共用方式為


什麼是條件式存取?

新式安全界限已延伸到組織的網路界限之外,可包含使用者和裝置身分識別。 組織可以使用這些身分識別驅動訊號作為其存取控制決策的一部分。 Microsoft Entra 條件式存取會將訊號整合在一起,以制定決策並強制執行組織政策。 條件式存取是 Microsoft 的零信任原則引擎,會在強制執行原則決策時,將各種來源的訊號納入考慮。

顯示條件式存取訊號的概念以及可強制執行組織政策的決策的圖表。

最簡單的條件式存取原則就是 if-then 陳述式,使用者想要存取資源,必須完成某個動作。 例如:如果使用者想要存取 Microsoft 365 之類的應用程式或服務,則必須執行多重要素驗證以取得存取權。

系統管理員面臨兩個主要目標:

  • 讓使用者隨時隨地都具有生產力
  • 保護組織的資產

使用條件式存取原則以在需要時套用正確的存取控制,進而保護您組織的安全。

重要

完成第一個要素驗證之後,即會強制執行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。

常見訊號

條件式存取會在制定存取決策時,將來自各種來源的訊號納入考慮。

顯示條件式存取為零信任原則引擎,彙總來自各種來源的訊號的圖表。

這些訊號包括:

  • 使用者或群組成員資格
    • 原則可以針對特定使用者和群組,讓系統管理員可以更精細地控制存取權。
  • IP 位置資訊
    • 組織可以建立受信任的 IP 位址範圍,以便在做出原則決策時使用。
    • 系統管理員可以指定整個國家/地區 IP 範圍以封鎖或允許來自其中的流量。
  • 裝置
    • 強制執行條件式存取原則時,可以使用具有特定平台裝置或標示特定狀態的使用者。
    • 針對裝置使用篩選,將原則目標設為特定裝置,例如特殊權限存取工作站。
  • 應用程式
    • 嘗試存取特定應用程式的使用者可以觸發不同的條件式存取原則。
  • 即時和計算的風險偵測
  • Microsoft Defender for Cloud Apps
    • 可即時監視及控制使用者應用程式存取和工作階段。 此整合可提升雲端環境內所完成存取和活動的可見度和控制。

常見決策

  • 封鎖存取
    • 最嚴格的決策
  • 授與存取權
    • 較不嚴格的決策,可能需要下列一或多個選項:
      • 需要多重要素驗證
      • 需要驗證強度
      • 裝置需要標記為符合規範
      • 需要 Microsoft Entra 混合式加入裝置
      • 需要已核准的用戶端應用程式
      • 需要應用程式防護原則
      • 需要密碼變更
      • 需要使用規定

常用原則

許多組織都有適用條件式存取原則的常見存取考量,例如:

  • 要求對具有系統管理角色的使用者進行多重要素驗證
  • 要求執行 Azure 管理工作時使用多重要素驗證
  • 封鎖嘗試使用舊版驗證通訊協定的使用者登入
  • 要求信任的位置進行安全性資訊註冊
  • 封鎖或授與來自特定位置的存取
  • 封鎖風險性登入行為
  • 要求針對特定應用程式使用組織的受控裝置

管理員可使用 Microsoft Graph API 從頭開始或從入口網站的範本原則開始建立原則。

管理員體驗

具有條件式存取系統管理員角色的系統管理員可以管理原則。

從 [保護]>[條件式存取] 底下的 [Microsoft Entra 系統管理中心] 即可找到條件式存取。

[條件式存取概觀] 頁面的螢幕擷取畫面。

  • [概觀] 頁面提供原則狀態、使用者、裝置和應用程式的摘要,以及具有建議的一般和安全性警示。
  • [涵蓋範圍] 頁面提供過去七天內具有或不具有條件式存取原則涵蓋範圍的應用程式概要。
  • [監視] 頁面可讓系統管理員查看可篩選的登入圖表,以查看原則涵蓋範圍的潛在差距。

[原則] 頁面上的條件式存取原則可由系統管理員根據項目進行篩選,包括動作項目、目標資源、條件、已套用的控制項、狀態或日期等。 此篩選功能可讓系統管理員根據其設定快速尋找特定原則。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能

擁有 Microsoft 365 商務進階版授權的客戶也有條件式存取功能的存取權。

風險型原則需要存取 Microsoft Entra ID Protection,這需要 P2 授權。

其他可能會與條件式存取原則互動的產品和功能,需要這些產品和功能的適當授權。

條件式存取所需的授權到期時,不會自動停用或刪除原則。 這可讓客戶擺脫條件式存取原則,而不會突然變更其安全性態勢。 剩餘的原則可加以檢視和刪除,但不再更新。

安全性預設值可協助防禦身分識別相關攻擊並適用於所有客戶。

零信任

這項功能可協助組織將其身分識別與零信任架構的三個指導原則保持一致:

  • 明確驗證
  • 使用最低權限
  • 假設缺口

若要深入了解零信任和其他協助組織與指導原則保持一致的方式,請參閱零信任指導中心 (部分機器翻譯)。

後續步驟