共用方式為

條件式存取:目標資源

目標資源(先前稱為雲端應用程式、動作和驗證內容)是條件式存取原則中的重要訊號。 條件式存取原則可讓系統管理員將控制項指派給特定應用程式、服務、動作或驗證內容。

  • 系統管理員可以從包含內建 Microsoft 應用程式和任何 Microsoft Entra 整合式應用程式的應用程式或服務清單中選擇,包括資源庫、非資源庫,以及透過 應用程式 Proxy 發佈的應用程式。
  • 系統管理員可能會根據使用者動作例如註冊安全性資訊或註冊或加入裝置) 來定義原則,讓條件式存取強制執行這些動作的控制。
  • 管理員可以從全域安全存取鎖定流量 轉送設定檔 ,以增強功能。
  • 系統管理員可以使用 驗證內容 ,在應用程式中提供額外的安全層。

條件式存取原則和目標資源面板的螢幕快照。

Microsoft 雲端應用程式

如果服務主體出現在其租戶中,系統管理員可以將條件式存取原則指派給 Microsoft 的雲端應用程式,但不包括 Microsoft Graph。 Microsoft Graph 作為傘式資源。 使用 受眾報告 來查看基礎服務,並針對這些服務設定您的政策。 某些應用程式,例如 Office 365Windows Azure 服務管理 API 包含多個相關的子應用程式或服務。 建立新的 Microsoft 雲端應用程式時,當在租戶中建立服務主體後,它們就會立即出現在應用程式選擇器清單中。

Office 365

Microsoft 365 提供雲端式生產力和共同作業服務,例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 雲端服務經過深度整合,可保證提供順暢的共同作業體驗。 此整合在建立原則時可能會造成混淆,因為某些應用程式,例如 Microsoft Teams,相依於其他應用程式,例如 SharePoint 或 Exchange。

Office 365 應用程式群組可讓您一次以這些服務為目標。 我們建議使用 Office 365 群組,而不是以個別雲端應用程式為目標,以避免 服務相依性發生問題。

以此應用程式群組為目標,有助於避免發生因原則與相依性不一致而導致的問題。 例如:Exchange Online 應用程式繫結至傳統的 Exchange Online 資料,例如郵件、行事曆和連絡人資訊。 相關的中繼資料可能會透過像搜尋這樣的不同來源被公開。 若要確保所有中繼資料都按照預期受到保護,系統管理員應該將原則指派給 Office 365 應用程式。

系統管理員可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 雲端應用程式。

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Windows Azure 服務管理 API

當您以 Windows Azure 服務管理 API 應用程式為目標時,會對於發行給一組與入口網站密切相關的服務的權杖執行政策。 此分組包含下列各項的應用程式 ID:

  • Azure Resource Manager
  • Azure 入口網站,也涵蓋 Microsoft Entra 系統管理中心和 Microsoft Engage 中心
  • Azure Data Lake
  • 應用洞察 API
  • 日誌分析 API

由於原則會套用至 Azure 管理入口網站和 API,因此任何相依於 Azure API 的服務或用戶端都可能會間接受到影響。 例如:

  • Azure CLI
  • Azure Data Factory 入口網站
  • Azure 事件中樞
  • Azure PowerShell
  • Azure 服務匯流排
  • Azure SQL Database
  • Azure Synapse
  • 傳統部署模型 API
  • Microsoft 365 系統管理中心
  • Microsoft IoT Central
  • Microsoft Defender 多租戶管理
  • SQL 受控執行個體
  • Visual Studio 訂閱管理員入口網站

謹慎

與 Windows Azure 服務管理 API 相關聯的條件式存取原則 不再涵蓋 Azure DevOps

Note

Windows Azure Service Management API 應用程式適用於可呼叫 Azure Resource Manager APIAzure PowerShell。 它不適用於 Microsoft Graph PowerShell,它會呼叫 Microsoft Graph API

Tip

針對 Azure Government,您應該以 Azure Government 雲端管理 API 應用程式為目標。

Microsoft 管理入口網站

當條件式存取原則的目標是 Microsoft 管理平台雲端應用程式時,該原則會對核發給下列 Microsoft 系統管理平台的應用程式 ID 的權杖強制執行。

  • Azure 入口網站
  • Exchange 系統管理中心
  • Microsoft 365 系統管理中心
  • Microsoft 365 Defender 入口網站概觀
  • Microsoft Entra 系統管理中心
  • Microsoft Intune 系統管理中心
  • Microsoft Purview 合規性入口網站
  • Microsoft Teams 系統管理中心

我們會不斷將更多系統管理入口網站新增至清單。

其他應用程式

系統管理員可以將任何 Microsoft Entra 註冊的應用程式新增至條件式存取原則。 這類應用程式可能包括:

Note

由於條件式存取原則會設定存取服務的需求,因此您無法將它套用至用戶端(公用/原生)應用程式。 換句話說,原則不會直接在用戶端(公用/原生)應用程式上設定,但會在用戶端呼叫服務時套用。 例如,SharePoint 服務上所設定的原則會套用至所有呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時,會套用 Exchange 上設定的原則。 這就是為什麼用戶端(公用/原生)應用程式無法用於在應用程式選擇器中選取,而條件式存取選項不適用於租用戶中註冊之用戶端(公用/原生)應用程式的應用程式設定。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包含這些應用程式的唯一方法是包含 所有資源(先前稱為「所有雲端應用程式」), 或使用 New-MgServicePrincipal PowerShell Cmdlet 或使用 Microsoft Graph API 新增遺漏的服務主體。

瞭解不同客戶端類型的條件式存取

條件式存取適用於非客戶端的資源,除非用戶端是要求標識元令牌的機密用戶端。

  • 公用用戶端
    • 公用客戶端是指在桌面上的 Microsoft Outlook 或行動應用程式如 Microsoft Teams 上本機執行的客戶端。
    • 條件式存取原則不適用於公用用戶端本身,而是根據其要求的資源。
  • 機密用戶端
    • 條件式存取會套用至客戶端所請求的資源,以及如果客戶端要求身份令牌則套用至機密客戶端本身。
    • 例如,如果 Outlook Web 要求範圍 Mail.ReadFiles.Read 的令牌,則條件存取會套用 Exchange 和 SharePoint 的原則。 此外,如果 Outlook Web 要求標識符令牌,條件式存取也會套用 Outlook Web 的原則。

若要從 Microsoft Entra 系統管理中心檢視這些客戶端類型的 登入記錄:

  1. 以至少 報表讀者身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 Entra ID>監視與健康>登入記錄
  3. 新增客戶端認證類型的篩選
  4. 根據登入中使用的客戶端認證,調整篩選條件以檢視特定記錄集。

如需詳細資訊,請參閱 公用用戶端和機密用戶端應用程式一文。

所有資源

將條件式存取原則套用至 [所有資源] (先前稱為「所有雲端應用程式」), 而不需排除任何應用程式,就會針對網站和服務的所有令牌要求強制執行原則,包括 全域安全存取流量轉送配置檔。 此選項包含條件式存取原則中無法個別設定目標的應用程式,例如 Windows Azure Active Directory (0000000002-0000-0000-c000-000000000000000)。

Important

Microsoft 建議建立針對所有使用者和資源的基準多重身份驗證政策(不包括任何應用程式排除),比如說 需要所有使用者進行多重身份驗證

當所有資源原則有應用程式排除時的條件式存取行為

如果有任何應用程式被排除在原則之外,為了避免不小心封鎖使用者的存取,某些低許可權範圍會被排除在原則執行之外。 這些範圍允許呼叫基礎 Graph API,例如 Windows Azure Active Directory (000000002-0000-0000-c0000-000000000000000) 和 Microsoft Graph (000000003-0000-0000-000000000000000),以存取應用程式常用的使用者配置檔和群組成員資格資訊,作為驗證的一部分。 例如:當 Outlook 要求 Exchange 的令牌時,它也會要求 User.Read 範圍能夠顯示目前使用者的基本帳戶資訊。

大部分的應用程式都有類似的相依性,這就是為什麼每當 [所有資源] 原則中有應用程式排除時,就會自動排除這些低許可權範圍。 這些低許可權範圍排除不允許數據存取超過基本使用者配置檔和群組資訊。 排除的範圍如下列出,應用程式仍需要同意才能使用這些許可權。

  • 原生用戶端和單頁應用程式 (SPA) 可以存取下列低許可權範圍:
    • Azure AD Graph:emailoffline_accessopenidprofileUser.Read
    • Microsoft Graph:emailoffline_accessopenidprofileUser.ReadPeople.Read
  • 在不包含於 所有資源 原則的情況下,機密用戶端可以存取下列低許可權範圍:
    • Azure AD Graph:emailoffline_accessopenidprofileUser.ReadUser.Read.AllUser.ReadBasic.All
    • Microsoft Graph:emailoffline_accessopenidprofileUser.ReadUser.Read.AllUser.ReadBasic.AllPeople.ReadPeople.Read.AllGroupMember.Read.AllMember.Read.Hidden

如需所提及範圍的詳細資訊,請參閱 Microsoft Graph 許可權參考Microsoft身分識別平臺中的範圍和權限

保護目錄資訊

如果因為商務原因而無法設定不包括應用程式排除的建議的基準 MFA 原則,且貴組織的安全政策必須包含與目錄相關的低許可範圍(User.ReadUser.Read.AllUser.ReadBasic.AllPeople.ReadPeople.Read.AllGroupMember.Read.AllMember.Read.Hidden),請建立一個單獨的條件式存取原則,以針對Windows Azure Active Directory(00000002-0000-0000-c000-000000000000)。 Windows Azure Active Directory(也稱為 Azure AD Graph)是資源,代表儲存在目錄中的數據,例如使用者、群組和應用程式。 Windows Azure Active Directory 資源包含在 [所有資源] 中,但可以使用下列步驟在條件式存取原則中個別設為目標:

  1. 屬性定義管理員 屬性指派管理員的身份登入 Microsoft Entra 系統管理中心。
  2. 流覽至 Entra ID>自定義安全性屬性
  3. 建立新的屬性集和屬性定義。 如需詳細資訊,請參閱 Microsoft Entra ID中新增或停用自定義安全性屬性定義。
  4. 流覽至 Entra ID>企業應用程式
  5. 拿掉 應用程式類型 篩選,並搜尋以 000000002-00000-0000-c0000-0000000000000 開始的 應用程式 標識符。
  6. 選取 [Windows Azure Active Directory>[自定義安全性屬性]>[新增指派]
  7. 選取您打算在原則中使用的屬性集和屬性值。
  8. 流覽至 Entra ID>條件式存取>策略
  9. 建立或修改現有的原則。
  10. 目標資源>資源(原雲端應用程式)>包含之下,選擇 >的資源並選擇>編輯篩選
  11. 調整篩選條件以包含您稍早的屬性集和定義。
  12. 儲存政策

Note

如上述指引所述設定此原則。 如所述建立原則的任何偏差(例如定義應用程式排除專案),可能會導致排除低許可權範圍,且原則未如預期般套用。

具有全域安全存取的所有因特網資源

[具有全域安全存取的所有因特網資源] 選項可讓系統管理員從 Microsoft Entra 因特網存取鎖定因特網存取流量轉送配置檔

全域安全存取中的這些配置檔可讓系統管理員定義和控制流量如何透過 Microsoft Entra 因特網存取和 Microsoft Entra 私人存取路由傳送。 流量轉送設定檔可以指派給裝置和遠端網路。 如需如何將條件式存取原則套用至這些流量設定檔的範例,請參閱如何將條件式存取原則套用至 Microsoft 365 流量設定檔一文。

如需這些設定檔的詳細資訊,請參閱全域安全存取流量轉送設定檔一文。

所有代理資源(預覽)

對所有代理資源套用條件存取政策,這會將該政策強制適用於所有針對代理識別藍圖主體及代理識別的權杖請求。

使用者動作

使用者動作是使用者所執行的工作。 條件式存取支援兩個使用者動作:

  • 註冊安全性資訊:此使用者動作可讓條件式存取原則在使用者嘗試註冊其安全性資訊時強制執行規則。 如需詳細資訊,請參閱 合併安全性資訊註冊

Note

如果系統管理員套用以註冊安全性資訊為目標的使用者動作原則,且使用者帳戶是來自 Microsoft 個人帳戶 (MSA) 的來賓,則「需要多重要素驗證」控制項會要求 MSA 使用者向組織註冊安全性資訊。 如果來賓使用者來自其他提供者,例如 Google,則會封鎖存取。

  • 註冊或加入裝置:此使用者動作可讓系統管理員在使用者 註冊加入 裝置至 Microsoft Entra ID 時強制執行條件式存取原則。 它可讓系統管理員設定多因素驗證,以比全租用戶原則更精細地註冊或連接裝置。 此使用者動作有三個主要考量:
    • Require multifactor authenticationRequire auth strength 是此用戶動作唯一可用的訪問控制,所有其他訪問控制都會停用。 這項限制可防止與根據 Microsoft Entra 裝置註冊或不適用於 Microsoft Entra 裝置註冊的存取控制發生衝突。
      • 不支援 Windows Hello for Business 和綁定至裝置的通行密鑰,因為這些情境需要裝置已經完成註冊。
    • Client appsFilters for devicesDevice state 條件無法透過此使用者動作使用,因為它們相依於 Microsoft Entra 裝置註冊來強制執行條件式存取原則。

Warning

如果條件式存取原則設定為 [註冊或加入裝置] 使用者動作,請將 Entra ID>裝置>概觀>[裝置設定] - Require Multifactor Authentication to register or join devices with Microsoft Entra 設定為 [否]。 否則,不會正確地強制執行具有此使用者動作的條件式存取原則。 在設定裝置設定中深入瞭解此 裝置設定

驗證環境

驗證內容可保護應用程式中的數據和動作。 這些應用程式包括自定義應用程式、企業營運應用程式、SharePoint 或受 Microsoft Defender for Cloud Apps 保護的應用程式。 它也可以搭配 Microsoft Entra 特權身份管理(PIM)使用,在角色啟用時強制執行條件存取政策。

例如,組織可能會將檔案儲存在 SharePoint 網站,例如午餐功能表或秘密燒烤醬食譜。 每個人都可以存取午餐功能表網站,但存取秘密燒烤醬食譜網站的使用者可能需要使用受控裝置,並同意特定的使用規定。 同樣地,管理員透過 PIM 啟用特權角色,可能需要執行多重身份驗證或使用合規裝置。

驗證內容會同使用者或 工作負載身分識別 共同運作,但不能在相同的條件式存取原則中使用。

設定驗證內容

移至 Entra ID>條件式存取>驗證內容,以管理驗證內容。

螢幕擷取畫面:顯示驗證內容的管理。

選取 [新增驗證內容 ] 以建立驗證內容定義。 組織最多可以建立99個驗證內容定義(c1-c99)。 設定下列屬性:

  • [c0]顯示名稱[/c0] 是用來識別 Microsoft Entra ID 中的驗證內容以及使用這些驗證內容的應用程式的名稱。 我們建議採用可跨資源使用的名稱 (例如「受信任的裝置」),以減少所需的驗證內容數目。 設定縮減可限制重新導向的數目,並提供更好的端對端使用者體驗。
  • 描述 提供原則的詳細資訊。 此資訊由管理員和將驗證內容套用至資源的人員使用。
  • 選取發佈至應用程式的核取方塊時,會將身份驗證內容告知應用程式,並使其可供指派。 如果未選擇,則下游資源無法取得驗證內容。
  • ID 是唯讀的,並用於權杖和應用程式中,以便定義特定請求的身份驗證上下文。 列在這裡以供故障排除和開發使用案例。

新增至條件式存取原則

系統管理員可以在條件式存取原則中選取已發佈的驗證內容,方法是移至 [指派>雲端應用程式或動作],然後從 [選取此原則適用的內容] 功能表中選取 [驗證內容]。

螢幕擷取畫面:顯示如何將條件式存取驗證內容新增至原則

刪除驗證上下文

刪除驗證內容之前,請確定沒有應用程式使用它。 否則,應用程式資料的存取權不會受到保護。 確認此事,請檢查登入記錄檔,查看是否有套用驗證上下文的條件式存取原則的情況。

若要刪除驗證內容,請確定它沒有指派的條件式存取原則,而且不會發佈至應用程式。 這可防止意外刪除仍在使用的驗證內容。

使用驗證上下文標記資源

想了解更多關於使用認證上下文的資訊,請參閱以下文章。

相關內容

  • Last updated on