規劃條件式存取部署對於實現組織對應用程式和資源的存取策略非常重要。 條件式存取原則提供顯著的設定彈性。 然而,這種靈活性意味著您需要仔細規劃以避免不良結果。
Microsoft Entra 條件式存取 會結合使用者、裝置和位置等訊號,以自動化決策,並強制執行資源的組織存取原則。 這些條件式存取原則可在需要時強制執行安全性控制,並在不需要時不妨礙使用者,以協助您平衡安全性和生產力。
條件式存取構成了 Microsoft 零信任安全性原則引擎的基礎。
Microsoft 提供 安全性預設值 ,以確保沒有 Microsoft Entra ID P1 或 P2 的租使用者具有基本安全性層級。 使用條件式存取,您可以建立原則,以提供與安全性預設值相同的保護,但具有更精細的原則。 條件式存取和安全性預設值不應該結合,因為建立條件式存取原則會防止您啟用安全性預設值。
必要條件
- 已啟用 Microsoft Entra ID P1、P2 或試用授權的運作 Microsoft Entra 租用戶。 如有需要, 請免費建立一個。
- 需要 Microsoft Entra ID P2,才能在條件式存取原則中包含 Microsoft Entra ID Protection 風險。
- 與條件式存取互動的系統管理員需要下列其中一個角色指派,視他們正在執行的工作而定。 若要遵循 最低許可權的零信任原則,請考慮使用 Privileged Identity Management (PIM) 來即時啟用特殊許可權角色指派。
- 測試使用者 (不是管理員) ,以檢查原則是否如預期般運作,再部署至實際使用者。 如果您需要建立使用者,請參閱 快速入門:將新使用者新增至Microsoft Entra ID。
- 包含測試使用者的群組。 如果您需要建立群組,請參閱在 entra ID Microsoft中建立群組和新增成員。
溝通變更
溝通是成功運用所有新功能的關鍵要素。 讓使用者知道他們的體驗如何變化、何時變化,以及在遇到問題時如何獲得支援。
條件式存取原則元件
條件式存取原則會決定誰可以存取您的資源、他們可以存取哪些資源,以及在什麼條件下存取。 原則可以授與存取權、使用工作階段控制限制存取權,或封鎖存取權。 您可以藉由定義 if-then 語句來 建置條件式存取原則 ,例如:
| 如果符合指定 | 套用存取控制 |
|---|---|
| 如果您是財務部門中存取薪資應用程式的使用者 | 需要多重要素驗證和相容的裝置 |
| 如果您不是財務部門中存取薪資應用程式的成員 | 封鎖存取 |
| 若使用者風險很高 | 需要多重要素驗證和安全密碼變更 |
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
-
服務帳戶 和 服務主體帳號,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
提問正確的問題
以下是 有關指派和存取控制的常見問題。 在建立每個原則之前,請先記錄每個原則的答案。
使用者或工作負載身分識別
- 原則中可以納入或排除哪些使用者、群組、目錄角色或工作負載身分識別?
- 您應該從原則中排除哪些緊急存取帳戶或群組?
雲端應用程式或動作
此原則是否適用於應用程式、使用者動作或驗證內容? 如果是這樣的話:
- 該政策適用於哪些應用程式或服務?
- 哪些使用者動作必須遵循此原則?
- 此原則適用於哪些驗證內容?
應用程式的篩選
使用篩選來包含或排除應用程式,而不是個別指定應用程式 可協助組織:
- 輕鬆擴展和定位任意數量的應用程式
- 管理具有類似原則需求的應用程式
- 減少個別保單數量
- 減少編輯原則時的錯誤:無需從原則中手動新增或刪除應用程式。 只要管理屬性即可。
- 克服原則大小限制
條件
- 該原則將納入或排除哪些裝置平台?
- 組織已知的網路位置為何?
- 該原則將納入或排除哪些位置?
- 該原則已納入或排除哪些用戶端應用程式類型?
- 您是否需要以特定裝置屬性為目標?
- 如果您使用 Microsoft Entra ID 保護,是否要合併登入或使用者風險?
封鎖或授與控制
您是否要透過要求下列一或多個項目來授與對資源的存取權?
- 多重要素驗證
- 標示為符合規範的裝置
- 使用 Microsoft Entra 混合式聯結裝置
- 使用核准的用戶端應用程式
- 已套用應用程式保護原則
- 密碼變更
- 已接受使用規定
封鎖存取 是一個強大的控制項。 只有在您了解影響時才應用它。 具有封鎖陳述式的原則可能會產生非預期的副作用。 在大規模啟用控制項之前進行測試和驗證。 使用 原則影響或僅限報告模式 來瞭解進行變更時的潛在影響。
工作階段控制項
您是否要對雲端應用程式強制執行下列任何存取控制?
- 使用應用程式強制執行限制
- 使用條件式存取應用程式控制
- 強制執行登入頻率
- 使用持續性瀏覽器工作階段
- 自訂持續性存取評估
組合原則
當您建立和指派原則時,請考慮存取權杖的運作方式。 存取權杖會 根據提出請求的使用者是否獲得授權和驗證來授予或拒絕存取權。 如果要求者證明他們是他們聲稱的身分,他們就可以使用受保護的資源或功能。
如果條件式存取原則條件未觸發存取控制,則預設會發出存取權杖。
此原則不會防止應用程式自行封鎖存取。
例如,請考慮簡化的原則範例,其中:
使用者:FINANCE GROUP
存取:薪資應用程式
存取控制:多重要素驗證
- 使用者 A 位於 FINANCE GROUP 中,他們必須執行多重要素驗證才能存取 薪資應用程式。
- 使用者 B 不在 FINANCE GROUP 中,會發出存取令牌,並允許存取 薪資應用程式 ,而不需要執行多重要素驗證。
若要確保財務群組外部的使用者無法存取薪資應用程式,請建立個別的原則來封鎖所有其他使用者,例如以下簡化原則:
使用者:包含所有使用者/排除 FINANCE GROUP
存取:薪資應用程式
存取控制:封鎖存取
現在,當使用者 B 嘗試存取 PAYROLL 應用程式時,他們會被封鎖。
建議
根據我們使用條件式存取和支援其他客戶的經驗,以下是一些建議。
將條件式存取原則套用至每個應用程式
請確定每個應用程式至少已套用一個條件式存取原則。 從安全性的觀點來看,最好 建立包含 所有資源的原則 (先前稱為「所有雲端應用程式」)。 此做法可確保您不需要每次在新的應用程式上架時,更新條件式存取原則。
提示
在單一策略中使用區塊和所有資源時要小心。 此組合可能會鎖定系統管理員,而且無法針對重要端點 (例如 Microsoft Graph) 設定排除專案。
將條件式存取原則的數目降至最低
為每個應用程式建立原則效率不高,而且會讓管理原則變得困難。 條件式存取每個租用戶的原則限制為 195 個原則。 此 195 個原則限制包含任何狀態的條件式存取原則,包括僅限報告模式、開啟或關閉。
分析您的應用程式,並依相同使用者的相同資源需求將它們分組。 例如,如果所有 Microsoft 365 應用程式或所有 HR 應用程式對相同使用者都有相同的需求,請建立單一原則,並包含它套用的所有應用程式。
條件式存取原則包含在 JSON 檔案中,而該檔案具有單一原則通常不會超過的大小限制。 若在原則中使用一長串 GUID,可能會達到此限制。 如果您遇到這些限制,請嘗試以下替代方法:
設定僅限報告模式
在僅限報表模式中啟用原則。 以僅限報告模式儲存原則之後,您會在登入記錄中看到即時登入的影響。 從登入記錄中,選取事件,然後移至 [僅限報告] 索引標籤,以查看每個僅限報告原則的結果。
在 深入解析和報告活頁簿中檢視條件式存取原則的彙總效果。 若要存取活頁簿,您需要 Azure 監視器訂用帳戶,而且必須將 登入記錄串流至記錄分析工作區。
針對中斷進行規劃
透過 為您的組織規劃彈性策略 ,降低在不可預見的中斷期間停工的風險。
啟用受保護的動作
啟用 受保護的動作 ,以新增另一層安全性,以嘗試建立、變更或刪除條件式存取原則。 組織在變更原則之前,可能需要新的多重要素驗證或其他授權控制。
設定來賓使用者設定
對於您認識且有關係的外部組織,您可能想要依賴來賓向您提出的多重要素驗證、裝置合規性或混合式裝置宣告,以應用於您的條件式存取原則。 如需詳細資訊,請參閱 管理 B2B 共同作業的跨租用戶存取設定。 有一些與 B2B 使用者如何使用 Microsoft Entra ID Protection 相關的注意事項,如需詳細資訊,請參閱適用於 B2B 使用者的 Microsoft Entra ID 保護。
設定原則的命名標準
命名標準可協助您尋找原則並瞭解其用途,而無需開啟它們。 為您的原則命名以顯示:
- 序號
- 適用的雲端應用程式
- 回應
- 適用的人員
- 適用的時機
範例:一個要求行銷用戶從外部網路存取 Dynamics CRP 應用程式時需使用多重驗證的政策,可以是:
描述性名稱可協助您掌握條件式存取實作的概觀。 如果您需要在交談中參考原則,序號會很有幫助。 例如,當您透過電話與管理員交談時,您可以要求他們開啟原則 CA01 來解決問題。
緊急存取控制措施的命名標準
除了您現行的政策之外,請實施停用的政策,以作為中斷或緊急情況下的次要彈性存取控制。 應急政策的命名標準應包括:
- 開頭的 ENABLE IN EMERGENCY,使這個名稱在其他原則中脫穎而出。
- 它應該適用的中斷名稱。
- 排序序號,可協助管理員知道應啟用哪些順序原則。
範例:下列名稱顯示此政策是 MFA 中斷時要啟用的四個政策中的第一個:
- EM01 - 啟用緊急狀態:MFA 中斷 [1/4] - Exchange SharePoint:VIP 使用者需要 Microsoft Entra 混合式聯結。
封鎖您未預期會登入的國家/地區
Microsoft Entra ID 可讓您建立 具名位置。 建立允許的國家/地區清單,然後建立網路封鎖原則,並將這些「允許的國家/地區」作為排除。 此選項可為位於較小地理位置的客戶建立較少的額外負荷。 請務必從此政策中排除您的緊急存取帳戶。
部署條件式存取原則
準備就緒後,請分階段部署條件式存取原則。 從一些核心條件式存取原則開始,例如下列原則。 許多原則都可作為 條件式存取原則範本使用。 根據預設,從範本建立的每個原則都處於僅限報告模式。 在開啟每個原則之前,測試並監視使用情況,以確保預期結果。
在下列三個階段內部署政策,以平衡安全性改善與最小的使用者中斷。 組織可以根據其規模、複雜性和變更管理能力調整時間表。
第一階段:基礎(第 1-2 週)
建立基準安全控制,並為 MFA 強制執行做好準備。 必要條件: 請確定使用者可以在啟用強制執行原則之前註冊 MFA。
| 條件式存取原則 | Scenario | 許可證要求 |
|---|---|---|
| 封鎖舊式驗證 | 所有使用者 | Microsoft Entra ID P1 |
| 保護 MFA 註冊 (我的安全性資訊) 頁面 | 所有使用者 | Microsoft Entra ID P1 |
| 特殊許可權 Microsoft Entra 內建角色會強制執行防網路釣魚方法 | 具權限的使用者 | Microsoft Entra ID P1 |
階段 2:核心驗證 (第 2-3 週)
為所有使用者和來賓強制執行 MFA,並使用 應用程式保護原則保護行動裝置。 主要影響: 用戶將需要對所有登錄使用 MFA,並在移動設備上使用具有應用程序保護的批准應用程序。 確保執行溝通計劃並提供支援資源。
| 條件式存取原則 | Scenario | 許可證要求 |
|---|---|---|
| 所有使用者登入活動都會使用強式驗證方法 | 所有使用者 | Microsoft Entra ID P1 |
| 訪客存取受到強式驗證方法的保護 | 來賓存取權 | Microsoft Entra ID P1 |
| 需要核准的用戶端應用或應用保護政策 | 行動用戶 | Microsoft Entra ID P1 |
| 使用使用者動作,需要多重要素驗證才能加入裝置和裝置註冊 | 所有使用者 | Microsoft Entra ID P1 |
第 3 階段:進階保護(第 3-4 週)
新增風險型原則和進階攻擊預防控制。 許可證要求: 風險型原則需要 Microsoft Entra ID P2 授權。
| 條件式存取原則 | Scenario | 許可證要求 |
|---|---|---|
| 限制高風險登入 | 所有使用者 | Microsoft Entra ID P2 |
| 限制高風險使用者的存取 | 所有使用者 | Microsoft Entra ID P2 |
| 使用者登入活動使用權杖保護 | 所有使用者 | Microsoft Entra ID P1 |
| 限制裝置程式碼流程 | 所有使用者 | Microsoft Entra ID P1 |
| 驗證傳輸遭到封鎖 | 所有使用者 | Microsoft Entra ID P1 |
| 已設定特權存取工作站(PAW)的條件式存取政策 | 具權限的使用者 | Microsoft Entra ID P1 |
提示
在強制執行之前,請在僅限報告模式下啟用每個政策至少一週。 檢閱登入記錄,並在進入下一個階段之前將變更傳達給使用者。
備註
特殊許可權存取工作站 (PAW) 需要大量的基礎結構規劃。 組織只有在建立 PAW 部署策略並為特殊許可權使用者佈建安全裝置之後,才應該實作此原則。
評估原則影響
使用可用的工具,在進行變更之前和之後檢查原則的效果。 模擬執行可讓您很好地瞭解條件式存取原則如何影響登入,但它不會取代正確設定的開發環境中的實際測試執行。
系統管理員可以使用 原則影響或僅限報告模式來確認原則設定。
測試您的原則
請確保您測試政策的排除標準。 例如,您可能會從需要 MFA 的原則排除使用者或群組。 測試是否提示排除的使用者進行 MFA,因為其他政策的組合可能需要這些使用者進行 MFA。
使用測試使用者執行測試計劃中的每個測試。 測試計劃可協助您比較預期結果和實際結果。
部署在生產環境中
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
復原原則
如果您需要撤回新實施的政策,請使用下列一或多個選項:
停用原則。 停用原則可確保該原則不會在使用者嘗試登入時套用。 您可以在想要使用該策略時隨時返回並啟用該策略。
從原則中排除使用者或群組。 如果使用者無法存取應用程式,請從原則中排除使用者。
警告
請謹慎使用排除項目,只有在使用者受信任的情況下。 立即將使用者新增回政策或群組。
如果原則已停用且不再需要,請 將其刪除。
還原已刪除的原則
在條件式存取或位置被刪除後,可以在30天的暫時刪除期限內進行還原。 如需還原條件式存取原則和具名位置的詳細資訊,請參閱 復原刪除項目一文。
對條件式存取原則進行疑難排解
如果使用者有條件式存取原則的問題,請收集此資訊以協助進行疑難排解。
- 使用者主體名稱
- 使用者顯示名稱
- 作業系統名稱
- 時間戳記(大概時間即可)
- 目標應用程式
- 用戶端應用程式類型 (瀏覽器或用戶端)
- 相互關聯識別碼 (這是登入的專屬識別碼)
如果使用者收到包含 「更多詳細資料 」連結的訊息,他們可以為您收集大部分資訊。
收集資訊之後,請參閱下列資源:
- 條件式存取的登入問題 – 使用錯誤訊息和 Microsoft Entra 登入記錄,瞭解與條件式存取相關的非預期登入結果。
- 使用 What-If 工具 — 了解為什麼政策會套用或未套用至特定情況下的使用者,或原則是否適用於已知狀態。