規劃條件式存取原則
規劃條件式存取部署對於實現組織對應用程式和資源的存取策略非常重要。
在行動優先、雲端至上的世界中,您的使用者可以使用各種裝置與應用程式,從任何位置存取您組織的資源。 因此,僅將焦點放在誰可以存取資源,已不再足夠。 您也必須考慮使用者的所在位置、使用中的裝置、要存取的資源等。
Microsoft Entra 條件式存取 (CA) 會分析訊號 (例如使用者、裝置與位置) 以自動決定並施行組織的資源存取原則。 您可以使用 CA 原則套用存取控制,例如多重要素驗證 (MFA)。 CA 原則可讓您在需要安全性時提示使用者進行 MFA,並在不需要時避免造成使用者的困擾。
雖然安全性預設值可確保基本層級的安全性,但您的組織可能需要比安全性預設值提供更多的彈性。 您可以使用 CA,以更細微的方式自訂安全性預設值,並設定符合您需求的新原則。
福利
部署 CA 的優點包括:
- 提高生產力。 僅在有一或多個訊號許可時,才中斷使用 MFA 之類登入條件的使用者。 CA 原則可讓您控制何時提示使用者進行 MFA、何時封鎖存取,以及何時必須使用受信任的裝置。
- 管理風險。 使用原則條件自動進行風險評估,表示可以立即識別並補救或封鎖風險性登入。 結合條件式存取與可偵測異常和可疑事件的 Identity Protection,可讓您確定何時封鎖或限制對資源的存取。
- 解決合規性和治理問題。 CA 可讓您稽核對應用程式的存取、提出使用規定供使用者同意,以及根據合規性政策限制存取。
- 管理成本。 將存取原則轉移到 Microsoft Entra ID,可減少對 CA 自訂或內部部署解決方案的依賴及其基礎結構成本。
- 零信任。 條件式存取可協助您邁向零信任環境。
了解條件式存取原則元件
CA 原則是 if-then 陳述式:如果符合指派,則套用這些存取控制。 當管理員設定 CA 原則時,條件稱為「指派」。 CA 原則可讓您根據特定指派,對您組織的應用程式強制執行存取控制。
指派會定義受原則影響的使用者和群組、要套用原則的雲端應用程式或動作,以及套用原則的依據條件。 存取控制設定可授與或封鎖對不同雲端應用程式的存取,並可限制特定雲端應用程式中的體驗。
有關指派、存取控制和工作階段控制項的一些常見問題:
- 使用者和群組:哪些使用者和群組會包含在原則中或從原則中排除? 此原則包含所有使用者、特定使用者群組、目錄角色或外部使用者?
- 雲端應用程式或動作:原則會套用至哪些應用程式? 哪些使用者動作會受此原則規範?
- 條件:哪些裝置平台會包含在原則中或從原則中排除? 組織的信任位置為何?
- 存取控制:您想要藉由實作 MFA、標記為合規的裝置或已使用 Microsoft Entra 混合式聯結的裝置等需求,授與資源的存取權嗎?
- 工作階段控制項:您想要藉由實作應用程式強制權限或條件式存取應用程式控制等需求,控制對雲端應用程式的存取嗎?
存取權杖發行
存取權杖可讓用戶端安全地呼叫受保護的 Web API,Web API 會使用這些權杖執行驗證和授權。 根據 OAuth 規格,存取權杖是沒有固定格式的不透明字串。 有些身分識別提供者 (IDP) 會使用 GUID,而其他提供者則會使用加密的 Blob。 Microsoft 身分識別平台會根據接受權杖的 API 設定,使用各種不同的存取權杖格式。
請務必了解存取權杖的發行方式。
注意
如果不需要指派,而且沒有任何作用中的 CA 原則,則預設行為是發行存取權杖。
例如,假設有一個原則,其中:
如果使用者位於群組 1,則強制以 MFA 存取應用程式 1。
如果不在群組 1 中的使用者嘗試存取應用程式,則符合 “if" 條件,而且會發行權杖。 將使用者從群組 1 中排除,需要個別的原則以封鎖所有其他使用者。
遵循最佳做法
條件式存取架構可為您提供絕佳的設定彈性。 不過,絕佳的彈性也意謂著您應該先仔細地檢閱每個設定原則,再將其發行,避免產生不想要的結果。
設定緊急存取帳戶
如果您設定了錯誤的原則,則可能會將組織鎖定在 Azure 入口網站之外。 透過在組織中建立兩個或多個緊急存取帳戶,來減輕管理員意外遭鎖定的影響。 您將在本課程稍後深入了解緊急存取帳戶。
設定報告專用模式
可能很難預測一般部署計畫所影響的使用者數目與名稱,例如:
- 封鎖舊版驗證。
- 需要 MFA。
- 實作登入風險原則。
報告專用模式可讓管理員評估 CA 原則,再於其環境中啟用。
排除您從未預期登入的國家/地區
Microsoft Entra ID 可讓您建立具名位置。 建立具名位置,其中包含您永遠不會預期登入發生的所有國家/地區。 然後,為所有應用程式建立原則,以封鎖來自該具名位置的登入。 請確保您的管理員不受此原則規範。
常用原則
在規劃您的 CA 原則解決方案時,請評估您是否需要建立原則來達到下列結果。
需要 MFA。 常見的使用案例包括:管理員要求對所有使用者或您不信任網路位置中的特定應用程式進行 MFA。
回應可能遭盜用的帳戶。 您可以啟用三項預設原則:要求所有使用者註冊 MFA、要求高風險使用者變更密碼,以及要求具有中高登入風險的使用者進行 MFA。
需要受控裝置。 支援存取您雲端資源的裝置激增,有助於提升使用者的生產力。 但您可能不希望具有未知保護層級的裝置存取環境中的特定資源。 對於這些資源,請要求使用者只能使用受控裝置進行存取。
需要經過核准的用戶端應用程式。 員工使用其行動裝置處理公私事務。 針對 BYOD 案例,您必須決定是要管理整部裝置,或只管理其中的資料。 如果只管理資料與存取權,您可以要求經過核准的雲端應用程式來保護您的公司資料。
封鎖存取。 封鎖存取會覆寫使用者的所有其他指派,並可能封鎖您整個組織,使其無法登入您的租用戶。 例如,當您將應用程式移轉至 Microsoft Entra ID,但尚未準備好讓任何人登入時,就可以使用這項設定。 您也可以封鎖某些網路位置,使其無法存取您的雲端應用程式,或封鎖使用舊版驗證的應用程式,使其無法存取您的租用戶資源。
重要
如果您建立原則封鎖所有使用者的存取,請務必排除緊急存取帳戶,並考慮從原則中排除所有管理員。
建置和測試原則
在您部署的每個階段中,請確定您持續評估結果符合預期。
準備好新原則時,請分階段在實際執行環境中加以部署:
- 提供內部變更通訊給終端使用者。
- 從較少的使用者開始,並確認原則如預期般運作。
- 當您擴充原則以包含更多使用者時,請繼續排除所有管理員。 排除管理員會確保在需要變更時,仍有人可以存取原則。
- 只有在徹底測試原則之後,才能將其套用至所有使用者。 請確定您至少有一個原則不適用的管理員帳戶。
建立測試使用者
建立一組測試使用者,以反映實際執行環境中的使用者。 建立測試使用者可讓您驗證原則是否如預期般運作,再套用至實際使用者,以避免可能中斷其對應用程式和資源的存取。
某些組織擁有用於此目的的測試租用戶。 不過,在測試租用戶中可能難以重新建立所有條件和應用程式,以完整測試原則的結果。
建立測試計劃
測試計畫非常重要,它可用來比較預期結果和實際結果。 在測試任何項目之前,請務必設定一個預期值。 下表概述範例測試案例。 根據您 CA 原則的設定方式,調整案例和預期的結果。
| 原則名稱 | 案例 | 預期的結果 |
|---|---|---|
| 工作時需要 MFA | 授權使用者在信任的位置/公司登入應用程式 | 使用者不會收到進行 MFA 的提示。 使用者已獲得存取權。 使用者正在從信任的位置連線。 在此情況下,您可以選擇要求 MFA。 |
| 工作時需要 MFA | 授權使用者不是在信任的位置/公司登入應用程式 | 使用者收到進行 MFA 的提示並可成功登入 |
| 需要 MFA (適用於管理員) | 全域管理員登入應用程式 | 管理員收到進行 MFA 的提示 |
| 有風險的登入 | 使用者使用未核准的瀏覽器登入應用程式 | 系統提示使用者進行 MFA |
| 裝置管理 | 授權使用者嘗試從已授權的裝置登入 | 授與的存取權 |
| 裝置管理 | 授權使用者嘗試從未經授權的裝置登入 | 已封鎖存取 |
| 風險性使用者的密碼變更 | 授權使用者嘗試使用遭洩漏的認證登入 (高風險登入) | 使用者收到變更密碼的提示,或根據您的原則已封鎖存取 |
授權需求
- 免費 Microsoft Entra ID - 無條件式存取
- 免費 Office 365 訂閱 - 無條件式存取
- Microsoft Entra ID Premium 1 (或 Microsoft 365 E3 以上版本) - 根據標準規則的條件式存取工作
- Microsoft Entra ID Premium 2 - 條件式存取,而且您能夠使用風險性登入、風險性使用者和風險型登入選項 (從 Identity Protection)