條件式存取：適用於應用程式的篩選條件

目前條件式存取原則可以套用至所有應用程式或個別的應用程式。擁有大量應用程式的組織可能會發現此流程難以跨多個條件式存取原則來進行管理。

條件式存取的應用程式篩選條件允許組織使用自訂屬性標記服務主體。這些自訂屬性接著會新增至其條件式存取原則。應用程式的過濾器會在令牌發行時執行評估，一個常見的問題是應用程式是在運行時還是在配置時被指派的。

在本文件中，您將建立一個自訂屬性集、將自訂安全性屬性指派給您的應用程式，以及建立一個條件式存取原則來保護應用程式。

指派角色

自訂安全性屬性會區分安全性，而且只能由委派的使用者來管理。下列一或多個角色應指派給管理或報告這些屬性的使用者。

角色名稱	描述
屬性指派系統管理員	將自訂安全性屬性索引鍵和值指派給支援的 Microsoft Entra 物件。
屬性指定閱讀器	讀取支援的 Microsoft Entra 物件的自訂安全性屬性索引鍵和值。
屬性定義管理員	定義和管理自訂安全性屬性的定義。
屬性定義解讀器	讀取自訂安全性屬性的定義。

將適當的角色指派給將在目錄範圍內管理或報告這些屬性的使用者。如需詳細步驟，請參閱指派 Microsoft Entra 角色。

重要

依預設，全域管理員和其他系統管理員角色無權讀取、定義或指派自訂安全性屬性。

依照在 Microsoft Entra ID 中新增或停用自訂安全性屬性這篇文章中的指示，來新增下列屬性集和新屬性。

注意

應用程式的條件式存取篩選條件僅適用於「字串」類型的自訂安全性屬性。自訂安全性屬性支援建立布林值資料類型，但條件式存取原則僅支援「字串」。

至少以條件式存取管理員和屬性定義讀者身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>條件式存取。
選取 [新增政策]。
為您的原則命名。建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
1. 在「包含」項下，選取「所有使用者」。
2. 在 [排除] 下，選取 [使用者和群組]，並選擇您組織的緊急存取或破窗帳戶。
3. 選取完成。
在 [目標資源] 底下，選取下列選項：
1. 請選擇此原則適用的雲端應用程式。
2. 包含 選取資源。
3. 選取 [編輯篩選器]。
4. 將 [設定] 設定為 [是]。
5. 選取我們稍早所建立名為 policyRequirement 的屬性。
6. 將 [運算子] 設定為 Contains。
7. 將 [值] 設定為 requireMFA。
8. 選取完成。
在 [存取控制]>[授與] 中，選取 [授與存取權]、[需要多重要素驗證]，然後選取 [選取]。
確認您的設定，並將 [啟用原則] 設為 [報告專用]。
選取 [建立] 以建立並啟用您的原則。

系統管理員在使用原則影響或僅限報表模式評估這些原則設定後，可以將 啟用原則 的切換從 僅限報表 調到開啟。

如果您已經有使用服務主體的測試應用程式，則可略過此步驟。

設置一個範例應用程式，以展示如何使用應用程式識別來運行作業或 Windows 服務，而不是使用者的身分識別。遵循文章快速入門：取得令牌並使用主控台應用程式的身分識別呼叫 Microsoft Graph API中的指示，來建立此應用程式。

如果您的租用戶中沒有列出服務主體，則無法將其設為目標。 Office 365 套件是這類服務主體的一個範例。

以至少條件式存取管理員~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) 和屬性指派管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>企業應用程式。
選取您要將自訂安全性屬性套用到其中的服務主體。
在 [管理]>[自訂安全性屬性] 底下，選取 [新增指派]。
在 [屬性集] 底下，選取 [ConditionalAccessTest]。
在 [屬性名稱] 底下，選取 [policyRequirement]。
在 [指派的值] 下，依序選取 [新增值]、從清單中選取 [requireMFA]，然後選取 [完成]。
選擇 [儲存]。

以適用於該原則的使用者身份登入，並測試在存取應用程式時是否需要多重因素驗證 (MFA)。