條件式存取範本

條件式存取範本提供方便的方法,可部署與 Microsoft 建議一致的新原則。 這些範本的設計目的是提供最大的保護,而保護與各種客戶類型和位置的常用原則相符。

Screenshot that shows Conditional Access policies and templates in the Microsoft Entra admin center.

範本類別

16 個條件式存取原則範本會組織成下列類別:

Microsoft 建議這些原則作為所有組織的基底。 我們建議將這些原則部署為群組。

Microsoft Entra 系統管理中心 > 保護 > 條件式存取 > 從範本建立新原則中尋找這些範本。 選取 [ 顯示更多 ] 以查看每個類別中的所有原則範本。

Screenshot that shows how to create a Conditional Access policy from a preconfigured template in the Microsoft Entra admin center.

重要

條件式存取範本原則只會排除從範本建立原則的使用者。 如果您的組織需要 排除其他帳戶 ,一旦建立原則,您就能夠修改原則。 您可以在 Microsoft Entra 系統管理中心 > 保護 > 條件式存取 > 原則 中找到 這些原則。 選取原則以開啟編輯器,並修改排除的使用者和群組,以選取您要排除的帳戶。

根據預設,每個原則都是在僅限報表模式 建立,我們建議的組織在開啟每個原則之前先測試及監視使用方式,以確保預期的結果。

組織可以選取個別原則範本,並:

  • 檢視原則設定的摘要。
  • 編輯,根據組織需求自訂。
  • 匯出 JSON 定義,以用於程式設計工作流程。
    • 您可以使用 [上傳原則檔案 ] 選項,在主要條件式存取原則頁面上 編輯並匯入這些 JSON 定義。

其他常見原則

使用者排除

條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:

  • 緊急存取急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
  • [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未系結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。

下一步