在條件式存取原則中,系統管理員會使用一或多個訊號來改善原則決策。
系統管理員會結合多個條件來建立特定、精細的條件式存取原則。
當使用者存取敏感應用程式時,系統管理員可能會在其存取決策中考慮多個條件,例如:
- 來自 Microsoft Entra ID Protection 的風險資訊
- 網路位置
- 裝置資訊
代理風險(預覽)
擁有 ID 保護 權限的管理員可透過條件存取政策評估代理風險。 代理人風險顯示代理人被入侵的可能性。
使用者風險
具有 識別碼保護 存取權的系統管理員可以評估使用者風險,作為條件式存取原則的一部分。 使用者風險顯示身分或帳戶遭到入侵的可能性。 在 什麼是風險 和 如何設定和啟用風險原則中深入瞭解使用者風險。
登入風險
具有 ID Protection 存取權的系統管理員可以評估登入風險,作為條件式存取原則的一部分。 登入風險顯示身分識別擁有者未提出驗證要求的機率。 在 什麼是風險 和 如何設定和啟用風險原則一文中深入瞭解登入風險。
內部風險
具有 Microsoft Purview 調適性保護 存取權的系統管理員可以將來自 Microsoft Purview 的風險訊號併入條件式存取原則決策。 內部風險會考慮 Microsoft Purview 的資料治理、資料安全性,以及風險與合規性設定。 這些訊號是根據上下文因素,例如:
- 使用者行為
- 歷史模式
- 異常偵測
此條件可讓系統管理員使用條件式存取原則來採取動作,例如封鎖存取、要求更強的驗證方法,或要求接受使用條款。
此功能包含專門解決組織內部產生的潛在風險的參數。 設定條件式存取以考慮內部風險,可讓系統管理員根據內容因素量身打造存取許可權,例如使用者行為、歷程記錄模式和異常偵測。
如需詳細資訊,請參閱 設定並啟用內部風險型原則。
裝置平台
條件式存取會使用裝置提供的資訊來識別裝置平台,例如使用者代理程式字串。 由於可以修改使用者代理程式字串,因此不會驗證此資訊。 將裝置平臺與 Microsoft Intune 裝置合規性原則搭配使用,或作為封鎖陳述式的一部分。 依預設,它適用於所有裝置平台。
條件式存取支援下列裝置平臺:
- Android
- iOS
- 窗戶
- macOS
- Linux
如果您使用其他用戶端條件來封鎖舊式驗證,也可以設定裝置平台條件。
當您選取 [需要核准的用戶端應用程式] 或 [需要應用程式保護原則] 作為唯一的授與控制項,或當您選取 [需要所有選取的控制項] 時,不支援選取 macOS 或 Linux 裝置平臺。
重要
Microsoft 建議為不支援的裝置平臺建立條件式存取原則。 舉例來說,如要封鎖 Chrome OS 或其他不受支援的用戶端存取公司資源,請設定政策,並設定「裝置平台」條件,包括任何裝置、排除支援的裝置平台,並將「授與控制權」設為「封鎖存取權」。
位置
用戶端應用程式
根據預設,即使未設定用戶端應用程式條件,還是會將所有新建立的條件式存取原則都套用至所有用戶端應用程式類型。
注意
用戶端應用程式行為的條件已於 2020 年 8 月更新。 如果您有現有的條件式存取原則,它們會保持不變。 不過,如果您選取現有的原則,則會移除 [ 設定 ] 切換,並選取套用原則的客戶端應用程式。
重要
來自舊版驗證用戶端的登入不支援多重要素驗證 (MFA),而且不會傳遞裝置狀態資訊,因此條件式存取授與控制會封鎖它們,例如要求 MFA 或相容裝置。 如果您有必須使用舊版驗證的帳戶,則必須從原則中排除這些帳戶,或將原則設定為僅套用至新式驗證用戶端。
設定為 [是] 時,[設定] 切換會套用至核取的項目,如果設定為 [否],則會套用至所有用戶端應用程式,包括新式和舊版驗證用戶端。 此切換選項在 2020 年 8 月之前建立的原則中不會出現。
- 新式驗證用戶端
- 瀏覽器
- 這些用戶端包括使用 SAML、WS-Federation、OpenID Connect 等通訊協定的 Web 型應用程式,或註冊為 OAuth 機密用戶端的服務。
- 行動裝置應用程式和桌面用戶端
- 此選項包括應用程式,例如 Office 桌面和手機應用程式。
- 瀏覽器
- 舊版驗證用戶端
- Exchange ActiveSync 用戶端
- 此選項包括所有 Exchange ActiveSync (EAS) 通訊協定的使用。 當原則封鎖 Exchange ActiveSync 的使用時,受影響的使用者會收到單一隔離電子郵件。 此電子郵件提供封鎖原因的相關信息,並在能夠時包含補救指示。
- 系統管理員只能透過條件式存取 Microsoft Graph API 將原則套用至支援的平臺 (例如 iOS、Android 和 Windows)。
- 其他用戶端
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- SMTP - POP 和 IMAP 用戶端用來傳送電子郵件訊息。
- 自動探索 - 由 Outlook 與 EAS 用戶端用於尋找及連線至 Exchange Online 中的信箱。
- Exchange Online PowerShell - 使用遠端 PowerShell 連接至 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組來連線。 如需指示,請參閱使用多重要素驗證連線至 Exchange Online PowerShell。
- Exchange Web 服務 (EWS) - Outlook、Mac 版 Outlook 和非 Microsoft 應用程式所使用的程式設計介面。
- IMAP4 - IMAP 電子郵件用戶端所使用。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 與以後版本所使用。
- 離線通訊錄 (OAB) - Outlook 所下載與使用的一份地址清單集合。
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 及之前版本所使用。
- Outlook Service - Windows 10 版郵件與行事曆應用程式所使用。
- POP3 - POP 電子郵件用戶端所使用。
- Reporting Web Services - 用於擷取 Exchange Online 中的報告資料。
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- Exchange ActiveSync 用戶端
這些條件通常用來:
- 需要受控裝置
- 封鎖舊式驗證
- 封鎖 Web 應用程式,但允許行動或傳統型應用程式
支援的瀏覽器
此設定適用於所有瀏覽器。 不過,為了滿足像是符合裝置需求規範等的裝置原則,支援下列作業系統和瀏覽器。 此清單未顯示沒有主要支援的作業系統和瀏覽器:
| 作業系統 | 瀏覽器 |
|---|---|
| Windows 10 +作系統 | Microsoft Edge、Chrome 和 Firefox 91 + |
| Windows 伺服器 2025 | Microsoft Edge、 Chrome |
| Windows 伺服器 2022 | Microsoft Edge、 Chrome |
| Windows 伺服器 2019 | Microsoft Edge、 Chrome |
| iOS | Microsoft Edge、Safari (請參閱注意事項) |
| Android | Microsoft Edge、Chrome |
| macOS | Microsoft Edge、Chrome、 Firefox 133+、Safari |
| Linux 桌面 | Microsoft Edge |
這些瀏覽器支援裝置驗證,因此可以根據原則來識別和驗證裝置。 如果瀏覽器在私人模式中執行或是 Cookie 停用,裝置檢查將會失敗。
注意
Microsoft Edge 85+ 需要使用者登入瀏覽器,才能正確傳遞裝置身分識別。 否則,其行為就像沒有 Microsoft 單一登入延伸模組的 Chrome。 此登入可能不會自動出現在混合式裝置加入案例中。
受控裝置上的裝置型條件存取支援 Safari,但無法滿足「需要已核准的用戶端應用程式」 或「需要應用程式保護原則」 條件。 Microsoft Edge 之類的受管理瀏覽器符合已核准的用戶端應用程式和應用程式保護原則需求。 在具有非Microsoft MDM 解決方案的iOS上,只有 Microsoft Edge 瀏覽器支援裝置原則。
Firefox 91+ 支援裝置型條件式存取,但需要啟用 [允許 Microsoft、公司和學校帳戶的 Windows 單一登入]。
裝置型條件式存取支援 Chrome 111+,但需要啟用 "CloudApAuthEnabled"。
使用企業 SSO 外掛程式的 macOS 裝置需要 Microsoft 單一登入延伸功能,以支援 Google Chrome 中的 SSO 和裝置型條件式存取。
使用 Firefox 瀏覽器的 macOS 裝置必須執行 macOS 10.15 版或更新版本,並適當地安裝並設定 Microsoft Enterprise SSO 外掛程式。
為什麼我在瀏覽器中看到憑證提示
在 Windows 7 上,會使用用戶端憑證來識別 iOS、Android 和 macOS 裝置。 註冊裝置時,會佈建此憑證。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取憑證。 使用者必須選取此憑證,才能使用瀏覽器。
Chrome 支援
窗戶
針對 Windows 10 Creators Update (1703 版) 或更新版本的 Chrome 支援,請安裝 Microsoft 單一登入延伸模組,或啟用 Chrome 的 CloudAPAuthEnabled。 條件式存取原則需要特定 Windows 平台的裝置特定詳細資料時,需要這些設定。
若要在 Chrome 中自動啟用 CloudAPAuthEnabled 原則,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - 名稱:
CloudAPAuthEnabled - 值:
0x00000001 - PropertyType:
DWORD
若要自動將 Microsoft 單一登入延伸模組部署至 Chrome 瀏覽器,請在 Chrome 中使用 ExtensionInstallForcelist 原則來建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - 名稱:
1 - 類型:
REG_SZ (String) - 資料:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
如需 Windows 8.1 和 7 中的 Chrome 支援,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - 名稱:
1 - 類型:
REG_SZ (String) - 資料:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
使用企業 SSO 外掛程式的 macOS 裝置需要 Microsoft 單一登入延伸功能,以支援 Google Chrome 中的 SSO 和裝置型條件式存取。
如需 Google Chrome 和延伸模組管理的 MDM 型部署,請參閱在 Mac 和 ExtensionInstallForcelist 上設定 Chrome 瀏覽器。
支援的行動裝置應用程式和桌面用戶端
管理員可以選取 行動應用程式和桌面用戶端 作為用戶端應用程式。
此設定會影響從下列行動應用程式和桌面用戶端進行的存取嘗試:
| 用戶端應用程式 | 目標服務 | 平台 |
|---|---|---|
| Dynamics CRM 應用程式 | Dynamics CRM | Windows 10、Windows 8.1、iOS 和 Android |
| [電子郵件]/[行事曆]/[人員] 應用程式、Outlook 2016、Outlook 2013 (使用新式驗證) | 線上交換所 | Windows 10 |
| 應用程式的 MFA 和位置原則。 不支援裝置型政策。 | 任何 My Apps 應用程式服務 | Android 及 iOS |
| Microsoft Teams Services - 此用戶端應用程式會控制支援 Microsoft Teams 及其所有用戶端應用程式的所有服務 - Windows 桌面、iOS、Android、Windows Phone 和 Web 用戶端 | Microsoft 團隊 | Windows 10、Windows 8.1、Windows 7、iOS、Android 及 macOS |
| Office 2016 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 應用程式、通用 Office 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint 在線 | Windows 10 |
| Office 2016 (僅限 Word、Excel、PowerPoint、OneNote)。 | SharePoint | macOS |
| Office 2019 版 | SharePoint | Windows 10,macOS |
| Office 行動應用程式 | SharePoint | Android、iOS |
| Office Yammer 應用程式 | Yammer | Windows 10、iOS、Android |
| 2019 年展望 | SharePoint | Windows 10,macOS |
| Outlook 2016 (macOS 版 Office) | 線上交換所 | macOS |
| Outlook 2016、Outlook 2013 (已啟用新式驗證)、商務用 Skype (採用新式驗證) | 線上交換所 | Windows 8.1、Windows 7 |
| Outlook 行動應用程式 | 線上交換所 | Android、iOS |
| Power BI 應用程式 | Power BI 服務 | Windows 10、Windows 8.1、Windows 7、Android 和 iOS |
| 商務用 Skype | 線上交換所 | Android、iOS |
| Azure DevOps Services (之前稱為 Visual Studio Team Services 或 VSTS) 應用程式 | Azure DevOps Services (之前稱為 Visual Studio Team Services 或 VSTS) | Windows 10、Windows 8.1、Windows 7、iOS 和 Android |
Exchange ActiveSync 用戶端
- 系統管理員在將原則指派給使用者或群組時,只能選取 Exchange ActiveSync 用戶端。 選取 [所有使用者]、[所有來賓和外部使用者] 或 [目錄角色] 會讓所有使用者都成為原則的主體。
- 當系統管理員建立指派給 Exchange ActiveSync 用戶端的原則時, Exchange Online 應該是指派給原則的唯一雲端應用程式。
- 系統管理員可以使用 [裝置平台 ] 條件,將此原則的範圍縮小到特定平台。
如果指派給原則的存取控制使用 [需要核准的用戶端應用程式],則會將使用者導向安裝和使用 Outlook 行動用戶端。 在需要「多重要素驗證」、「使用規定」或「自訂控制項」的情況下,會封鎖受影響的使用者,因為基本驗證不支援這些控制項。
如需詳細資訊,請參閱下列文章:
其他用戶端
藉由選取 [其他用戶端],您可以指定會影響搭配使用基本驗證和郵件通訊協定 (如 IMAP、MAPI、POP、SMTP) 之應用程式的條件,這些條件也會影響不是使用新式驗證的舊版 Office 應用程式。
裝置狀態 (已棄用)
此條件已被取代。 客戶應該使用條件式存取原則中的 [篩選裝置 ] 條件,以滿足先前使用裝置狀態條件達成的案例。
重要
裝置的裝置狀態和篩選無法在條件式存取原則中一起使用。 裝置的篩選條件提供了更細緻的目標鎖定,包括支援透過trustType和isCompliant屬性來鎖定裝置狀態資訊。
裝置篩選
當管理員將裝置的篩選器設定為條件時,他們可以使用裝置屬性上的規則運算式,根據篩選器包含或排除裝置。 您可以使用規則產生器或規則語法來撰寫裝置篩選器的規則運算式。 此程式類似於用於動態成員資格群組規則的程式。 如需詳細資訊,請參閱 條件式存取:篩選裝置。
驗證流程 (預覽)
驗證流程可控制組織如何使用特定驗證和授權通訊協定與授與。 這些流程可以為缺乏本地輸入的設備(例如共享設備或數字標牌)提供無縫體驗。 使用此控制項來設定傳輸方法,例如裝置程式碼流程或驗證傳輸。