條件存取：使用者、群組、代理與工作負載身份

條件存取政策將使用者、群組、代理程式或工作負載身份指派作為決策過程中的訊號之一。 這些身分識別都可包含在條件式存取原則中或從中排除。 Microsoft Entra ID 會評估所有原則，並確保在授與存取權之前符合所有需求。

納入使用者

此清單通常包含組織在條件式存取原則中以目標的所有使用者。

建立條件式存取原則時，可以使用下列選項。

• 無
  • 未選取任何使用者
• 所有使用者
  • 目錄中的所有使用者，包括 B2B 來賓。
• 選取使用者和群組
  • 來賓或外部使用者
    • 此選項可讓您將條件式存取原則目標鎖定特定的來賓或外部使用者類型，以及包含這些使用者的租用戶。 有數種不同類型的來賓或外部使用者可以選取，而且可以選取多個項目：
      • B2B 共同作業來賓使用者
      • B2B 共同作業成員使用者
      • B2B 直接連接使用者
      • 本地來賓使用者，例如任何屬於本地租用戶且使用者類型屬性設為來賓的使用者
      • 服務提供者使用者，例如雲端解決方案提供者 (CSP)
      • 其他外部使用者，或未由其他使用者類型選取項目表示的使用者
    • 可以針對選取的使用者類型指定一或多個租用戶，或者您可以指定所有租用戶。
  • 目錄角色
    • 可讓系統管理員選取特定的 內建目錄角色 ，以決定原則指派。 例如，組織可能會針對主動指派特殊權限角色的使用者，建立更嚴格的原則。 不支援其他角色類型，包括系統管理單位範圍的角色和自訂角色。
      • 條件式存取允許系統管理員選取一些被列為已取代的角色。 這些角色仍會顯示在基礎 API 中，我們允許管理員將原則套用至這些角色。
  • 使用者和群組
    • 允許以特定的一組使用者作為目標。 例如，當選取 HR 應用程式作為雲端應用程式時，組織可選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra ID 中任何類型的使用者群組，包括動態或已指派的安全性與通訊群組。 原則會套用到巢狀的使用者和群組。

重要

選取條件式存取原則中包含的使用者和群組時，可直接新增至條件式存取原則的個別使用者數目有限制。 如果需要將許多個別使用者新增至條件式存取原則，建議先將這些使用者放入群組，再將該群組指派給原則。

如果使用者或群組屬於超過 2048 個群組，則可能會封鎖其存取。 這項限制適用於直接和巢狀群組成員資格。

警告

條件式存取原則不支援指派範圍 為系統管理單位的 目錄角色的使用者，或直接範圍為物件的目錄角色，例如透過 自訂角色。

注意

將原則鎖定為 B2B 直接連線外部使用者時，這些原則會套用至存取 Teams 或 SharePoint Online 的 B2B 共同作業使用者，這些使用者也符合 B2B 直接連線的資格。 這同樣適用於以 B2B 共同作業外部使用者為目標的原則，這表示存取 Teams 共用通道的使用者如果租使用者中也有來賓使用者存在，則會套用 B2B 共同作業原則。

排除使用者

當組織同時包含和排除使用者或群組時，使用者或群組會從原則中排除。 在原則中，排除動作會覆蓋包含動作。 排除項目通常用於緊急存取帳戶或破玻璃帳戶。 如需緊急存取帳戶和其重要性的詳細資訊，請參閱下列文章：

• 管理 Microsoft Entra ID 中的緊急存取帳戶
• 使用 Microsoft Entra ID 建立具彈性的存取控制管理策略

建立條件式存取原則時，下列選項可供排除。

• 來賓或外部使用者
  • 此選項集提供數個選擇，用於將條件式存取原則針對特定的來賓或外部使用者類型以及包含這些類型使用者的特定租戶。 有數種不同類型的來賓或外部使用者可以選取，而且可以選取多個項目：
    • B2B 共同作業來賓使用者
    • B2B 共同作業成員使用者
    • B2B 直接連接使用者
    • 本地來賓使用者，例如任何屬於本地租用戶且使用者類型屬性設為來賓的使用者
    • 服務提供者使用者，例如雲端解決方案提供者 (CSP)
    • 其他外部使用者，或未由其他使用者類型選取項目表示的使用者
  • 可以針對選取的使用者類型指定一或多個租用戶，或者您可以指定所有租用戶。
• 目錄角色
  • 允許系統管理員選取用來判斷指派的特定 Microsoft Entra 目錄角色 。
• 使用者和群組
  • 允許以特定的一組使用者作為目標。 例如，當選取 HR 應用程式作為雲端應用程式時，組織可選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra ID 中任何類型的群組，包括動態或已指派的安全性與通訊群組。 原則會套用到巢狀的使用者和群組。

防止管理員被鎖定

為了防止系統管理員鎖定，建立套用至 [所有使用者 ] 和 [ 所有應用程式] 的原則時，會出現下列警告。

別锁在门外！ 建議先將原則套用至一小組使用者，確認行為是否如預期。 我們也建議您從此原則中排除至少一位系統管理員。 這確保在需要變更的情況下您仍有存取權並可更新原則。 請檢閱受影響的使用者和應用程式。

根據預設設定，此政策提供了一個選項來排除目前使用者，但系統管理員可以如以下圖片所示進行覆寫。

如果您發現自己被鎖定，請參閱 如果您被鎖定，該怎麼辦？。

外部合作夥伴存取

以外部使用者為目標的條件式存取原則可能會干擾服務提供者存取，例如細微委派的系統管理員許可權。 深入瞭解 細微委派系統管理員許可權簡介 （GDAP） 。 針對目標為服務提供者租用戶的原則，請使用來賓或外部使用者選取項目中可用的服務提供者使用者外部使用者類型。

特工（預覽）

代理是 Microsoft Entra ID 中的一級帳號，為 AI 代理提供獨特的識別與認證功能。 針對這些物件的條件存取政策，在文章《條件存取與代理身份》中有具體建議

政策範圍可涵蓋：

• 所有代理人身份
• 選擇作為使用者的代理程式
• 根據屬性選擇代理人身份
• 選擇個別代理人身份

工作負載用戶識別

工作負載身分識別是一種身分識別，可讓應用程式或服務主體存取資源，有時是在使用者的內容中。 條件式存取原則可以套用至您租用戶中已註冊的單一租用戶服務主體。 非 Microsoft SaaS 和多租戶應用程式不在範疇內。 受管理的身份不在政策涵蓋範圍內。

組織可以將特定的工作負載身分識別設為包含在原則中的目標，或排除在原則之外。

如需詳細資訊，請參閱下列文章：適用於工作負載身分識別的條件式存取。

下一步

• 條件式存取：雲端應用程式或動作
• 條件式存取一般原則