針對以保守方式進行雲端移轉的組織,可以選擇使用封鎖所有原則。
警告
封鎖原則設定錯誤可能會導致組織遭到鎖定。
這類原則可能會有非預期的副作用。 啟用之前,請務必進行適當的測試和驗證。 系統管理員應該在進行變更時,利用 條件式存取報表模式 和 條件式存取中的 What If 工具等工具 。
使用者排除
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 緊急帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱 管理Microsoft Entra標識符中的緊急存取帳戶一文。
-
服務帳戶 和 服務主體,例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
建立條件式存取原則
下列步驟可協助建立條件式存取原則,以封鎖 Office 365 以外的所有應用程式存取,如果使用者不在受信任的網路上。 這些原則會設定為 僅限報表模式 以啟動,讓系統管理員可以判斷對現有用戶的影響。 當管理員確認政策如預期般套用時,即可將其切換為 [開啟]。
第一個原則會封鎖除了 Microsoft 365 應用程式以外的所有應用程式存取 (如果不在信任的位置)。
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>原則。
- 選取 新增政策。
- 請為您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取 [ 所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或備援帳戶。
- 在 [目標資源資源>](先前稱為雲端應用程式)底下,選取下列選項:
- 在 [包含] 底下,選取 [所有資源] (先前稱為 [所有雲端應用程式] 。
- 在 [排除] 底下,依序選取 [Office 365] 和 [選取]。
- 在 [條件] 底下:
- 在 [條件]>[位置] 底下。
- 將 [設定] 設定為 [是]
- 在「包含」底下,選擇「任何位置」。
- 在「排除」 下,選取「所有信任的位置」。
- 在 [用戶端應用程式] 底下,將 [設定] 設為 [是],然後選取 [完成]。
- 在 [條件]>[位置] 底下。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取],然後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 建立 以啟用您的政策。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
系統會建立下列原則,以針對 Microsoft 365 的使用者要求多重要素驗證或符合規範的裝置。
- 選擇 [建立新政策]。
- 請為您的政策命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取 [ 所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或備援帳戶。
- 在
[目標資源] [資源(先前稱為雲端應用程式)] [包含< 選取資源 [Office 365] ,然後選取[選取] 。 - 於 [存取控制]>[授予] 下,選取 [授予存取權]。
- 請點選 [需要多重要素驗證] 和 [裝置需要標記為合規],然後請按下 [選取]。
- 確定選取 [需要其中一個選取的控制項]。
- 選取 選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 建立 以啟用您的政策。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
注意
完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。