條件式存取範本
條件式存取範本提供方便的方法,可部署符合Microsoft建議的新原則。 這些範本的設計目的是提供最大的保護,而保護與各種客戶類型和位置的常用原則相符。
範本類別
條件式存取原則範本會組織成下列類別:
Microsoft建議這些原則作為所有組織的基底。 我們建議將這些原則部署為群組。
在 Microsoft Entra 系統管理中心>保護>條件式存取>從範本建立新原則中尋找這些範本。 選取 [ 顯示更多 ] 以查看每個類別中的所有原則範本。
重要
條件式存取範本原則只會排除從範本建立原則的使用者。 如果您的組織需要 排除其他帳戶,一旦建立原則,您就能夠修改原則。 您可以在 Microsoft Entra 系統管理中心>保護>條件式存取>原則中找到這些原則。 選取原則以開啟編輯器,並修改排除的使用者和群組,以選取您要排除的帳戶。
根據預設,每個原則都是在僅限報表模式中建立,我們建議的組織在開啟每個原則之前先測試及監視使用方式,以確保預期的結果。
組織可以選取個別原則範本,並:
- 檢視原則設定的摘要。
- 編輯,根據組織需求自定義。
- 匯出 JSON 定義,以用於程序設計工作流程。
- 您可以使用 [上傳原則檔案] 選項,在主要條件式存取原則頁面上編輯並匯入這些 JSON 定義。
其他常見原則
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應