共用方式為


條件式存取:工作階段

在條件式存取原則中,系統管理員可以利用工作階段控制項,在特定的雲端應用程式中啟用有限的體驗。

授與控制項需要多重要素驗證的條件式存取原則

應用程式執行的限制

組織可以使用此控制,要求 Microsoft Entra ID 將裝置資訊傳遞給選取的雲端應用程式。 這些裝置資訊可以協助雲端應用程式了解,連線是來自合規的裝置,或是來自加入網域的裝置,然後據以更新工作階段的體驗。 選定之後,雲端應用程式就能使用裝置資訊,為使用者提供有限度或完整的體驗。 對於非受控或不合規的裝置,只能提供有限度的體驗;於受控及合規裝置,才能提供完整的體驗。

如需所支援應用程式的清單以及如何設定原則,請參閱下列文章:

條件式存取應用程式控制

條件式存取應用程式控制使用反向 Proxy 架構,並且僅與 Microsoft Entra 條件式存取整合。 Microsoft Entra 條件式存取可讓您根據特定條件,對貴組織的應用程式強制執行存取控制。 這些條件會定義要將條件式存取原則套用到群組的哪些使用者、哪些雲端應用程式、哪些位置和網路。 確定條件之後,可以將使用者路由傳送至 Microsoft Defender for Cloud Apps,在其中,使用條件式存取應用程式控制項,以套用存取和工作階段控制項來保護您的資料。

條件式存取應用程式控制讓您可以根據存取和工作階段原則,即時監視並控制使用者應用程式存取和工作階段。 Microsoft Defender for Cloud Apps 入口網站使用存取和工作階段原則精簡篩選,以及設定所要採取的動作。 使用存取和工作階段原則,即可:

  • 防止資料外流:您可以針對非受控裝置等項目,封鎖下載、剪下、複製和列印敏感性文件的功能。
  • 下載時保護:除了封鎖敏感性文件的下載,您也可以要求文件使用 Azure 資訊保護來標記和保護文件。 此動作可確保文件受到保護,並限制潛在風險工作階段中的使用者存取。
  • 防止上傳未標示的檔案:上傳、散發和使用敏感性檔案之前,請務必確定檔案具有正確的標籤和保護。 如此可確保在使用者分類內容前,包含敏感性內容的未標記檔案都無法上傳。
  • 監視使用者工作階段的合規性 (預覽) :當具風險的使用者登入應用程式時,除會加以監視之外,還會記錄其在工作階段中的動作。 您可以調查並分析使用者行為,瞭解日後套用工作階段原則的位置和條件。
  • 封鎖存取 (預覽) :您可以依據幾個風險因素,進一步封鎖特定應用程式和使用者的存取。 例如,您可以封鎖使用用戶端憑證管理裝置的應用程式或使用者。
  • 封鎖自訂活動:有些應用程式的特殊案例會帶有風險,例如,在應用程式 (例如 Microsoft Teams 或 Slack) 中傳送具有敏感性內容的訊息。 在這類案例中,您可以掃描郵件中是否有敏感性內容,並即時將其封鎖。

如需詳細資訊,請參閱為為精選應用程式部署條件式存取應用程式控制一文。

登入頻率

登入頻率定義使用者嘗試存取資源時,收到重新登入要求之前的時間週期。 管理員可以選取一段時間 (幾小時或幾天),或選擇每次都需要重新驗證。

登入頻率設定適用於已根據標準實作 OAUTH2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和行動裝置的 Microsoft 原生應用程式 (含下列 Web 應用程式),都是採用此設定。

  • Word、Excel、PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365 管理入口網站
  • Exchange Online
  • SharePoint 和 OneDrive
  • Teams 網頁用戶端
  • Dynamics CRM Online
  • Azure 入口網站

如需詳細資訊,請參閱使用條件式存取設定驗證工作階段管理一文。

持續性瀏覽器工作階段

持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時,保持登入狀態。

如需詳細資訊,請參閱使用條件式存取設定驗證工作階段管理一文。

自訂持續性存取評估

組織的條件式存取原則,會自動啟用持續性存取評估。 針對想要停用持續性存取評估的組織,此設定現在已是條件式存取中工作階段控制項內的一個選項。 連續存取評估原則的範圍可以設定為所有使用者或特定使用者和群組。 系統管理員在建立新原則或編輯現有的條件式存取原則時,可以選取下列選項。

  • 只有在已選取 [所有雲端應用程式] 時停用 [所有資源]、未選取任何條件,且 [會話>自定義條件式存取原則中的持續存取評估] 底下會選取 [停用]。 您可以選擇停用所有使用者,或是特定使用者和群組。

螢幕擷取畫面:顯示新條件式存取原則中的 CAE 設定。

停用復原預設值

在中斷期間,強制執行條件式存取原則時,Microsoft Entra ID 會延長對現有工作階段的存取。

若停用復原預設值,便會在現有的工作階段過期時拒絕存取。 如需詳細資訊,請參閱條件式存取:復原預設值一文。

需要登入工作階段的權杖保護 (預覽)

權杖保護 (業界中有時稱為權杖綁定) 嘗試透過確保權杖只能在目標裝置上使用,來減少使用權杖竊取的攻擊。 攻擊者能夠透過劫持或重新執行來竊取權杖時,即可冒充受害者,直到權杖到期或撤銷為止。 權杖竊取被認為是一個相對罕見的事件,但其造成的損害可能相當巨大。

預覽僅適用於特定案例。 如需詳細資訊,請參閱條件式存取:權杖保護 (預覽) 一文。

使用全域安全存取安全性配置檔

搭配使用安全性設定檔與條件式存取,會將身分識別控制項與Microsoft 安全性服務邊綠 (SSE) 產品 (Microsoft Entra 網際網路存取) 中的網路安全性統一。 選取此工作階段控制項可讓您將身分識別和內容感知帶到安全性設定檔,而這些設定檔是全域安全存取中所建立和管理的各種原則分組。