將條件式存取原則套用至 Microsoft 365 流量設定檔

使用所有 Microsoft 365 流量的專用流量轉送設定檔，您可以將條件式存取原則套用至所有 Microsoft 365 流量。 透過條件式存取，您可以要求多重要素驗證和裝置合規性，才能存取 Microsoft 365 資源。

本文說明如何將條件式存取原則套用至您的 Microsoft 365 流量轉送設定檔。

必要條件

• 與互動 的 管理員istrators全域安全存取預覽 功能必須有下列一或多個角色指派，視其執行的工作而定。
  • 全域安全存取管理員istrator 角色
  • 條件式存取管理員istrator 或 Security 管理員istrator ，以建立條件式存取原則並與其互動。
• 預覽需要 Microsoft Entra ID P1 授權。 如有需要，您可以 購買授權或取得試用版授權 。
• 若要使用 Microsoft 365 流量轉送設定檔，建議使用 Microsoft 365 E3 授權。

建立以 Microsoft 365 流量設定檔為目標的條件式存取原則

下列範例原則會以您中斷帳戶和來賓/外部使用者以外的所有使用者為目標，要求多重要素驗證、裝置合規性，或存取 Microsoft 365 流量時加入 Microsoft Entra 混合式裝置。

1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心 。
2. 流覽至 [ 身分 > 識別保護 > 條件式存取]。
3. 選取 [ 建立新原則 ]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下 ，選取 [ 使用者或工作負載身分識別 ]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除 ] 底下 ：
      1. 選取 [使用者和群組 ]，然後選擇您組織的 緊急存取權或打破帳戶 。
      2. 選取 [ 來賓或外部使用者 ]，然後選取所有核取方塊。
6. 在 [目標資源 > 網路存取][預覽] 底下 *。
   1. 選擇 [Microsoft 365 流量 ]。
7. 在 [存取控制 > 授與 ] 底下。
   1. 選取 [需要多重要素驗證 ]、 [要求裝置標示為相容 ] 和 [要求 Microsoft Entra 混合式已加入裝置]
   2. 針對多個控制項 ，選取 [需要其中一個選取的控制項 ]。
   3. 選取選取。

系統管理員使用 僅限報表模式 確認原則設定之後，系統管理員可以將 [啟用原則 ] 切換從 [僅限 報表] 移至 [開啟 ]。

使用者排除

條件式存取原則是功能強大的工具，建議您從您的原則中排除下列帳戶：

• 緊急存取或急用帳戶，以防止整個租用戶帳戶鎖定。 在不太可能的情況下，所有系統管理員都會鎖定您的租使用者，您的緊急存取系統管理帳戶可用來登入租使用者，以採取復原存取權的步驟。
  • 如需詳細資訊，請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文 。
• [服務帳戶] 和 [服務主體]，例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未系結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們，允許以程式設計方式存取應用程式，但也可用來登入系統以進行系統管理。 請排除這類服務帳戶，因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶，暫時解決此問題。

下一步

開始使用Microsoft Entra 網際網路存取的下一個步驟是 檢閱全域安全存取記錄 。

如需流量轉送的詳細資訊，請參閱下列文章：

• 瞭解流量轉送設定檔
• 管理 Microsoft 365 流量設定檔