條件式存取範本提供便利的方式,可用來部署符合 Microsoft 建議的新原則。 這些範本的設計目的是提供最大的保護,並符合各種客戶類型和各地的常用政策。
範本類別
條件式存取原則範本會分成下列類別:
Microsoft 建議所有組織以這些原則為基礎。 將這些原則部署為群組。
在Microsoft Entra 系統管理中心,>,條件式存取,使用>來尋找這些範本。 選取 [顯示更多 ] 以檢視每個類別中的所有原則範本。
重要
針對使用者的條件存取範本政策僅排除創建該政策的使用者。 如果您的組織需要 排除其他帳戶,請在建立原則之後修改原則。 您可以在 Microsoft Entra 系統管理中心>Entra ID>條件式存取>原則中找到這些原則。 選取原則以開啟編輯器,修改排除的使用者和群組,以選取您要排除的帳戶。
根據預設,每個原則都是以 僅限報表模式建立。 我們建議組織在開啟每個原則之前先測試及監視使用方式,以確保預期的結果。
組織可以選取個別原則範本,並:
- 檢視原則設定的摘要。
- 編輯,根據組織需求自訂。
- 匯出 JSON 定義,以用於程式設計工作流程。
- 您可以使用 [上傳原則檔案] 選項,在主要條件式存取原則頁面上編輯並匯入這些 JSON 定義。
其他常見原則
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取或應急帳戶,以防止因為策略設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
-
服務帳戶和服務主體,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。