共用方式為

工作負載身分識別的條件式存取

  • 發行項

條件式存取原則過去只會在使用者存取 SharePoint Online 等應用程式和服務時套用至使用者。 我們現在延伸對條件式存取原則的支援,以套用至組織所擁有的服務主體。 我們會針對工作負載身分識別呼叫這項功能條件式存取。

工作負載身分識別是一種身分識別,可讓應用程式或服務主體存取資源,有時是在使用者的內容中。 這些工作負載身分識別與傳統使用者帳戶不同,因為它們:

  • 無法執行多重要素驗證。
  • 通常不會有正式的生命週期流程。
  • 需要將其認證或祕密儲存於某處。

這些差異讓工作負載身分識別更難管理,並使其承受更高的盜用風險。

重要

需要工作負載身分識別進階版授權,才能建立或修改範圍設定為服務主體的條件式存取原則。 在沒有適當授權的目錄中,工作負載身分識別的現有條件式存取原則會繼續運作,但無法修改。 如需詳細資訊,請參閱 Microsoft Entra 工作負載 ID。  

注意

原則可以套用至租用戶中已註冊的單一租使用者服務主體。 協力廠商 SaaS 與多租用戶應用程式不在範圍內。 原則不會涵蓋受控識別。

工作負載身分識別的條件式存取會啟用封鎖服務主體:

  • 從已知的公用IP範圍之外。
  • 根據Microsoft Entra ID Protection 偵測到的風險。
  • 結合 驗證內容

實作

建立位置型條件式存取原則

建立適用於服務主體的位置型條件式存取原則。

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護] > [條件式存取] > [原則]
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [此原則適用於何者?] 下,選取 [工作負載身分識別]
    2. 在 [包含] 下,選擇 [選取服務主體] ,然後從清單中選取適當的服務主體。
  6. [目標資源資源>](先前稱為雲端應用程式)>[包含] 下,選取 [所有資源] (先前為 [所有雲端應用程式] 。 只有在服務主體要求權杖時,才會套用此原則。
  7. 在 [條件]>[位置] 下,包含 [任何位置],並排除您想要允許存取的 [選取位置]
  8. 在 [授與] 下,[封鎖存取] 是唯一可用的選項。 從允許的範圍外部提出權杖要求時,會封鎖存取。
  9. 您可以使用僅限報表模式儲存原則,讓管理員可以估計效果,或藉由開啟原則來強制執行原則。
  10. 選取 [建立] 完成您的原則。

建立風險型條件式存取原則

建立適用於服務主體的風險型條件式存取原則。

建立將工作負載身分識別和風險作為條件的條件式存取原則。

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護] > [條件式存取] > [原則]
  3. 選取 [新增原則]
  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [此原則適用於何者?] 下,選取 [工作負載身分識別]
    2. 在 [包含] 下,選擇 [選取服務主體] ,然後從清單中選取適當的服務主體。
  6. [目標資源資源>](先前稱為雲端應用程式)>[包含] 下,選取 [所有資源] (先前為 [所有雲端應用程式] 。 只有在服務主體要求權杖時,才會套用此原則。
  7. 在 [條件]> [服務主體風險]
    1. 將 [設定] 切換設定為 [是]
    2. 選取您想要觸發此原則的風險層級。
    3. 選取完成
  8. 在 [授與] 下,[封鎖存取] 是唯一可用的選項。 看到指定的風險層級時,會封鎖存取。
  9. 您可以使用僅限報表模式儲存原則,讓管理員可以估計效果,或藉由開啟原則來強制執行原則。
  10. 選取 [建立] 完成您的原則。

復原

如果您想要復原這項功能,可以刪除或停用任何已建立的原則。

登入記錄

登入記錄會用來檢查原則如何針對服務主體強制執行,或當使用僅限報表模式時,對原則的預期影響。

  1. 瀏覽至 [身分識別]>[監視和健康情況]>[登入記錄][服務主體登入]>
  2. 選取記錄項目,然後選取「條件式存取」索引標籤來檢視評估資訊。

條件式存取封鎖服務主體時失敗的原因:「因條件式存取原則而封鎖存取」。

報告專用模式

若要檢視位置型原則的結果,請參閱 [登入報告] 中事件的 [報告專用] 索引標籤,或使用 [條件式存取深入解析和報告] 活頁簿。

若要檢視風險型原則的結果,請參閱 [登入報告] 中事件的 [僅限報告] 索引標籤。

參考

尋找 objectID

您可以從 Microsoft Entra 企業應用程式取得服務主體的 objectID。 無法使用 Microsoft Entra 應用程式註冊中的物件識別碼。 此識別碼是應用程式註冊的物件識別碼,而不是服務主體的物件識別碼。

  1. 瀏覽至 [身分識別]>[應用程式]>[企業應用程式],選取您登錄的應用程式。
  2. 從 [總覽] 索引標籤中,複製應用程式的 [物件識別碼]。 此識別碼是服務主體的唯一識別碼,可供條件式存取原則用來尋找呼叫的應用程式。

Microsoft Graph

使用 Microsoft Graph 搶鮮版 (Beta) 端點進行位置型設定的樣本 JSON。

{
  "displayName": "Name",
  "state": "enabled OR disabled OR enabledForReportingButNotEnforced",
  "conditions": {
    "applications": {
      "includeApplications": [
        "All"
      ]
    },
    "clientApplications": {
      "includeServicePrincipals": [
        "[Service principal Object ID] OR ServicePrincipalsInMyTenant"
      ],
      "excludeServicePrincipals": [
        "[Service principal Object ID]"
      ]
    },
    "locations": {
      "includeLocations": [
        "All"
      ],
      "excludeLocations": [
        "[Named location ID] OR AllTrusted"
      ]
    }
  },
  "grantControls": {
    "operator": "and",
    "builtInControls": [
      "block"
    ]
  }
}

下一步