規劃條件式存取部署對於實現組織對應用程式和資源的存取策略非常重要。 條件式存取原則提供絕佳的設定彈性。 不過,這種彈性也表示您應該謹慎規劃,以避免不想要的結果。
Microsoft Entra 條件式存取 結合使用者、裝置和位置等訊號,以自動化決策並強制執行資源的組織存取原則。 這些條件式存取原則可協助您平衡安全性和生產力,在需要時強制執行安全性控制,在不需要時不妨礙使用者。
條件式存取是 Microsoft零信任安全策略引擎的基礎。
Microsoft提供 安全性預設值,以確保在未擁有Microsoft Entra ID P1或P2的租用戶中啟用基本層級的安全性。 有了條件式存取之後,您可以建立原則,提供和安全性預設值相同但更加細微的保護。 您無法同時使用條件式存取與安全性預設值,因為建立條件式存取原則會讓您無法啟用安全性預設值。
必要條件
- 具有已啟用 Microsoft Entra ID P1、P2 或試用版授權的運作中 Microsoft Entra 租用戶。 如有需要, 請免費建立一個。
- 需要 Microsoft Entra ID P2,才能在條件式存取原則中包含 Microsoft Entra ID Protection 風險。
- 與條件式存取互動的系統管理員必須有下列其中一個角色指派,視他們執行的工作而定。 若要遵循 最低許可權的零信任原則,請考慮使用 Privileged Identity Management (PIM) 以 Just-In-Time 啟用特殊許可權角色指派。
- 測試使用者 (非系統管理員) 可讓您在將原則部署至實際使用者前,先確認原則的運作符合預期。 如果您需要建立使用者,請參閱 快速入門:將新使用者新增至Microsoft Entra ID。
- 測試使用者所屬的群組。 如果您需要建立群組,請參閱在 entra ID Microsoft中建立群組和新增成員。
溝通變更
溝通是成功運用所有新功能的關鍵要素。 您應該主動與使用者溝通其體驗的變更方式、變更時間,以及遇到問題時如何取得支援。
條件式存取原則元件
條件式存取原則會回答哪些人可以存取您的資源、可存取哪些資源,以及哪些條件下可存取的問題。 原則的目的是為了授與存取權、限制工作階段控制的存取權,或封鎖存取權。 您可以藉由定義 if-then 語句來 建置條件式存取原則 ,例如:
| 如果符合指定 | 套用存取控制 |
|---|---|
| 如果您是財務部門中存取薪資應用程式的使用者 | 需要多重要素驗證和相容的裝置 |
| 如果您不是財務部門中存取薪資應用程式的成員 | 封鎖存取 |
| 若使用者風險很高 | 需要多重要素驗證和安全密碼變更 |
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
-
緊急存取 或 中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊,請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
-
服務帳戶 和 服務主體帳號,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在腳本或程式碼中使用這些帳戶,請考慮將它們取代為 受控識別。
提問正確的問題
以下是有關 指派和訪問控制的一些常見問題。 在建置每個原則的問題之前,請先記錄其解答。
使用者或工作負載身分識別
- 原則中可以納入或排除哪些使用者、群組、目錄角色或工作負載身分識別?
- 原則中應排除哪些緊急存取帳戶或群組?
雲端應用程式或動作
此原則是否適用於任何應用程式、使用者動作或驗證內容? 若為是:
- 原則會套用至哪些應用程式或服務?
- 哪些使用者動作必須遵循此原則?
- 此原則將套用至哪些驗證內容?
應用程式的篩選
使用篩選來包含或排除應用程式,而不是個別指定應用程式 可協助組織:
- 輕鬆地調整及指定任意數目的應用程式。
- 使用類似的原則需求輕鬆管理應用程式。
- 減少個別原則的數目。
- 在編輯原則時減少錯誤:不需要手動從原則新增/移除應用程式。 只要管理屬性即可。
- 克服原則大小限制。
條件
- 該原則將納入或排除哪些裝置平台?
- 組織已知的網路位置為何?
- 該原則將納入或排除哪些位置?
- 該原則已納入或排除哪些用戶端應用程式類型?
- 您是否需要以特定裝置屬性為目標?
- 如果使用 Microsoft Entra ID Protection,您要納入登入或用戶風險嗎?
封鎖或授與控制
您是否要透過要求下列一或多個項目來授與對資源的存取權?
- 多重要素驗證
- 標示為符合規範的裝置
- 使用 Microsoft Entra 混合式聯結裝置
- 使用核准的用戶端應用程式
- 已套用應用程式保護原則
- 密碼變更
- 已接受使用規定
[封鎖存取 ] 是一個強大的控件,您應該運用適當的知識。 具有 block 陳述式的原則可能會產生非預期的副作用。 在大規模啟用控制項之前,適當的測試和驗證非常重要。 系統管理員應該在進行變更時,使用 條件式存取報表模式 和 條件式存取中的 What If 工具等工具 。
工作階段控制項
您是否要對雲端應用程式強制執行下列任何存取控制?
- 使用應用程式強制執行限制
- 使用條件式存取應用程式控制
- 強制執行登入頻率
- 使用持續性瀏覽器工作階段
- 自訂持續性存取評估
組合原則
建立和指派原則時,您必須考慮存取權杖的運作方式。 存取令牌 會根據提出要求的使用者是否已獲得授權和驗證,授與或拒絕存取權。 若要求者可以證明他們為自己所宣稱的身分,就可以存取受保護的資源或功能。
如果條件式存取原則條件未觸發訪問控制,存取令牌預設會發出。
此原則不會防止應用程式能夠封鎖存取。
例如,請考慮簡化的原則範例,其中:
使用者:FINANCE GROUP
存取:薪資應用程式
存取控制:多重要素驗證
- 使用者 A 位於 FINANCE GROUP 中,他們必須執行多重要素驗證才能存取 薪資應用程式。
- 使用者 B 不在 FINANCE GROUP 中,會發出存取令牌,並允許存取 薪資應用程式 ,而不需要執行多重要素驗證。
為了確保 FINANCE GROUP 外部的使用者無法存取薪資應用程式,可以建立個別的原則來封鎖所有其他使用者,例如下列簡化的原則:
使用者:包含所有使用者/排除 FINANCE GROUP
存取:薪資應用程式
存取控制:封鎖存取
現在當使用者 B 嘗試存取 薪資應用程式 時,他們被封鎖。
建議
考慮到我們在使用條件式存取和支援其他客戶方面的經驗教訓,以下是一些根據我們的經驗的建議。
將條件式存取原則套用至每個應用程式
請確定每個應用程式至少已套用一個條件式存取原則。 從安全性觀點來看,最好建立包含所有資源的原則(先前稱為「所有雲端應用程式」)。 此做法可確保您不需要每次在新的應用程式上架時,更新條件式存取原則。
提示
在單一原則中使用區塊與所有應用程式要非常小心。 這樣可能會使系統管理員遭封鎖,而且無法針對重要端點 (例如 Microsoft Graph) 設定排除項目。
將條件式存取原則的數目降至最低
針對每個應用程式建立原則的效率不高,且會導致管理困難。 條件式存取具有每個租用戶 195 個原則的限制。 此 195 原則限制包含任何狀態的條件式存取原則,包括報告專用模式 (開啟或關閉)。
建議您 分析您的應用程式,並將其分組為具有相同使用者相同資源需求的應用程式。 例如,若所有 Microsoft 365 應用程式或所有人力資源應用程式,針對相同的使用者具備相同的需求,請建立單一原則,並納入其套用的所有應用程式。
條件式存取原則包含在 JSON 檔案中,並且該檔案受到大小限制,我們預計單一原則不會超出該大小限制。 若在原則中使用一長串 GUID,可能會達到此限制。 若遇到這些限制,建議您使用如下的替代方法:
設定僅限報告模式
根據預設,從範本建立的每個原則都會以報告專用模式建立。 我們建議組織先測試及監視使用量,以確保預期的結果,再開啟每個原則。
在僅限報表模式中啟用原則。 在報告專用模式中儲存原則後,即可在登入記錄中看到對即時登入的影響。 從登入記錄中選取事件,然後瀏覽至 [報告專用] 索引標籤,以查看每個報告專用原則的結果。
您可以在 Insights 和 Reporting 活頁簿中檢視條件式存取原則的匯總影響。 若要存取活頁簿,您需要 Azure 監視器訂用帳戶,而且必須將 登入記錄串流至記錄分析工作區。
針對中斷進行規劃
若要降低在突如其來的中斷期間封鎖的風險,請規劃貴組織的韌性策略。
啟用受保護的動作
啟用 受保護的動作 為嘗試建立、修改或刪除條件存取策略時提供額外的安全層。 組織在修改原則之前,可能需要新的多重要素驗證或其他授與控件。
設定原則的命名標準
命名標準可協助您尋找原則並瞭解其用途,而不需在 Azure 管理入口網站中開啟原則。 我們建議您為您的原則命名,以顯示:
- 序號
- 適用的雲端應用程式
- 回應
- 適用的人員
- 適用的時機
範例:一個要求行銷用戶從外部網路存取 Dynamics CRP 應用程式時需使用多重驗證的政策,可以是:
描述性名稱可協助您大致了解條件式存取的實作。 如果您需要參考交談中的原則,序號會很有用。 例如,如果您透過電話與管理員交談,您可以要求其開啟原則 CA01 來解決問題。
緊急存取控制措施的命名標準
除了您現行的政策之外,請實施停用的政策,以作為中斷或緊急情況下的次要彈性存取控制。 您用於應變原則的命名標準應該包含:
- 開頭的 ENABLE IN EMERGENCY,使這個名稱在其他原則中脫穎而出。
- 應該在中斷時套用的名稱。
- 排序的序號,可協助系統管理員了解啟用原則的順序。
範例:下列名稱指出,如果發生 MFA 中斷,此原則是啟用的四個原則中的第一個:
- EM01 - 啟用緊急狀態:MFA 中斷 [1/4] - Exchange SharePoint:VIP 使用者需要 Microsoft Entra 混合式聯結。
封鎖您未預期會登入的國家/地區
Microsoft Entra ID 可讓您建立 具名位置。 建立允許的國家/地區清單,然後建立一個網路封鎖原則,排除這些「允許的國家/地區」。 此選項會為以較小地理位置為基礎的客戶產生較少的額外負荷。 請務必將緊急存取帳戶排除在此原則之外。
部署條件式存取原則
準備就緒後,請分階段部署條件式存取原則。
建置條件式存取原則
請參閱條件式存取原則範本和適用於 Microsoft 365 組織的常見安全策略,以取得捷徑。 這些範本是部署 Microsoft 建議的便利方式。 請務必要排除您的緊急存取帳戶。
評估原則影響
建議您使用下列工具來評估原則在變更前後的效果。 模擬執行可供您了解條件式存取原則的效果,並不會取代正確設定的開發環境中的實際測試執行。
- 僅限報表模式 和條件式存取分析洞察與報表活頁簿。
- What If 工具
測試您的原則
請確保您測試政策的排除標準。 例如,您可能會從需要 MFA 的原則排除使用者或群組。 測試是否會對排除的使用者提示進行 MFA,因為其他原則的組合可能要求那些使用者進行 MFA。
使用測試使用者執行測試方案中的每個測試。 測試計畫非常重要,它可用來比較預期結果和實際結果。 下表概述一些測試案例範例。 根據您條件式存取原則設定的方式,調整案例與預期的結果。
| 原則 | 案例 | 預期的結果 |
|---|---|---|
| 具風險的登入 | 使用者利用未經核准的瀏覽器登入應用程式 | 根據使用者未執行登入的機率,計算風險分數。 需要使用者利用 MFA 進行自我補救 |
| 裝置管理 | 授權使用者嘗試從已授權的裝置登入 | 授與的存取權 |
| 裝置管理 | 授權使用者嘗試從未經授權的裝置登入 | 已封鎖存取 |
| 有風險用戶的密碼變更 | 授權使用者嘗試使用遭洩漏的認證登入 (高風險登入) | 使用者收到變更密碼的提示,或根據您的原則已封鎖存取 |
部署在生產環境中
在您使用僅限報表模式確認影響後,系統管理員可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
復原原則
如果您需要復原新實作的原則,請使用下列一或多個選項:
停用原則。 停用原則可確保該原則不會在使用者嘗試登入時套用。 當您想要使用原則時,您隨時都可以回到這裡啟用原則。
從原則中排除使用者或群組。 如果使用者無法存取應用程式,您可以選擇從原則排除使用者。
警告
排除應該謹慎使用,只有在使用者受到信任的情況下。 建議您儘速將使用者加回原則或群組中。
如果原則已停用且不再需要, 請將其刪除。
對條件式存取原則進行疑難排解
若使用者遇到條件式存取原則的問題,請收集下列資訊,協助進行疑難排解。
- 使用者主體名稱
- 使用者顯示名稱
- 作業系統名稱
- 時間戳記 (接受近似值)
- 目標應用程式
- 用戶端應用程式類型 (瀏覽器與用戶端)
- 相互關聯識別碼 (這是登入的專屬識別碼)
如果使用者收到包含更多詳細資料連結的訊息,其可以為您收集大部分的資訊。
收集資訊之後,請參閱下列資源:
- 條件式存取的登入問題 – 使用錯誤訊息和 Microsoft Entra 登入記錄來瞭解與條件式存取相關的非預期的登入結果。
- 使用 What-If 工具 - 了解原則為何在特定情況下或未套用至使用者,或原則是否會套用在已知狀態。