在條件式存取原則中,系統管理員可以使用會話控制項,在特定雲端應用程式中啟用有限的體驗。
應用程式強制的限制
組織可以使用此控制,要求 Microsoft Entra ID 將裝置資訊傳遞給選取的雲端應用程式。 這些裝置資訊可以協助雲端應用程式了解,連線是來自合規的裝置,或是來自加入網域的裝置,然後據以更新工作階段的體驗。 選定之後,雲端應用程式就能使用裝置資訊,為使用者提供有限度或完整的體驗。 如果裝置未受管理或不符合規範,則為有限,若裝置受管理且符合規範,則為完整狀態。
如需支援的應用程式清單和設定原則的步驟,請參閱下列文章:
- Microsoft 365 的閒置工作階段逾時。
- 瞭解如何使用 SharePoint Online 啟用有限的存取權。
- 瞭解如何使用 Exchange Online 啟用有限的存取。
條件式存取應用程式控制
條件式存取應用程式控制使用反向 Proxy 架構,並且獨特地與 Microsoft Entra 條件式存取整合。 Microsoft Entra 條件式存取可讓您根據特定條件對組織的應用程式強制執行存取控制。 條件會定義條件式存取原則套用至哪些使用者、群組、雲端應用程式、位置和網路。 判斷條件之後,請將使用者路由傳送至 Microsoft Defender for Cloud Apps,使用條件式存取應用程式控制,藉由套用存取和會話控制來保護資料。
條件式存取應用程式控制讓您可以根據存取和工作階段原則,即時監視並控制使用者應用程式存取和工作階段。 在 Microsoft Defender for Cloud Apps 入口網站中使用存取和工作階段政策來調整篩選和設置操作。
使用適用於雲端的 Microsoft Defender Apps 強制執行此控制項,系統管理員可以在其中為 精選應用程式部署條件式存取應用程式控制 ,並 使用 Microsoft Defender for Cloud Apps 會話原則。
針對商務用 Microsoft Edge,請使用 Microsoft Purview 資料外洩防護強制執行此控制項,系統管理員可 協助防止使用者與商務用 Edge 中的雲端應用程式共用敏感性資訊。 條件式存取 應用程式控制自訂 設定對於這些原則中包含的應用程式是必要的。
登入頻率
登入頻率會指定使用者在存取資源時再次登入之前,可以保持登入的時間長度。 管理員可以設定時段 (小時或天) 或每次都要求重新驗證。
登入頻率設定適用於使用 OAuth 2.0 或 OIDC 通訊協定的應用程式。 大多數適用於 Windows、Mac 和行動裝置的 Microsoft 原生應用程式,包括下列 Web 應用程式,都遵循此設定。
- Word、Excel、PowerPoint Online
- OneNote 線上版
- Office.com
- Microsoft 365 管理入口網站
- 線上交換所
- SharePoint 和 OneDrive
- Teams 網頁用戶端
- Dynamics CRM 在線
- Azure 入口網站
如需詳細資訊,請參閱 使用條件式存取設定驗證會話管理。
持續性瀏覽器工作階段
持續性瀏覽器會話可讓使用者在關閉並重新開啟瀏覽器視窗之後保持登入狀態。
如需詳細資訊,請參閱 使用條件式存取設定驗證會話管理。
自訂持續性存取評估
自動啟用持續性存取評估作為組織條件式存取原則的一部分。 針對想要停用持續性存取評估的組織,此設定現在已是條件式存取中工作階段控制項內的一個選項。 持續存取評估原則會套用至所有使用者或特定使用者和群組。 系統管理員在建立新原則或編輯現有的條件式存取原則時,可以選取下列選項。
- 只有在選取所有資源 (先前稱為「所有雲端應用程式」) 、未選取任何條件,且在條件式存取原則的 [工作階段自訂持續存取評估] 底下選取 > 時,才會運作 [停用]。 您可以停用所有使用者或特定使用者和群組。
停用韌性預設值
在中斷期間,Microsoft Entra ID 會在強制執行條件式存取原則的同時,延續對現有工作階段的存取權限。
如果關閉韌性預設值,當現有會話到期時,將拒絕存取。 如需詳細資訊,請參閱 條件式存取:復原預設值。
要求工作階段登入的權杖保護
權杖保護,在業界有時稱為權杖綁定,試圖透過確保權杖只能從預期裝置使用來減少使用權杖盜竊的攻擊。 如果攻擊者透過劫持或重播竊取令牌,他們可以冒充受害者,直到令牌過期或被撤銷。 代幣盜竊很少見,但其影響可能很大。 如需詳細資訊,請參閱 條件式存取:權杖保護。
使用全域安全存取設定
使用具條件式存取的安全性設定檔,將在 Microsoft 的安全服務邊緣 (SSE) 產品 Microsoft Entra Internet Access 中結合身分識別控制與網路安全性。 選擇此工作階段控制項可讓您將身份識別和上下文感知引入安全性設定檔,這些設定檔是在全域安全存取中建立和管理的各種政策群組。