共用方式為

條件式存取:授與

在條件式存取原則中,系統管理員可以使用存取控制來授與或封鎖資源的存取權。

條件式存取原則的螢幕擷取畫面,顯示需要防網路釣魚多重要素驗證的授與控制項。

封鎖存取

封鎖存取的控制項會根據條件式存取原則設定評估指派並防止存取。

封鎖存取是一種 強大的控制項,需要仔細應用。 具有封鎖陳述式的原則可能會導致非預期的副作用。 在大規模啟用控制之前,適當的測試和驗證至關重要。 系統管理員在進行變更時,應該使用 條件式存取僅限報表模式條件式存取中的 What If 工具 等工具。

授予存取權

管理員可以選擇在授與存取權時強制執行一或多個控制項。 這些控制項包括下列選項:

當管理員選擇結合這些選項時,他們可以使用下列方法:

  • 需要所有選取的控制項(控制項 控制項)
  • 需要其中一個選取的控制項(控制項 控制項)

依預設,條件式存取需要所有選取的控制項。

需要多重要素驗證

選取此核取方塊會要求使用者執行 Microsoft Entra 多重要素驗證。 您可以在 規劃雲端式Microsoft Entra 多重要素驗證部署中找到部署Microsoft Entra 多重要素驗證的詳細資訊。

Windows Hello 企業版 符合條件式存取原則中的多重要素驗證需求。

需要足夠的驗證強度

系統管理員可以選擇在其條件式存取原則中要求 特定的驗證強度 。 這些驗證強度定義在 Microsoft Entra 系統管理中心>Entra ID>驗證方法>驗證強度。 管理員可以選擇建立自己的版本或使用內建版本。

[裝置需要標記為合規]

已部署 Intune 的組織可以使用其裝置所傳回的資訊來識別符合特定原則合規性需求的裝置。 Intune 會將合規性資訊傳送給 Microsoft Entra ID,讓條件式存取可以決定授與或封鎖對資源的存取。 如需合規性政策的詳細資訊,請參閱在 裝置上設定規則,以允許使用 Intune 存取貴組織中的資源

裝置可以由任何裝置作業系統的 Intune 標示為符合規範,或由 Windows 裝置的非 Microsoft 行動裝置管理系統標示為符合規範。 您可以在 Intune 中的支援非 Microsoft 裝置合規性合作夥伴中找到支援的非 Microsoft 行動裝置管理系統清單。

裝置必須先在 Microsoft Entra ID 中註冊,才能標示為符合規範。 您可以在 什麼是裝置身分識別?中找到裝置註冊的詳細資訊。

要求裝置被標為合規的控制項:

  • 僅支援向 Microsoft Entra ID 註冊且向 Intune 註冊的 Windows 10+、iOS、Android、macOS 和 Linux Ubuntu 裝置。
  • Windows 上 InPrivate 模式中的 Microsoft Edge 會被視為不符合規範的裝置。

注意

在 Windows、iOS、Android、macOS 和某些非 Microsoft 網頁瀏覽器中,Microsoft Entra ID 會使用在註冊裝置時供應的用戶端憑證來識別裝置。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取憑證。 使用者必須先選取此憑證,才能繼續使用瀏覽器。

您可以在 Intune 中使用適用於端點的 Microsoft Defender 應用程式以及核准的用戶端應用程式原則,來設定裝置合規性原則條件式存取原則。 在設定條件式存取時,不需要將 Microsoft Defender for Endpoint 應用程式排除。 雖然 Android 和 iOS 上適用於端點的 Microsoft Defender (應用程式識別碼 dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已核准的應用程式,但其有權報告裝置安全性態勢。 此權限可讓合規性資訊流向條件式存取。

同樣地,將裝置標記為符合規範 不會封鎖 Microsoft Authenticator 應用程式存取UserAuthenticationMethod.Read範圍。 驗證器需要在 UserAuthenticationMethod.Read 驗證器註冊期間存取範圍,以判斷使用者可以設定哪些認證。 驗證器需要存取 UserAuthenticationMethod.ReadWrite 來註冊憑證,且不會略過 要求裝置標示為符合規範 的檢查。

需要 Microsoft Entra 混合式加入裝置

組織可以選擇使用裝置身分識別作為條件式存取原則的一部分。 若要裝置必須是 Microsoft Entra 混合聯結狀態,組織可以使用此核取方塊。 如需裝置身分識別的詳細資訊,請參閱 什麼是裝置身分識別?

當您使用裝置程式代碼 OAuth 流程時,受控裝置或裝置狀態條件所需的授權控制不受支援。 這是因為執行驗證的裝置無法將其裝置狀態提供給提供程式碼的裝置。 此外,代幣中的裝置狀態會鎖定到執行驗證的裝置。 改為使用 [需要多重要素驗證] 控制項。

[需要 Microsoft Entra 混合式加入裝置] 控制項:

  • 僅支援已加入網域的 Windows 舊版本 (Windows 10 之前) 和 Windows 目前版本 (Windows 10 以上) 的裝置。
  • 不會將 InPrivate 模式的 Microsoft Edge 視為 Microsoft Entra 混合式加入裝置。

[需要已核准的用戶端應用程式]

組織可能需要使用經核准的用戶端應用程式,才能存取選取的雲端應用程式。 這些核准的用戶端應用程式支援與任何行動裝置管理解決方案無關的 Intune 應用程式保護 原則。

警告

已核准的客戶端應用程式許可將於 2026 年三月初被淘汰。 組織必須在 2026 年 3 月之前,將所有目前 僅使用 [要求核准的用戶端應用程式授與] 的條件式存取原則,轉換為要求核准的用戶端應用程式 應用程式保護原則。 此外,針對任何新的條件式存取原則,只會套用 [需要應用程式保護原則授與]。 如需詳細資訊,請參閱將 核准的用戶端應用程式移轉至條件式存取中的應用程式保護原則一文。

若要套用此授權控制,必須在 Microsoft Entra ID 中註冊裝置,而這需要使用中介應用程式。 訊息代理程式應用程式可以是 iOS 的 Microsoft Authenticator,或 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。 當使用者嘗試驗證時,如果裝置上未安裝訊息代理程式應用程式,則會將使用者重新導向至適當的應用程式商店,以安裝所需的訊息代理程式應用程式。

下列用戶端應用程式支援此設定。 此清單並不詳盡,而且隨時會變更:

  • Microsoft Azure 資訊保護
  • Microsoft Cortana
  • Microsoft Dynamics 365
  • Microsoft Edge
  • Microsoft Excel
  • 微軟 Power Automate
  • Microsoft 發票管理
  • Microsoft 凱扎拉
  • Microsoft啟動器
  • Microsoft 清單
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft 規劃器
  • Microsoft Power Apps
  • Microsoft Power BI
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft 商務用 Skype
  • Microsoft Stream
  • Microsoft 團隊
  • Microsoft To-Do
  • Microsoft Visio
  • Microsoft Word
  • Microsoft Yammer
  • Microsoft白板
  • Microsoft 365 管理員

備註

  • 經過核准的用戶端應用程式支援 Intune 行動應用程式管理功能。
  • 要求核准的客戶端應用程式需求:
    • 僅支援 iOS 和 Android 作為裝置平台。
    • 需要中介應用程式才能註冊裝置。 訊息代理程式應用程式可以是 iOS 的 Microsoft Authenticator,或 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。
  • 條件式存取無法將 InPrivate 模式中的 Microsoft Edge 視為核准的用戶端裝置。
  • 需要 Microsoft Power BI 作為已核准用戶端應用程式的條件式存取原則,不支援使用 Microsoft Entra 應用程式代理來將 Power BI 行動應用程式連接到內部部署的 Power BI 報表伺服器。
  • 裝載於 Microsoft Edge 外部的 WebView 不符合已核准的用戶端應用程式原則。 例如:如果應用程式嘗試在 Web 檢視中載入 SharePoint,則應用程式保護原則會失敗。

如需設定範例,請參閱 使用條件式存取要求核准的用戶端應用程式進行雲端應用程式存取

需要應用程式保護原則

在條件式存取原則中,您可以要求用戶端應用程式上有 Intune 應用程式保護原則 ,才能存取選取的應用程式。 這些行動應用程式管理 (MAM) 應用程式保護原則可讓您管理和保護組織在特定應用程式內的資料。

若要套用此授權控制,條件式存取需要裝置在 Microsoft Entra ID 中註冊,並且這需要使用中介應用程式。 訊息代理程式應用程式可以是適用於 iOS 的 Microsoft Authenticator,或適用於 Android 裝置的 Microsoft 公司入口網站。 當使用者嘗試進行驗證時,如果裝置上未安裝訊息代理程式應用程式,則會將使用者重新導向至應用程式商店,以安裝訊息代理程式應用程式。 Microsoft Authenticator 應用程式可作為中介應用程式使用,但不支援被設為已核准的用戶端應用程式。 應用程式保護原則一般適用於 iOS 和 Android,以及 Windows 上 Microsoft Edge 的公開預覽版。 Windows 裝置在同一個會話中支持不超過三個Microsoft Entra 用戶帳戶。 如需如何將原則套用至 Windows 裝置的詳細資訊,請參閱 Windows 裝置上需要應用程式保護原則一文(預覽版)。

應用程式必須符合特定需求,才能支援應用程式保護原則。 開發人員可以在 您可以使用應用程式保護原則管理的應用程式一節中找到這些需求的詳細資訊。

下列用戶端應用程式支援此設定。 此清單並不詳盡,而且隨時會變更。 如果您的應用程式不在清單中,則請洽詢應用程式廠商以確認支援:

  • Adobe Acrobat Reader 行動應用程式
  • iAnnotate 軟體(適用於 Office 365)
  • Microsoft Cortana
  • 手機版 Microsoft Dynamics 365
  • Microsoft Dynamics 365 銷售
  • Microsoft Edge
  • Microsoft Excel
  • 微軟 Power Automate
  • Microsoft啟動器
  • Microsoft 清單
  • Microsoft 迴圈
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft 規劃器
  • Microsoft Power BI
  • Microsoft PowerApps
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Stream 移動本機 2.0
  • Microsoft 團隊
  • Microsoft To-Do
  • Microsoft Word
  • Microsoft Whiteboard 服務
  • Intune 的 MultiLine 功能
  • 九郵 - 電子郵件和日曆
  • 用於 Intune 的 Notate
  • Provectus - 安全聯絡人
  • Viva Engage (Android、iOS 和 iPadOS)
  • Windows 應用程式 (Windows 上的 Android、iOS/iPadOS 和 Microsoft Edge)

注意

Kaizala、商務用 Skype 和 Visio 不支援「要求應用程式保護原則」的授權。 如果您需要這些應用程式能夠運作,請專門使用需要核准的應用程式。 在兩個贈款之間使用“or”子句不適用於這三個應用程序。

如需設定範例,請參閱 使用條件式存取來要求應用程式保護原則和已核准的用戶端應用程式以進行雲端應用程式存取

需要密碼變更

偵測到使用者風險時,系統管理員可以使用使用者風險原則條件,讓使用者使用 Microsoft Entra 自助式密碼重設來安全地變更密碼。 使用者可以執行自助式密碼重設來自我解決。 此程式會關閉使用者風險事件,以防止系統管理員出現不必要的警示。

使用者收到變更密碼的提示時,需要先完成多重要素驗證。 請確定所有使用者都已註冊多重要素驗證,以在偵測到其帳戶發生風險時立即應變。

警告

使用者必須先前註冊過多重要素驗證,才能啟動使用者風險原則。

當您使用密碼變更控制項設定原則時,適用下列限制:

  • 原則必須指派給 [所有資源]。 這項需求可防止攻擊者使用不同的應用程式來變更用戶的密碼,並藉由登入不同的應用程式來重設其帳戶風險。
  • 要求密碼變更 無法與其他控制件搭配使用,例如要求相容的裝置。
  • 密碼變更控制只能與使用者和群組指派條件、雲端應用程式指派條件 (必須設定為「全部」) 和使用者風險條件一起使用。

需要風險補救

當偵測到使用者風險時,使用者可透過完成適當的修復流程進行自我修復,無論其身份驗證方式為何。 Microsoft 管理的條件存取修復政策涵蓋所有認證方法,包括基於密碼與無密碼的認證方式。 欲了解更多資訊,請參閱 「使用 Microsoft 管理的修復(預覽版)完成風險修復」

當您選擇 「要求風險補救 」作為補助控制時,以下設定會自動套用到保單中:

  • 需要驗證強度
  • 登入頻率 - 每次

當使用者需要選擇此控制來進行風險修復時,會在其會話被撤銷後,系統會立即提示他們登入。 選擇這個補助控制項表示,如果使用者剛登入但有風險,系統會提示他們重新登入。 當使用者成功第二次登入後,風險才會被解決。

使用規定

如果您的組織已建立使用規定,則在授與控制項下方可能會顯示其他選項。 這些選項可讓系統管理員要求確認使用條款,作為存取原則所保護資源的條件。 您可以在 Microsoft Entra 使用規定中找到使用規定的詳細資訊。

多個授與控件

當多個授與控制套用至使用者時,請瞭解條件式存取原則在設計上會遵循特定的驗證順序。 例如,如果使用者有兩個原則需要多重要素驗證 (MFA) 和使用規定 (ToU),條件式存取會先驗證使用者的 MFA 宣告,然後驗證 ToU。

  • 如果權杖中沒有有效的 MFA 宣告,您會在記錄中看到「中斷」(擱置中的 MFA)和 ToU 失敗,即使先前的登入中接受了 ToU。
  • 完成多重要素驗證之後,會出現第二個記錄項目,以驗證 ToU。 如果用戶已經接受 ToU,您會看到 MFA 和 ToU 的成功。
  • 如果令牌中有有效的 MFA 宣告,單一記錄會顯示 MFA 和 ToU 的成功。

如果多個原則套用至需要 MFA、裝置狀態和 ToU 的使用者,則程式很類似。 驗證順序為 MFA、裝置狀態,然後是 ToU。

自訂控制項 (預覽)

自訂控制項是 Microsoft Entra ID 的預覽功能。 使用自訂控制項會將您的使用者重新導向至相容的服務,以符合與 Microsoft Entra ID 不同的驗證需求。 如需詳細資訊,請參閱 自定義控件 一文。

下一步

  • Last updated on