共用方式為

何謂條件式存取?

新式安全界限已延伸到組織的網路界限之外,可包含使用者和裝置身分識別。 組織可以使用這些身分識別驅動訊號作為其存取控制決策的一部分。 Microsoft Entra 條件式存取會將訊號整合在一起,以制定決策及施行組織原則。 條件式存取是 Microsoft 的 零信任政策引擎,在執行政策決策時,會考慮來自各種來源的信號。

顯示條件式存取訊號概念以及強制執行組織原則決策的圖表。

條件存取政策最簡單的是 if-then 陳述句: 如果 使用者想要存取資源, 必須完成一個動作。 例如:如果使用者想要存取 Microsoft 365 之類的應用程式或服務,則必須執行多重要素驗證以取得存取權。

管理員面臨兩個主要目標:

  • 讓使用者隨時隨地都具有生產力
  • 保護組織的資產

在需要時,使用條件存取政策套用正確的存取控制,以保障組織安全且不干擾生產力。

重要

完成第一個要素驗證之後,即會施行條件式存取原則。 條件存取並非組織針對阻斷服務(DoS)攻擊等情境的前線防禦,但可利用這些事件的訊號來判斷存取權限。

常見訊號

條件式存取會使用來自各種來源的訊號來做出存取決策。

此圖表顯示條件式存取作為零信任政策引擎,整合來自各種來源的訊號。

其中一些訊號包括:

  • 使用者、群組或代理
    • 政策可針對特定使用者、群組與代理(預覽版),讓管理員對存取權限有細緻控制。
    • 支援代理身份與代理使用者,將零信任原則延伸至人工智慧工作負載。
  • IP 位置資訊
    • 組織可以建立可用於政策決策的 IP 位址範圍。
    • 管理員可以指定整個國家或地區的 IP 範圍來封鎖或允許流量。
  • 裝置
    • 強制執行條件式存取原則時,可以使用具有特定平台裝置或標示特定狀態的使用者。
    • 針對裝置使用篩選,將原則目標設為特定裝置,例如特殊權限存取工作站。
  • 應用程式
    • 當使用者嘗試存取特定應用程式時,觸發不同的條件式存取原則。
    • 將政策套用到傳統雲端應用程式、本地應用程式及代理資源。
  • 即時與計算風險偵測
  • Microsoft Defender for Cloud Apps
    • 即時監控並控制使用者應用程式的存取與會話。 此整合可改善雲端環境中存取和活動的可見性和控制。

常見的決策

  • 封鎖存取是最嚴格的決定。
  • 授與存取權
  • 限制較少的決策,可能需要下列一或多個選項:
    • 要求多重驗證
    • 需要足夠的驗證強度
    • 要求裝置標示為合規
    • 需要一台 Microsoft Entra 混合加入裝置
    • 要求客戶端應用程式獲得核准
    • 要求應用程式保護原則
    • 要求更改密碼
    • 要求使用條款

通常會套用的原則

許多組織都有 條件式存取原則可協助的常見存取考慮,例如:

  • 要求對具有系統管理角色的使用者進行多重要素驗證
  • 執行 Azure 管理任務時需要多重因素驗證
  • 阻擋嘗試使用舊有認證協定的使用者登入
  • 要求可信位置進行安全資訊註冊
  • 封鎖或授與來自特定位置的存取
  • 封鎖風險性登入行為
  • 要求針對特定應用程式使用由組織管理的這些裝置

系統管理員可以從頭開始建立原則,或從入口網站中的範本原則開始,或使用 Microsoft Graph API。

管理員體驗

至少具備 安全閱讀者 角色的管理員可以在 Microsoft Entra 管理中心Entra ID> 下的 條件存取中找到「條件存取」。

條件式存取概觀頁面的螢幕快照。

  • 概覽頁面會顯示政策狀態、代理程式、使用者、裝置與應用程式的摘要,並附有一般與安全警示及建議。
  • 保障頁面顯示過去七天內有條件存取政策保障與否的申請摘要。

在政策頁面,管理員可依據角色、目標資源、條件、控制、狀態或日期等項目 篩選 條件存取政策。 這種篩選功能讓管理員能根據設定快速找到特定政策。

條件式存取優化代理程式

使用 Microsoft 安全性 Copilot 的 條件式存取最佳化代理程式(預覽版)會根據零信任原則和 Microsoft 的最佳實踐,建議新的策略及對現有策略進行更改。 只要按一下,即可套用建議以自動更新或建立條件式存取原則。 代理程式至少需要 Microsoft Entra ID P1 授權和安全性計算單位 (SCU)。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找符合您需求的正確授權,請參閱 比較 Microsoft Entra ID 的一般可用功能

擁有 Microsoft 365 商務進階版授權 的客戶也可以使用條件式存取功能。

其他與條件存取政策互動的產品與功能,也需為這些產品與功能取得適當的授權,包括 Microsoft Entra 工作負載 ID、Microsoft Entra ID 保護,以及 Microsoft Purview。

當條件式存取所需的授權到期時,原則不會自動停用或刪除。 此正常狀態可讓客戶從條件式存取原則移轉,而不會突然變更其安全性狀態。 您可以檢視和刪除剩餘的原則,但無法更新它們。

安全性預設值 可協助防範身分識別相關攻擊,而且適用於所有客戶。

零信任

這項功能可協助組織將其 身分 識別與零信任架構的三個指導原則保持一致:

  • 明確驗證
  • 使用最低權限
  • 假設入侵

若要深入瞭解零信任和其他讓組織與指導原則保持一致的方式,請參閱 零信任指引中心

下一步

規劃條件式存取部署

  • Last updated on