使用條件式存取啟用符合規範的網路檢查

使用條件式存取以及全球安全存取預覽的組織，可以使用多個條件來防止惡意存取 Microsoft 應用程式、第三方 SaaS 應用程式和私人企業營運 (LoB) 應用程式，以提供深層防禦。 這些條件可能包括裝置合規性、位置等，以提供保護，以防止使用者身分識別或令牌遭竊。 全球安全存取在條件式存取中引進了符合規範的網路概念和持續性存取評估。 這個符合規範的網路檢查確保使用者可從已針對其特定租用戶驗證過的網路連線模型進行連線，並符合管理員強制執行的安全性原則。

安裝在裝置或使用者後方已設定遠端網路的全域安全存取用戶端，可讓系統管理員使用進階條件式訪問控制來保護相容網路背後的資源。 此相容網路功能可讓系統管理員更輕鬆地管理和維護，而不需要維護組織所有位置IP位址的清單。 管理員不需透過組織的 VPN 輸出點回傳流量，以確保安全性。

SharePoint Online 目前支援具有相容網路功能的連續存取評估 （CAE）。 透過 CAE，您可以使用令牌竊取重新執行保護來強制執行深度防禦。

這個符合規範的網路檢查是每個租用戶特有的。

• 使用此檢查，您可以確保使用 Microsoft 全球安全存取服務的其他組織無法存取您的資源。
  • 例如：Contoso 可以透過符合規範的網路檢查來保護 Exchange Online 和 SharePoint Online 等服務，以確保只有 Contoso 使用者可以存取這些資源。
  • 如果 Fabrikam 之類的另一個組織正在使用符合規範的網路檢查，則其不會通過 Contoso 符合規範的網路檢查。

相容的網路與 IPv4、IPv6 或您可能在 Microsoft Entra 中設定的地理位置 不同。 管理員不需進行任何維護作業。

必要條件

• 與全球安全存取預覽版功能互動的系統管理員，根據其執行的工作而定，必須具備下列一或多個角色指派。
  • 全域安全存取 管理員 管理全域安全存取預覽功能的角色。
  • 條件式存取 管理員 istrator，以建立條件式存取原則和具名位置並與其互動。
• 預覽需要 Microsoft Entra ID P1 授權。 如有需要，您可以購買授權或取得試用版授權。
• 若要使用 Microsoft 365 流量轉送設定檔，建議使用 Microsoft 365 E3 授權。

已知的限制

• SharePoint Online 現在支援具有持續存取評估的相容網路檢查。
• 私人存取應用程式目前不支援相容的網路檢查。
• 行動裝置管理 （MDM） 中未註冊的裝置不支援符合規範的網路位置條件。 如果您使用符合規範的網路位置條件來設定條件式存取原則，則尚未註冊 MDM 的裝置的使用者可能會受到影響。 這些裝置上的使用者可能會因為條件式存取原則檢查而失敗，並遭到封鎖。
  • 使用符合規範的網路位置條件時，請確定您排除受影響的用戶或裝置。

針對條件式存取啟用全球安全存取訊號

若要啟用必要設定以允許符合規範的網路檢查，管理員必須採取下列步驟。

1. 以全球安全存取管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [全球安全存取 (預覽)]>[全域設定]>[工作階段管理][自適性存取]。
3. 選取切換至 [在條件式存取中啟用全球安全存取訊號]。
4. 瀏覽至 [保護]>[條件式存取]>[具名位置]。
   1. 確認您的位置名稱為所有符合規範的網路位置且位置類型為網路存取。 組織可以選擇性地將此位置標示為信任。

警告

如果組織的使用中條件式存取原則是以符合規範的網路檢查為基礎，而您停用了條件式存取中的全球安全存取訊號，則您可能無意中封鎖了目標終端使用者，使其無法存取資源。 如果您必須停用此功能，請先刪除任何對應的條件式存取原則。

保護相容網路背後的資源

相容的網路條件式存取原則可用來保護您的 Microsoft 365 和第三方資源。

下列範例顯示這種類型的原則。 此外，現在支援使用 CAE for SharePoint Online 的令牌竊取重新執行保護。

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]。
3. 選取 [建立新原則]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或急用帳戶。
6. 在 [目標資源]>[包含] 底下，選取 [選取應用程式]。
   1. 選擇 Office 365 Exchange Online 和/或 Office 365 SharePoint Online，以及/或任何第三方 SaaS 應用程式。
   2. 目前不支援應用程式選擇器中的特定 Office 365 雲端應用程式，因此請勿選取此雲端應用程式。
7. 在 [條件]>[位置] 底下。
   1. 將 [設定] 設定為 [是]。
   2. 在 [包含] 下，選取 [任何位置]。
   3. 在 [排除] 底下，選取 [選取的位置]。
      1. 選取 [所有符合規範的網路位置] 位置。
   4. 選取選取。
8. 在 [存取控制] 底下：
   1. [授與]，選取 [封鎖存取]，然後選取 [選取]。
9. 確認您的設定，並將 [啟用原則] 設定為 [開啟]。
10. 選取 [ 建立] 按鈕以建立以啟用您的原則。

注意

您可以使用全域安全存取流量配置檔，以及要求所有雲端應用程式相容網路的條件式存取原則。 使用 [所有兼容網络位置] 和 [所有雲端應用程式] 設定原則時，不需要排除。

當需要符合規範的網路時，流量配置檔會在內部排除在條件式存取強制執行之外。 此排除可讓全域安全存取用戶端存取所需的資源。

排除的流量配置檔會出現在登入記錄中，如下列應用程式 ZTNA 網路存取流量配置檔所示。

使用者排除

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。 雖然不太可能發生，但如果所有管理員都遭到鎖定而無法使用租用戶，緊急存取系統管理帳戶就可以用來登入租用戶，以採取存取權復原步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
• [服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式，但也可用來登入系統以供管理之用。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

試用符合規範的網路原則

1. 在已安裝並執行全域安全存取用戶端的終端使用者裝置上，流覽至 https://outlook.office.com/mail/ 或 https://yourcompanyname.sharepoint.com/，即可存取資源。
2. 以滑鼠右鍵按兩下 Windows 匣中的應用程式，然後選取 [暫停]，以暫停全域安全存取用戶端。
3. 瀏覽至 https://outlook.office.com/mail/ 或 https://yourcompanyname.sharepoint.com/，系統會封鎖您存取資源，並顯示一則錯誤訊息，指出您現在無法存取此資源。

疑難排解

確認已使用 Microsoft Graph 自動建立新的具名位置。

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

使用規定

您對 Microsoft Entra 私人存取和 Microsoft Entra 網際網路存取預覽體驗與功能的使用，會受您據以取得服務之合約中的預覽線上服務條款及條件所規範。 預覽版可能受限於縮減或不同的安全性、合規性和隱私權承諾，如適用於線上服務的通用授權條款 (英文) 和 Microsoft 產品和服務資料保護增補 ("DPA") (英文)，以及該預覽版所提供任何其他注意事項中的進一步說明。

下一步

適用於 Windows 的全球安全存取用戶端 (預覽)