探索條件式存取
條件式存取是 Enterprise Mobility + Security (EMS) 的功能。 它提供組織資料的細微存取控制,同時允許使用者從 (基本上) 任何裝置和位置作業。 條件式存取可協助保護公司的電子郵件和資料,避免不符合規範的裝置造成的安全性風險。
Intune 和 Microsoft Entra ID 會一起提供行動裝置的條件式存取權限。 Intune 提供裝置合規性與 Microsoft Entra ID 的相關資訊。 當 Microsoft Entra ID 收到存取資源的要求時,它會比較這項資訊與條件式存取原則。
- 如果條件式存取原則指出不符合規範的裝置無法存取資源,則會拒絕該存取要求。
- 如果拒絕存取,則會提示使用者註冊裝置並修正合規性問題。
您也可以在 Microsoft Entra ID 中設定原則,只允許加入網域或 Intune 註冊裝置存取資源。
條件式存取原則是使用發生此情況時:則執行此動作模式的存取案例的定義。
發生此情況時。 定義觸發條件式存取原則的原因。 此原因是以一組已滿足的條件為特徵。 在條件式存取中,有兩個指派條件可扮演特殊的角色:
- 使用者。 執行存取嘗試的使用者(誰)。
- 雲端應用程式。 存取嘗試的目標是什麼?
這兩個條件是條件式存取原則中的必要條件。 除了這兩個必要條件之外,您也可以納入說明存取嘗試執行方式的其他條件。 常見的範例包括使用公司網路外的行動裝置或位置。
- 則執行此動作。 定義原則的回應。 使用條件式存取原則,您可控制授權使用者 (已獲得雲端應用程式存取權的使用者) 如何根據特定條件存取雲端應用程式。 在您的回應中,您將強制其他的需求,例如多重要素驗證、受控裝置等。 在條件式存取的情況下,此原則強制執行的需求稱為存取控制。 在限制最嚴格的形式中,您的政策能夠封鎖存取。
在某些情況下,條件式存取特別合適。
- 支援需要多重要素驗證 (MFA) 的應用程式。 某些應用程式需要比其他應用程式更多的保護。 條件式存取可讓您在使用者存取時要求 MFA,為它們新增一層保護。
- 要求未受信任網路使用 MFA。 在此情節中,不是應用程式本身需要額外的安全性。 相反地,要求存取的來源位置才是考量的重點。 在此情況下,您可以要求使用者從未受信任的位置存取資料,以提供 MFA。
- 將 Microsoft 365 的存取僅限於受信任的裝置。 您可能會決定僅允許從在 Intune 中註冊的裝置以及從加入內部部署網域的電腦存取 Microsoft 365 服務。 條件式存取可讓 Microsoft 365 應用程式限制不符合這些需求的裝置存取。