常見的條件式存取原則:保護安全性資訊註冊

使用條件式存取原則中的使用者動作,保護使用者註冊 Microsoft Entra 多重要素驗證和自助式密碼重設的時機和方式。 這項功能可供已啟用 合併註冊 的組織使用。 這項功能可讓組織將註冊程式視為條件式存取原則中的任何應用程式,並使用條件式存取的完整功能來保護體驗。 登入 Microsoft Authenticator 應用程式或啟用無密碼手機登入的使用者會受到此原則的約束。

過去某些組織可能已使用受信任的網路位置或裝置合規性作為保護註冊體驗的方法。 透過新增 Microsoft Entra 識別碼中的暫時存取傳遞 ,系統管理員可以為使用者提供限時認證,讓他們能夠從任何裝置或位置註冊。 暫時存取傳遞認證滿足多重要素驗證的條件式存取需求。

範本部署

組織可以選擇使用下列步驟或使用 條件式存取範本 來部署此原則。

建立原則以保護註冊

下列原則適用于選取的使用者,他們嘗試使用合併註冊體驗進行註冊。 此原則會要求使用者位於信任的網路位置、執行多重要素驗證或使用暫時存取傳遞認證。

  1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護 > 條件式存取]。
  3. 選取 [ 建立新原則 ]。
  4. 在 [名稱] 中,輸入此原則的名稱。 例如, 結合安全性資訊註冊與 TAP
  5. 在 [指派] 底下 ,選取 [ 使用者或工作負載身分識別 ]。
    1. 在 [包含] 下,選取 [所有使用者]

      警告

      使用者必須啟用 合併註冊

    2. 在 [排除] 底下

      1. 選取 [所有來賓和外部使用者 ]。

      2. 選取 [目錄角色 ],然後選擇 [全域管理員istrator]

        注意

        暫時存取通行證不適用於來賓使用者。

      3. 選取 [使用者和群組 ],然後選擇您組織的緊急存取權或打破帳戶。

  6. 在 [目標資源 > 使用者動作 ] 底下 ,檢查 [ 註冊安全性資訊]。
  7. 在 [條件 > 位置] 下。
    1. 將 [設定] 設定為 [是]
      1. 包含 [任何位置]
      2. 排除 [所有信任的位置]
  8. 在 [存取控制 > 授與 ] 底下。
    1. 選取 [ 授與存取 權], [需要多重要素驗證 ]。
    2. 選取選取
  9. 確認您的設定,並將 [啟用原則 ] 設定 [僅 報告]。
  10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用 僅限報表模式 確認設定之後,可以將 [ 啟用原則 ] 切換從 [僅限 報表] 移至 [開啟 ]。

管理員istrators 現在必須向新使用者發出暫時存取傳遞認證,才能滿足多重要素驗證註冊的需求。 若要完成這項工作,請參閱在 Microsoft Entra 系統管理中心建立 暫時存取階段一節 中找到。

組織可以選擇使用 或 取代 在步驟 8a 要求多重要素驗證 的其他授與控制項。 選取多個控制項時,請務必選取適當的選項按鈕切換,以在進行這項變更時要求 所有 其中一個 選取的控制項。

來賓使用者註冊

對於 需要在目錄中註冊多重要素驗證的來賓使用者 ,您可以選擇使用下列指南封鎖來自受信任網路位置 外部的 註冊。

  1. 以至少條件 式存取管理員istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護 > 條件式存取]。
  3. 選取 [ 建立新原則 ]。
  4. 在 [名稱] 中,輸入此原則的名稱。 例如,受信任網路上的合併安全性資訊註冊
  5. 在 [指派] 底下 ,選取 [ 使用者或工作負載身分識別 ]。
    1. 在 [包含] 底下 ,選取 [ 所有來賓和外部使用者 ]。
  6. 在 [目標資源 > 使用者動作 ] 底下 ,檢查 [ 註冊安全性資訊]。
  7. 在 [條件 > 位置] 下。
    1. 設定 [是]
    2. 包含 [任何位置]
    3. 排除 [所有信任的位置]
  8. 在 [存取控制 > 授與 ] 底下。
    1. 選取 [封鎖存取]
    2. 然後按一下 [選取]
  9. 確認您的設定,並將 [啟用原則 ] 設定 [僅 報告]。
  10. 選取 [建立] 以建立並啟用您的原則。

系統管理員使用 僅限報表模式 確認設定之後,可以將 [ 啟用原則 ] 切換從 [僅限 報表] 移至 [開啟 ]。

下一步

條件式存取範本

使用僅限條件式存取報表模式來判斷效果

使用條件式存取的僅限報表模式來判斷新原則決策的結果。

要求使用者重新確認驗證資訊