什麼是僅限條件式存取報表模式?
客戶廣泛使用條件式存取,藉由在正確的情況下套用正確的訪問控制來保持安全。 不過,在組織中部署條件式存取原則的其中一個挑戰是決定對終端用戶的影響。 很難預期受常見安全性計劃影響的用戶數目和名稱。 這些計劃可能包括:封鎖舊版驗證、要求一部分使用者進行多重要素驗證,或實施登入風險政策。
僅限報表模式是新的條件式存取原則狀態,可讓系統管理員在環境中啟用條件式存取原則之前評估條件式存取原則的影響。
- 條件式存取原則可以在僅限報表模式中評估,但「用戶動作」範圍中包含的專案除外。
- 在登入時,會評估但不會強制執行僅限報告模式中的原則。
- 結果會記錄在登入記錄詳細數據的 條件式存取 和 僅供報告使用 標籤中。
- 具有 Azure 監視器訂用帳戶的客戶可以使用條件式存取深入解析活頁簿來監視其條件式存取原則的影響。
警告
在僅報告模式下,需相容裝置的原則可能會提示 Mac、iOS 和 Android 使用者在原則評估時選擇裝置憑證,儘管裝置合規性未被強制執行。 這些提示可能會重複,直到裝置符合規範為止。 若要防止終端使用者在登入期間收到提示,請將裝置平臺Mac、iOS和Android排除在執行裝置合規性檢查的僅限報告原則中。 請注意,僅限報表模式不適用於具有「用戶動作」範圍的條件式存取原則。
政策結果
當對特定登入進行評估以報告模式的原則時,會有四個新的可能結果值:
| 結果 | 描述 |
|---|---|
| 僅限報告:成功 | 已滿足所有已設定的原則條件、必要的非互動式授權控製和會話控製。 例如,多因素驗證要求可以由令牌中已存在的 MFA 聲明來滿足,或者符合規範的裝置政策可以通過在合規的裝置上執行裝置檢查來滿足要求。 |
| 僅限報告:失敗 | 已滿足所有已設定的原則條件,但未滿足所有必要的非互動式授權控制或會話控制。 例如,原則會套用至被設置阻止控制的使用者,或者裝置未能符合設備合規原則。 |
| 僅限報表:需要用戶動作 | 所有已設定的原則條件均已滿足,但使用者需要進行操作以滿足必要的授權控制或會話控制。 使用僅限報表模式時,系統不會提示用戶滿足所需的控件。 例如,系統不會提示用戶進行多重要素驗證挑戰或使用規定。 |
| 僅報告用:未套用 | 並非所有已設定的原則條件都已滿足。 例如,使用者會被排除在原則之外,或者原則僅適用於某些受信任的命名地點。 |
條件式存取洞察活頁簿
系統管理員能夠以僅限報表模式建立多個原則,因此必須瞭解每個原則的個別影響,以及多個原則的合併影響。 新的條件式存取深入解析活頁簿可讓系統管理員可視化條件式存取查詢,並監視原則對指定時間範圍、應用程式和用戶的影響。