則,例如符合規範的裝置需求,支援下列操作系統和瀏覽器。 此清單不會顯示作業系統和瀏覽器的主要支援:
| 作業系統 | 瀏覽器 |
|---|---|
| Windows 10 + | Microsoft Edge、 Chrome、 Firefox 91+ |
| Windows Server 2022 | Microsoft Edge、 Chrome |
| Windows Server 2019 | Microsoft Edge、 Chrome |
| iOS | Microsoft Edge,Safari(請參閱附注) |
| Android | Microsoft Edge、Chrome |
| macOS | Microsoft Edge、Chrome、Safari |
| Linux 桌面 | Microsoft Edge |
這些瀏覽器支援裝置驗證,允許根據原則來識別和驗證裝置。 如果瀏覽器在私人模式中執行,或 Cookie 已停用,裝置檢查就會失敗。
注意
Edge 85+ 需要使用者登入瀏覽器,才能正確傳遞裝置身分識別。 否則,其行為就像沒有帳戶延伸模組的 Chrome。 此登入可能不會在混合式裝置加入案例中自動發生。
Safari 支援受控裝置上的裝置型條件式存取,但無法滿足 [需要核准的用戶端應用程式 ] 或 [要求應用程式保護原則 條件]。 Microsoft Edge 之類的受管理瀏覽器將滿足已核准的用戶端應用程式和應用程式保護原則需求。 在 iOS 上,只有第三方 MDM 解決方案的 Microsoft Edge 瀏覽器支援裝置原則。
Firefox 91+ 支援裝置型條件式存取,但必須啟用「允許 Microsoft、公司及學校帳戶的 Windows 單一登錄」。
Chrome 111+ 支援裝置型條件式存取,但必須啟用 “CloudApAuthEnabled”。
為什麼我在瀏覽器中看到憑證提示
在 Windows 7 上,會使用用戶端憑證來識別 iOS、Android 和 macOS 裝置。 註冊裝置時會布建此憑證。 當使用者第一次透過瀏覽器登入時,系統會提示用戶選取憑證。 用戶必須先選取此憑證,才能使用瀏覽器。
Chrome 支援
針對 Windows 10 Creators Update(版本 1703)或更新版本中的 Chrome 支援,請安裝 Windows 帳戶擴充功能或啟用 Chrome 的 CloudAPAuthEnabled。 條件式存取原則需要特定 Windows 平臺的裝置特定詳細數據時,需要這些設定。
若要在 Chrome 中自動啟用 CloudAPAuthEnabled 原則,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - 名稱:
CloudAPAuthEnabled - 值:
0x00000001 - PropertyType:
DWORD
若要自動將 Windows 帳戶擴充功能部署到 Chrome 瀏覽器,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - 名稱:
1 - 類型:
REG_SZ (String)(英文) - 資料:
ppnbnpeolgkicgegkbkbjmhlideopiji;https\://clients2.google.com/service/update2/crx
針對 Windows 8.1 和 7 中的 Chrome 支援,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - 名稱:
1 - 類型:
REG_SZ (String)(英文) - 資料:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
支援的行動應用程式和桌面用戶端
管理員 istrators 可以選取行動應用程式和桌面用戶端作為用戶端應用程式。
這個設定會影響從下列行動應用程式和桌面用戶端進行的存取嘗試:
| 用戶端應用程式 | 目標服務 | 平台 |
|---|---|---|
| Dynamics CRM 應用程式 | Dynamics CRM | Windows 10、Windows 8.1、iOS 和 Android |
| 郵件/行事曆/人員 應用程式、Outlook 2016、Outlook 2013(具有新式驗證) | Exchange Online | Windows 10 |
| 應用程式的 MFA 和位置原則。 不支援裝置型原則。 | 任何 我的應用程式 應用程式服務 | Android 及 iOS |
| Microsoft Teams 服務 - 此用戶端應用程式控制支援 Microsoft Teams 及其所有用戶端應用程式的所有服務 - Windows Desktop、iOS、Android、WP 和 Web 用戶端 | Microsoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android 和 macOS |
| Office 2016 應用程式、Office 2013(具有新式驗證)、OneDrive 同步處理 用戶端 | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 應用程式、通用 Office 應用程式、Office 2013(使用新式驗證),OneDrive 同步處理 用戶端 | SharePoint Online | Windows 10 |
| Office 2016 (僅限 Word、Excel、PowerPoint、OneNote)。 | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10,macOS |
| Office 行動應用程式 | SharePoint | Android、iOS |
| Office Yammer 應用程式 | Yammer | Windows 10、iOS、Android |
| Outlook 2019 | SharePoint | Windows 10,macOS |
| Outlook 2016 (macOS 版 Office) | Exchange Online | macOS |
| Outlook 2016、Outlook 2013(具有新式驗證)、商務用 Skype(使用新式驗證) | Exchange Online | Windows 8.1、Windows 7 |
| Outlook 行動應用程式 | Exchange Online | Android、iOS |
| Power BI 應用程式 | Power BI 服務 | Windows 10、Windows 8.1、Windows 7、Android 和 iOS |
| 商務用 Skype | Exchange Online | Android、iOS |
| Azure DevOps Services (先前稱為 Visual Studio Team Services 或 VSTS) 應用程式 | Azure DevOps Services (先前稱為 Visual Studio Team Services 或 VSTS) | Windows 10、Windows 8.1、Windows 7、iOS 和 Android |
Exchange ActiveSync 用戶端
- 管理員 istrators 只能在將原則指派給使用者或群組時選取 Exchange ActiveSync 用戶端。 選取 [所有使用者]、 [所有來賓] 和 [外部使用者],或 [目錄角色 ] 會導致所有使用者受到原則的主體。
- 當系統管理員建立指派給 Exchange ActiveSync 用戶端的原則時, Exchange Online 應該是指派給原則的唯一雲端應用程式。
- 管理員 istrators 可以使用 將此原則的範圍縮小到特定平臺裝置平台條件。
如果指派給原則的訪問控制使用 [需要核准的用戶端應用程式],系統會將使用者導向安裝並使用 Outlook 行動用戶端。 在需要多重要素驗證、使用規定或自定義控件的情況下,受影響的使用者會遭到封鎖,因為基本身份驗證不支持這些控制件。
如需詳細資訊,請參閱下列文章:
其他用戶端
藉由選取 [其他用戶端],您可以指定一個條件,以影響使用基本身份驗證的應用程式,例如 IMAP、MAPI、POP、SMTP 和較舊的 Office 應用程式,而這些 Office 應用程式 不會使用新式驗證。
裝置狀態 (已淘汰)
此條件已被取代。 客戶應該使用 條件式存取原則中的 [篩選裝置 條件],以滿足先前使用裝置狀態條件達成的案例。
重要
裝置的裝置狀態和篩選無法在條件式存取原則中使用。 裝置的篩選提供更細微的目標,包括透過 trustType 和 isCompliant 屬性將裝置狀態資訊設為目標的支援。
裝置的篩選
當系統管理員將裝置篩選設定為條件時,他們可以選擇使用裝置屬性上的規則表示式,根據篩選來包含或排除裝置。 裝置篩選的規則表示式可以使用規則產生器或規則語法來撰寫。 此體驗類似於用於群組動態成員資格規則的體驗。 如需詳細資訊,請參閱條件式存取:篩選裝置一文。
驗證流程 (預覽)
驗證流程可控制貴組織如何使用特定驗證和授權通訊協定和授與。 這些流程可能會為可能缺少共用裝置或數位招牌等本機輸入裝置的裝置提供順暢的體驗。 使用此控制項來設定傳輸方法,例如 裝置程式代碼流程或驗證傳輸。