建置條件式存取原則

如 什麼是條件式存取一文所述，條件式存取原則是 指派 和 訪問控制的 if-then 語句。 條件式存取原則結合了訊號，以做出決策並強制執行組織原則。

組織如何建立這些原則？ 需要什麼？ 這些套用方式為何？

多個條件式存取原則可以隨時套用至個別使用者。 在此情況下，必須滿足所有適用的原則。 例如，如果一個原則需要多重要素驗證，而另一個原則需要相容的裝置，您必須完成 MFA，並使用相容的裝置。 所有指派都會以邏輯方式使用 AND 合併。 如果您設定了多個指派，則必須滿足所有指派條件才能觸發政策。

如果已選取 [需要其中一個選取的控件] 的原則，則會以定義的順序顯示提示。 一旦滿足原則需求，就會授與存取權。

所有原則都會在兩個階段中強制執行：

• 階段 1：收集會話詳細數據
  • 收集會話詳細數據，例如原則評估所需的網路位置和裝置身分識別。
  • 原則評估階段 1 會在 報表模式中啟用的原則和原則進行。
• 階段 2： 強制
  • 使用階段 1 中收集的會話詳細數據來識別不符合的任何需求。
  • 如果有已設定 區塊 授與控制的政策，執行在此停止，並封鎖使用者。
  • 系統會提示使用者依下列順序完成階段 1 期間未滿足的更多授權控制要求，直到滿足政策為止：
    1. 多重要素驗證
    2. 要標示為符合規範的裝置
    3. Microsoft Entra 混合式聯結裝置
    4. 核准的用戶端應用程式
    5. 應用程式保護原則
    6. 密碼變更
    7. 使用規定
    8. 自定義控件
  • 一旦滿足所有授權控件之後，就會套用會話控件（應用程式強制執行策略、Microsoft Defender 適用於雲端應用程式，以及令牌有效期）。
  • 所有啟用的原則都會進行原則評估階段 2。

作業

指派區段會定義條件式存取原則的人員、內容和位置。

使用者和群組

套用原則時， 指派原則包含或排除的使用者和群組。 此指派可以包含所有使用者、特定使用者群組、目錄角色或外部來賓使用者。 具有 Microsoft Entra 工作負載標識碼授權的組織也可能以 工作負載身分識別 為目標。

只有在發出令牌時，才會評估以角色或群組為目標的政策。 也就是說：

• 新新增至角色或群組的使用者在取得新的令牌之前，不會受到原則約束。
• 如果使用者在新增至角色或群組之前已經有有效的令牌，則原則不會追溯套用。

最佳做法是透過角色啟用或群組成員資格啟用，使用 Microsoft Entra 特權身分管理來觸發條件式存取評估。

目標資源

目標資源 可以包含或排除受原則約束的雲端應用程式、使用者動作或驗證內容。

網路

網路 包含條件式存取原則決策的IP位址、地理位置和 全域安全存取相容網路。 系統管理員可以定義位置，並將某些位置標示為受信任的位置，例如其組織的主要網路位置。

條件

原則可以包含多個 條件，。

登入風險

對於具有 Microsoft Entra ID Protection的組織，所產生的風險偵測可能會影響條件式存取原則。

裝置平臺

具有多個裝置作系統平台的組織可能會在不同的平台上強制執行特定原則。

用來判斷裝置平台的信息來自未經驗證的來源，例如可以變更的使用者代理程式字串。

用戶端應用程式

用戶用來存取雲端應用程式的軟體。 例如，「瀏覽器」和「行動應用程式和桌面用戶端」。 根據預設，所有新建立的條件式存取原則都會套用至所有用戶端應用程式類型，即使未設定用戶端應用程式條件也一樣。

設備篩選器

此控制項允許根據原則中的屬性，以特定裝置為目標。

訪問控制

條件式存取原則的訪問控制部分會控制原則的強制執行方式。

授予

授權 為系統管理員提供強制執行政策的工具，讓他們可以封鎖或授權存取。

封鎖存取

封鎖存取會封鎖指定指派下的存取。 此控件功能強大，需要適當的知識才能有效使用。

授與存取權

授權控制會觸發一個或多個控制的強制執行。

• 需要多重驗證
• 需要足夠的驗證強度
• 要求裝置標示為符合規範 （Intune）
• 必須具備 Microsoft Entra 混合式加入的裝置
• 需要核准的用戶端應用程式
• 需要應用程式保護原則
• 需要變更密碼
• 要求使用條款

系統管理員選擇使用下列選項，要求上述其中一個控件或所有選取的控件。 根據預設，多個控件都需要全部。

• 需要所有選取的控制項（控制項與控制器）
• 需要其中一個選取的控制項（控制項或控制件）

會期

工作階段控制件 可以限制用戶的體驗。

• 使用應用程式強制執行的限制：
  • 僅適用於 Exchange Online 和 SharePoint Online。
  • 傳遞裝置資訊來控制體驗，授與完整或有限的存取權。
• 使用條件式存取應用程式程式控制：
  • 使用 Microsoft Defender for Cloud Apps 的訊號來執行以下動作：
    • 封鎖機密檔的下載、剪下、複製和列印。
    • 監控具風險的會話行為。
    • 需要標記敏感性檔案。
• 登入頻率：
  • 能夠變更現代驗證的預設登入頻率。
• 持續性瀏覽器會話：
  • 允許使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
• 自訂連續存取評估。
• 停用韌性預設值。

簡單原則

條件式存取原則至少必須包含下列元素，才能強制執行：

• 政策名稱
• 工作分派
  • 要套用原則的使用者和/或群組
  • 要將原則套用到的目標資源
• 存取控制
  • 授與 或 封鎖 控件

一般條件式存取原則一文包含對大多數組織可能有用的原則。

相關內容

• 一般條件式存取原則

• 使用 Intune 管理裝置合規性

• 適用於雲端應用程式和條件式存取的Defender Microsoft