Microsoft Entra 使用規定
Microsoft Entra 使用規定原則提供簡單的方法,向終端使用者呈現資訊。 組織可以透過使用規定以及條件式存取原則,要求員工或來賓在取得存取權之前接受您的使用規定原則。 這些使用規定聲明可以是通用的,也可以是特定於群組或使用者,並以多種語言提供。 系統管理員可以判斷誰已接受或尚未接受與提供的記錄或 API 搭配使用規定。
注意
本文提供關於如何從裝置或服務刪除個人資料的步驟,並且可以用來支援遵循 GDPR 的義務。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段和服務信任入口網站的 GDPR 區段。
必要條件
若要使用及設定 Microsoft Entra 使用規定原則,您必須具有:
- Microsoft Entra ID P1 授權。
- 需要讀取使用規定組態和條件式存取原則的系統管理員,至少需要指派安全性讀取者角色。
- 需要建立或修改使用規定和條件式存取原則的系統管理員,至少需要指派條件式存取系統管理員角色。
- PDF 格式的使用規定文件。 PDF 檔案可以是您決定顯示的任何內容。 若要支援行動裝置的使用者,PDF 的建議字型大小為 24 點。
服務限制
您可以為每個租用戶新增不超過 40 個使用規定。
新增使用規定
完成使用規定原則文件後,請使用下列程序來加以新增。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
選取 [新增條款]。
在 [名稱] 方塊中,輸入使用規定原則的名稱。
針對使用規定文件,請瀏覽至您最終版本的使用規定原則 PDF 並加以選取。
選取使用規定原則文件的語言。 語言選項可讓您上傳多個使用規定檔,每個檔都有不同的語言。 系統會根據終端使用者的瀏覽器喜好設定,來顯示使用規定原則的版本。
在 [顯示名稱] 方塊中,輸入使用者在登入時會看見的標題。
若要要求使用者在接受使用規定原則之前必須檢閱其內容,請將 [要求使用者展開使用規定] 設定為 [開啟]。
若要要求使用者在其所存取的所有裝置上接受您的使用規定原則,請將 [要求使用者在每部裝置上同意] 設定為 [開啟]。 如果啟用此選項,使用者可能需要安裝其他應用程式。 如需詳細資訊,請參閱每部裝置的使用規定。
如果您想針對使用規定原則的同意設定過期排程,請將 [使同意過期] 設為 [開啟]。 設定為 [開啟] 時,系統會顯示兩個額外的排程設定。
使用 [過期生效時間] 和 [頻率] 設定來指定使用規定原則過期的排程。 下表顯示幾個範例設定的結果:
到期生效時間 頻率 結果 今天的日期 每月 從今天開始,使用者必須接受使用規定原則,並於每個月重新接受。 未來的日期 每月 從今天開始,使用者必須接受使用規定原則。 未來日期到來時,同意將會到期,且使用者必須每個月重新接受。 例如,若將 [過期生效時間] 設定為 1 月 1 日,並將 [頻率] 設定為 [每月],則下列範例指出兩個使用者所遇到的過期方式:
User 第一個接受日期 第一個過期日期 第二個過期日期 第三個過期日期 Alice 1 月 1 日 2 月 1 日 3 月 1 日 4 月 1 日 Bob 1 月 15 日 2 月 1 日 3 月 1 日 4 月 1 日 使用 [重新接受前的所需期間 (天)] 設定來指定使用者必須重新接受使用規定原則之前的天數。 這個選項可讓使用者遵循自己的排程。 例如,若將 [期間] 設定為 30 天,下列範例指出兩個使用者所遇到的過期方式:
User 第一個接受日期 第一個過期日期 第二個過期日期 第三個過期日期 Alice 1 月 1 日 1 月 31 日 3 月 2 日 4 月 1 日 Bob 1 月 15 日 2 月 14 日 3 月 16 日 4 月 15 日 您可以同時使用 [到期同意] 和 [需要重新接受前的期間 (天)] 設定,但通常只會使用其中一個。
重要
同意已過期的使用者 (不論是使用 [到期同意] 或 [需要重新接受前的期間 (天)] 設定),系統都只有在工作階段已過期時,才會提示使用者重新接受使用規定。
在 [條件式存取] 下,使用 [搭配條件式存取原則範本強制執行] 清單來選取要強制執行使用規定原則的範本。
範本 描述 自訂原則 選取此使用規定原則適用的使用者、群組及應用程式。 稍後建立條件式存取原則 建立條件式存取原則時,此使用規定原則會顯示於授與控制清單。 重要
條件式存取原則控制項 (包括使用規定原則) 不支援服務帳戶的強制執行。 建議您排除條件式存取原則中的所有服務帳戶。
自訂的條件式存取原則可提供更精細的使用規定原則設定,小至特定雲端應用程式或使用者群組。 如需詳細資訊,請參閱快速入門:必須接受使用規定才可存取雲端應用程式。
選取 建立。
如果您已選取自訂的條件式存取範本,則會出現新的畫面以讓您建立自訂條件式存取原則。 您現在應該會看到新的使用規定原則。
每部裝置的使用規定
[要求使用者在每部裝置上同意] 設定可讓您要求使用者在其所存取的所有裝置上接受您的使用規定原則。 終端使用者的裝置必須在 Microsoft Entra ID 中註冊。 註冊裝置時,會使用裝置識別碼在每部裝置上強制執行使用規定原則。 其體驗取決於加入裝置的權限以及使用的平台或軟體。 如需詳細資訊,請參閱 Microsoft Entra ID 中的裝置身分識別。
每部裝置的使用規定有下列限制:
- 不支援 Microsoft Intune 註冊應用程式
Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c
。 請確定已從任何需要使用規定的條件式存取原則中排除它。 - 不支援 Microsoft Entra B2B 使用者。
原則變更
條件式存取原則會立即生效。 發生此強制執行時,系統管理員可能會在 Microsoft Entra 系統管理中心看到錯誤。 管理員必須登出並再次登入,才能符合新的原則。
重要
如果情況如下,範圍中的使用者必須登出並登入,才能符合新的原則:
- 啟用使用規定原則中的條件式存取原則
- 或建立第二個使用規定原則
編輯使用規定詳細資料
您可以編輯使用規定原則的一些詳細資料,但無法修改現有的文件。 下列程序描述如何編輯詳細資料。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
選取您要編輯的使用規定原則。
選取 [編輯條款]。
在 [編輯使用規定] 窗格中,可變更下列選項:
- 名稱:未與終端使用者共用的使用規定內部名稱。
- 顯示名稱:終端使用者在檢視使用規定時所看到的名稱。
- 要求使用者展開使用規定:將此選項設為 [開啟],系統便會強制終端使用者在接受使用規定原則文件之前,需先展開文件。
- 您可以更新現有的使用規定文件。
- 您可以 [新增語言] 至現有的使用規定。
當您完成時,請選取 [儲存] 以儲存變更。
如果有其他想要變更的設定,必須建立新的使用規定原則。
更新現有使用規定的版本或 PDF
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
選取您要編輯的使用規定原則。
選取 [編輯條款]。
針對您想要更新為新版本的語言,請選取動作資料行底下的 [更新]
在右側窗格中,上傳新版本的 pdf
如果您想要求使用者在下次登入時接受這個新版本,這裡也有 [需要重新接受] 的切換選項。
- 若要求使用者重新接受,使用者在下一次嘗試存取條件式存取原則中所定義的資源時,系統會提示其接受此新版本。
- 若未要求使用者重新接受,其先前的同意將會維持在目前狀態,而只有之前未同意過的新使用者或同意過期的使用者才會看到新版本。 在工作階段過期之前,[需要重新接受] 不會要求使用者接受新的使用規定。 如果您想確保重新接受、刪除並重新建立或為此案例建立新的使用規定。
上傳新的 pdf 並決定重新接受之後,請在窗格最下方選取 [新增]。
您會在 [文件] 資料行下方看到最新版本。
新增語言
下列程序說明如何新增語言至使用規定。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
選取您要編輯的使用規定原則。
選取 [編輯使用規定]。
選取頁面底部的 [新增語言]。
在 [新增使用規定語言] 窗格中,上傳當地語系化的 PDF,並選取語言。
選取 [新增語言]。
選取儲存
選取 [新增] 來新增語言。
檢視舊版的使用規定
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [使用規定]。
- 選取您要查看其版本歷程記錄的使用規定原則。
- 選取 [語言及版本歷程記錄]。
- 選取 [查看先前的版本]。
- 您可以選取文件的名稱以下載該版本。
檢視已接受及已拒絕人員的報告
[使用規定] 刀鋒視窗會顯示已接受和已拒絕的使用者計數。 系統會儲存這些計數和已接受/已拒絕的人員,直到使用規定原則的存留期結束。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
針對使用規定原則,選取 [已接受] 或 [已拒絕] 下方的數字,即可檢視使用者目前的狀態。
- 依預設,下一頁會顯示每個使用者接受使用規定目前的狀態。
- 如果您想要查看先前的同意事件,您可以從 [目前狀態] 下拉式清單中選取 [全部]。 現在,您可以在每個版本和所發生情況的詳細資料,查看每個使用者的事件。
- 或者,您可以從 [版本] 下拉式清單中選取特定版本,以查看已接受該特定版本的人員。
若要檢視個別使用者的歷程記錄,請選取省略符號 (...),然後按一下 [檢視記錄]。 在檢視歷程記錄窗格中,您會看到所有已接收、已拒絕和到期的歷程記錄。
刪除使用者接受記錄
在以下情況,系統會刪除使用者接受記錄:
- 系統管理員明確刪除了使用規定。
- 發生此變更時,系統也會一併刪除與該特定使用規定相關聯的所有接受記錄。
- 租用戶遺失其 Microsoft Entra ID P1 或 P2 授權。
- 已刪除租用戶。
檢視 Microsoft Entra 稽核記錄
若要查看更多活動,Microsoft Entra 使用規定原則亦會包括稽核記錄。 使用者每次同意時都會觸發稽核記錄事件,並將儲存 30 天。 您可以在入口網站中檢視這些記錄或將其下載為 .csv 檔案。
若要開始使用 Microsoft Entra 稽核記錄,請使用下列程序:
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護] > [條件式存取] > [使用規定]。
選取使用規定原則。
選取 [檢視稽核記錄]。
在 Microsoft Entra 稽核記錄畫面上,您可以使用提供的清單來篩選資訊,以找出特定的稽核記錄資訊。
您也可以選取 [下載],將資訊下載成 .csv 檔案以便在本機中使用。
如果選取了某項記錄,畫面會出現提供更多活動詳細資料的窗格。
使用者看到的使用規定
建立並強制執行使用規定原則後,範圍內的使用者會在登入時看到下列畫面。
使用者可以查看使用規定原則,並視需要使用按鈕來放大和縮小。使用者只需要接受使用規定原則一次,在稍後登入時便不會再看到使用規定原則。
使用者如何檢閱其使用規定
使用者可以使用下列程序,檢閱並查看他們已接受的使用規定原則。
- 登入 https://myaccount.microsoft.com/。
- 選取 [設定和隱私權]。
- 選取 [隱私權]。
- 在 [組織的通知] 下,在您要檢閱的使用規定聲明旁選取 [檢視]。
刪除使用規定
您可以使用下列程序,刪除舊的使用規定原則。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [使用規定]。
- 選取您要移除的使用規定原則。
- 選取 [刪除條款]。
- 出現詢問您是否要繼續的訊息時,請選取 [是]。
- 您應該不會再看到您的使用規定原則。
B2B 來賓
透過使用條件式存取和使用規定原則,您可以直接對 B2B 來賓使用者強制執行原則。 在邀請兌換流程期間,系統會向該使用者呈現使用規定原則。
只有在使用者具有 Microsoft Entra ID 中的來賓帳戶時,才會顯示使用規定原則。 SharePoint Online 目前提供外部共用收件者體驗,讓使用者無需具有來賓帳戶即可共用文件或資料夾。 在此情況下,不會顯示使用規定原則。
針對雲端應用程式的支援
使用規定原則可用於不同的雲端應用程式,例如 Azure 資訊保護和 Microsoft Intune。 這項支援目前為預覽階段。
Azure 資訊保護
您可以針對 Azure 資訊保護應用程式設定條件式存取原則,然後在使用者存取受保護的文件時要求使用規定原則。 此設定會在使用者首次存取受保護文件之前觸發使用規定原則。
Microsoft Intune 註冊
您可以針對 Microsoft Intune 註冊應用程式設定條件式存取原則,然後在使用者於 Intune 中註冊裝置之前要求使用規定原則。 如需詳細資訊,請參閱為您組織的部落格文章選擇正確的規定解決方案 \(英文\)。
注意
每部裝置的使用規定不支援 Intune 註冊應用程式。
針對 iOS/iPadOS 自動裝置註冊,將自訂 URL 新增至 Microsoft Entra 使用規定原則不允許使用者從設定助理中的 URL 開啟原則來加以讀取。 從公司入口網站或在公司入口網站應用程式中,完成設定助理之後,使用者可以讀取此原則。
常見問題集
問:為什麼我會看到使用者有兩個登入? 一次插斷和一次成功。
答:若使用者尚未接受使用規定原則,系統管理員可能會看到兩個登入,這種情況是按設計發生。 這些項目會共用相互關聯識別碼。
由於使用者無法在其權杖中提供接受使用規定原則的證明,會中斷一個登入。 登入記錄中的 [其他詳細資料] 欄位包含下列訊息:
使用者必須在完成驗證之前滿足其他需求,並重新導向至另一個頁面 (例如使用規定或第三方 MFA 提供者)。 此程式碼本身不表示您的使用者登入失敗。 登入記錄可能表示此挑戰已成功通過或失敗。
如果使用者接受使用規定原則,則其他登入會成功。
問:當使用規定啟用時,我無法使用 PowerShell 登入。
答:只有在以互動方式進行驗證時,才能接受使用規定。
問:如何查看使用者何時或是否已接受使用規定?
答:在 [使用規定] 刀鋒視窗上,選取 [接受] 底下的數字。 您也可以在 Microsoft Entra 稽核記錄中檢視或搜尋已接受的活動。 如需詳細資訊,請參閱檢視已接受和已拒絕的人員報表和檢視 Microsoft Entra 稽核記錄。
問:資訊會儲存多久時間?
答:使用規定報表中的使用者計數和已接受/已拒絕的人員都會儲存到使用規定的存留期結束。 Microsoft Entra 稽核記錄會儲存 30 天。
問:為何在使用規定詳細資料概觀與 Microsoft Entra 稽核記錄中看到不同數目的同意?
答:使用規定詳細資料概觀資料會儲存在使用規定原則的存留期內。 Microsoft Entra 稽核記錄會儲存 30 天。
問:為何在使用規定詳細資料概觀與匯出的 CSV 報告中看到不同數目的同意?
答:使用規定詳細資料概觀反映目前原則版本的彙總接受數量 (每天更新一次)。 如果啟用到期或更新使用規定合約 (需要重新接受),則會重設詳細資料概觀的計數,因為該同意接受已過期,此頁面會顯示目前版本的計數。 CSV 報告中仍會擷取所有接受歷程記錄。
問:如果超連結位於使用規定原則 PDF 文件中,終端使用者能夠點選這些超連結嗎?
答:是,終端使用者可以選取通往其他頁面的超連結,但不支援連至該文件內區段的連結。 此外,從 Microsoft Entra 我的應用程式/我的帳戶入口網站存取時,使用規定原則 PDF 的超連結會無法運作。
問:使用規定原則是否支援多種語言?
A: 可以。 系統管理員可以上傳多個 PDF 文件,並以相對應的語言標記那些文件。 當使用者登入時,我們會查看其瀏覽器語言偏好設定,並顯示相符的文件。 如果沒有相符項目,我們將會顯示預設文件,也就是第一個上傳的文件。
問:何時觸發使用規定原則?
答:登入體驗期間會觸發使用規定原則。
問:哪些應用程式也可以做為使用規定原則的對象?
答:您可以在使用新式驗證的企業應用程式上建立條件式存取原則。 如需詳細資訊,請參閱企業應用程式。
問:是否可以將多個使用規定原則新增至指定的使用者或應用程式?
答:是,方法為針對該群組或應用程式建立多個條件式存取原則。 如果使用者符合多個使用規定原則的範圍,就必須逐一接受每項原則。
問:如果使用者拒絕使用規定原則,會發生什麼事?
答:使用者會遭封鎖而無法存取應用程式。 使用者必須再次登入並接受規定,才能取得存取權。
問:是否可以取消接受先前接受的使用規定原則?
答:您可以檢閱先前接受的使用規定原則,但目前沒有辦法取消接受。
問:如果同時使用 Intune 條款及條件會發生什麼事?
答:若同時設定 Microsoft Entra 使用規定和 Intune 條款及條件,使用者必須接受兩者。 如需詳細資訊,請參閱為您組織的部落格文章選擇正確的條款解決方案 \(英文\)。
問:使用規定服務會使用哪些端點進行驗證?
答:使用規定會利用下列端點進行驗證:https://tokenprovider.termsofuse.identitygovernance.azure.com、https://myaccount.microsoft.com 和 https://account.activedirectory.windowsazure.com。 若您組織有註冊專用的 URL 允許清單,需要將這些端點及用於登入的 Microsoft Entra 端點新增至允許清單。