本文說明如何從條件式存取原則中排除 SIP 閘道,這是一項功能,可讓您根據特定條件控制對組織資源的存取。 如果您將 SIP 閘道用於語音,而且不想對這些使用者強制執行額外的安全性需求,您可以從條件式存取中排除它。 在本文中,您將找到建立排除群組並將它指派給原則的步驟,以及必要條件。
本文中提及的 SIP 閘道資源無法直接從條件式存取原則中排除。 因此,我們描述動態應用程式篩選方法來排除 SIP 閘道應用程式。 此外,僅排除 SIP 閘道應用程式並不能解決差距,因為 SIP 閘道應用程式本身不擁有任何範圍,而且相依於 Teams 應用程式來取得必要的範圍。
必要條件
若要新增或停用自訂安全屬性定義,您必須具備:
- 屬性指派管理員
- 屬性定義管理員
- 使用 Microsoft Graph PowerShell 時的 Microsoft Graph 模組
重要
根據預設,全域系統管理員和其他系統管理員角色沒有讀取、定義或指派自訂安全性屬性的許可權。
步驟 1:新增屬性集
瀏覽至 [保護自訂>安全性屬性]。
選取 新增屬性集 以新增屬性集。
備註
如果已停用 [新增屬性集 ],請確定已指派您 [屬性定義管理員] 角色。 如需詳細資訊,請參閱 疑難排解自訂安全性屬性。
輸入名稱、說明和屬性數目上限。
末
屬性集名稱可以是 32 個字元,不得包含空格或特殊字元。 指定名稱後,就無法重新命名。 如需詳細資訊,請參閱 限制和限制。
完成後,選取 [新增]。
新的屬性集會出現在屬性集清單中。
步驟 2:新增自訂安全性屬性定義
瀏覽至 [保護自訂>安全性屬性]。
在 自訂安全性屬性 頁面上,選擇現有的屬性集,或選取 新增屬性集 以新增屬性集。 所有自訂安全屬性定義都必須是屬性集的一部分。
選取以開啟選取的屬性集。
選取 [ 新增屬性 ],將新的自訂安全性屬性新增至屬性集。
在 [屬性名稱] 方塊中,輸入自訂安全性屬性名稱。
末
屬性集名稱可以是 32 個字元,不得包含空格或特殊字元。 指定名稱後,就無法重新命名。 如需詳細資訊,請參閱 限制和限制。
在 [描述] 方塊中,輸入選用描述。
末
描述的長度可以是 128 個字元。 如有必要,您可以稍後變更描述。
從 資料類型 清單中,選取自訂安全性屬性的資料類型。
- 資料類型:描述。
- 布林值:可以是 true 或 false 的布林值。
- 整數:32 位整數。
- 字串:長度可以為 X 個字元的字串。
針對 [允許指派多個值],選取 [ 是 ] 或 [否]。
- 選取 [ 是 ] 以允許將多個值指派給此自訂安全性屬性。
- 選取 [否 ] 以僅允許將單一值指派給此自訂安全性屬性。
針對 [僅允許指派預先定義的值],選取 [ 是 ] 或 [否]。
- 如果可以從預先定義的值清單指派自訂安全性屬性值,請選取 [是]。
- 選取 否 以允許指派此自訂安全性屬性為使用者定義值或可能預先定義的值。
如果 選取 [僅允許指派預先定義的值 ] [是],則選取 [ 新增值 ] 以新增預先定義的值。 作用中值可用於指派物件。 已定義未使用中的值,但尚無法指派。
完成後,選取 [儲存]。
新的自訂安全屬性會出現在自訂安全屬性清單中。
步驟 3:將 SIP 閘道服務主體新增至租用戶
使用 Azure Active Directory 模組:
開啟新的提高許可權的 PowerShell 視窗。
運行
Install-Module AzureAD。運行
Import-Module AzureAD。運行
Connect-AzureRmAccount。使用管理員帳戶登入。
執行下列 Cmdlet:
Get-AzureADServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'"如果您沒有輸出,請執行:
New-AzureADServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"執行下列 Cmdlet:
Get-AzureADServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'"如果您沒有輸出,請執行:
New-AzureADServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"
使用 MS Graph 模組:
執行下列 Cmdlet:
## SIP Gateway API: Get-MgServicePrincipal -Filter "AppId eq '0ab9de21-b802-4d77-b279-1ad41ca233b4'" New-MgServicePrincipal -AppId "0ab9de21-b802-4d77-b279-1ad41ca233b4"## SIP Gateway UserApp: Get-MgServicePrincipal -Filter "AppId eq '582b2e88-6cca-4418-83d2-2451801e1d26'" New-MgServicePrincipal -AppId "582b2e88-6cca-4418-83d2-2451801e1d26"執行這些 Cmdlet 之後,您應該會取得下列輸出以繼續:
大量裝置登入
如果您針對裝置使用 bulk-sigin,您也必須新增此額外的服務主體 Teams SIP 閘道:
##Using AzureAd Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca
如果您沒有輸出,請執行:
New-AzureADServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca"
## Using MS Graph Module:
Get-AzureADServicePrincipal -Filter "AppId eq '61c8fd69-c13e-4ee6-aaa6-24ff71c09bca
New-MgServicePrincipal -AppId "61c8fd69-c13e-4ee6-aaa6-24ff71c09bca"
步驟 4:將自訂安全性屬性指派給 SIP 閘道
至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 Identity>Applications>Enterprise 應用程式。
清除所有過濾器。
搜尋 SIP 閘道 API (0ab9de21-b802-4d77-b279-1ad41ca233b4) 並選取它。
在 [管理自訂安全性屬性]> 底下,選取 [新增指派]。
在 [屬性集] 底下,選取您在 步驟 1 中建立的屬性集。
在 [屬性名稱] 底下,選取您在 步驟 2 中建立的屬性名稱。
在 [指派的值] 底下,選取 [新增值],從清單中選取值 (在此範例) 中要求 MFA,然後選取 [完成]。
選取 [儲存]。
對 SIP 閘道 UserApp (582b2e88-6cca-4418-83d2-2451801e1d26) 遵循相同的步驟。
如果您對裝置使用大量登入,請遵循 Teams SIP 閘道 (61c8fd69-c13e-4ee6-aaa6-24ff71c09bca) 的相同步驟。
步驟 5:從條件式存取原則中排除此屬性
至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>條件式存取]。
選取您要變更的原則。
在 Target resources 下,選取下列選項以自動填入此欄位:
- 從 [選取此原則適用的內容] 清單中,選擇 [雲端應用程式]。
- 在 包括 選項卡上,選擇 所有 應用程序 選項。
將索引標籤變更為 排除 並選取 編輯篩選器。
在編輯篩選器頁面上,將設定設定為是。
選取您稍早建立的屬性, (在此案例中為 'exclAttrAllowMultiple') 。
將 Operator 設定為 Contains。
將 [值] 設定為 在步驟 4 中指派給 SIP 閘道應用程式的值, (在此情況下需要 MFA) 。
選取 [完成]。
檢查並確認您的設定。
選取 [儲存] 以啟用您的原則。
