共用方式為


設定條件式存取原則

條件式存取是系統中受規範內容的保護,方法是要求在授與內容存取權之前,先符合特定準則。 最簡單的條件式存取原則是 if-then 陳述式。 如果使用者想要存取資源,則必須完成動作。 例如,薪資經理想要存取薪資應用程式,而且必須執行多重要素驗證 (MFA) 才能這麼做。

使用條件式存取,您可以達成兩個主要目標:

  • 讓用戶隨時隨地提高生產力。
  • 保護貴組織的資產。

藉由使用條件式存取原則,您可以在需要時套用正確的存取控制,以確保貴組織的安全,並在不需要時,遠離使用者。

系統會提示使用者重新驗證的頻率,取決於 Microsoft Entra 會話存留期組態設定。 雖然記住認證很方便,但也可讓使用個人裝置的企業案例部署較不安全。 若要保護您的使用者,您可以確保用戶端更頻繁地要求Microsoft多重要素驗證認證。 您可以使用條件式存取登入頻率來設定此行為。

指派雲端計算機的條件式存取原則

預設不會為您的租用戶設定條件式存取原則。 您可以使用下列其中一個平臺,將 CA 原則的目標設為雲端電腦第一方應用程式:

無論您使用哪一種方法,原則都會在雲端計算機使用者入口網站和雲端計算機的連線上強制執行。

  1. 登入 Microsoft Intune 系統管理中心,選取 [端點安全>性條件式存取>][建立新原則]

  2. 提供特定條件式存取原則的 名稱

  3. 在 [ 使用者] 底下,選 取 0 個已選取的使用者和群組

  4. 在 [包含] 索引標籤下,選取 [選取使用者和群組]>,核取 [取] 底下的 [使用者和群組>],然後選擇 [選取 0 個使用者和群組]

  5. 在開啟的新窗格上,搜尋並選取您要以 CA 原則為目標的特定使用者或群組,然後選擇 [ 選取]

  6. 在 [ 目標資源] 底下,選 取 [未選取目標資源]

  7. 在 [包含] 索引標籤下,選擇 [選取] 底下的 [取應用程式>],然後選擇 [無]

  8. 在 [ 選取 ] 窗格中,根據您嘗試保護的資源來搜尋並選取下列應用程式:

    • Windows 365 (應用程式識別碼 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 。 您也可以搜尋「雲端」來尋找此應用程式。 此應用程式會在擷取使用者的資源清單,以及使用者在其雲端電腦上起始動作時使用,例如重新啟動。
    • Azure 虛擬桌面 (應用程式標識碼 9cdead84-a844-4324-93f2-b2e6bb768d07) 。 此應用程式也可能顯示為 Windows 虛擬桌面。 此應用程式可用來在連線期間以及客戶端將診斷資訊傳送至服務時,向 Azure 虛擬桌面閘道進行驗證。
    • Microsoft遠端桌面 (應用程式標識符 a4a365df-50f1-4397-bc59-1a1564b8bb9c) 和 Windows Cloud Login (應用程式標識符 270efc09-cd0d-444b-a71f-39af4910ec45) 。 只有當您在布建原則中 設定單一登錄 時,才需要這些應用程式。 這些應用程式可用來向雲端電腦驗證使用者。

    建議您比對這些應用程式之間的條件式存取原則。 這可確保原則適用於雲端計算機使用者入口網站、閘道和雲端電腦的連線,以獲得一致的體驗。 如果您想要排除應用程式,也必須選擇所有這些應用程式。

    重要事項

    啟用 SSO 之後,對雲端電腦的驗證現在會使用 Microsoft 遠端桌面 編碼識別碼應用程式。 即將進行的變更會將驗證轉換為 Windows Cloud 登入 Entra ID 應用程式。 若要確保順利轉換,您必須將這兩個 Entra ID 應用程式新增至 CA 原則。

    注意事項

    如果您在設定條件式存取原則時沒有看到 Windows 雲端登入應用程式,請使用下列步驟來建立應用程式。 您必須擁有訂用帳戶的擁有者或參與者許可權,才能進行這些變更:

    1. 登入 Azure 入口網站
    2. Azure 服務清單中選取 [訂用帳戶]。
    3. 選取您的訂用帳戶名稱。
    4. 取 [資源提供者] ,然後選 取 [Microsoft.DesktopVirtualization]
    5. 選取頂端的 [註冊 ]。

    註冊資源提供者之後,選取要套用原則的應用程式時,Windows Cloud 登入應用程式會出現在條件式存取原則設定中。 如果您不是使用 Azure 虛擬桌面,您可以在 Windows 雲端登入應用程式可用之後,取消註冊 Microsoft.DesktopVirtualization 資源提供者。

  9. 如果您想要微調原則,請在 [ 與] 底下,選擇 [選取 0 個控件]

  10. 在 [授與] 窗格中,選擇您要套用至指派給此>原則之所有物件的授與或封鎖存取選項 選取

  11. 如果您想要先測試原則,請在 [ 啟用原則] 底下,選取 [ 僅報告]。 如果您將它設定為 [開啟],一旦您建立原則,就會立即套用原則。

  12. 取 [建立 ] 以建立原則。

您可以在條件式存取 UI 的 [原則] 檢視中 看到作用中和非使用中原則的清單。

設定登入頻率

登入頻率原則可讓您設定存取以 Entra 為基礎的資源時,使用者需要登入的頻率Microsoft。 這有助於保護您的環境,而且對於個人裝置而言特別重要,因為本機操作系統可能不需要 MFA,或在閑置之後可能不會自動鎖定。 只有當存取資源時,從 Microsoft Entra ID 要求新的存取令牌時,才會提示使用者進行驗證。

登入頻率原則會根據選取的 Microsoft Entra 應用程式產生不同的行為:

應用程式名稱 應用程式識別碼 行為
Windows 365 0af06dc6-e4b5-4f28-818e-e78e62d137a5 當使用者擷取其雲端計算機清單,以及當使用者在其雲端計算機上起始動作,例如重新啟動時,強制重新驗證。
Azure 虛擬桌面 9cdead84-a844-4324-93f2-b2e6bb768d07 當使用者在連線期間向 Azure 虛擬桌面閘道進行驗證時,強制執行重新驗證。
Microsoft 遠端桌面

Windows Cloud 登入
a4a365df-50f1-4397-bc59-1a1564b8bb9c

270efc09-cd0d-444b-a71f-39af4910ec45
當使用者在啟用 單一登錄 時登入雲端計算機時,強制執行重新驗證。

這兩個應用程式應該一起設定,因為用戶端很快就會從使用Microsoft遠端桌面應用程式切換到 Windows 雲端登入應用程式,以向雲端電腦進行驗證。

若要設定要求使用者再次登入的期間:

  1. 開啟您先前建立的原則。
  2. 在 [ 工作階段] 底下,選 取選取 0 個控件
  3. 在 [ 工作階段] 窗格中,選取 [ 登入頻率]
  4. 選取 [定期重新驗證 ] 或 [ 每次]
    • 如果您選取 [ 定期重新驗證],請設定要求使用者在執行需要新存取令牌的動作時再次登入的期間值,然後選取 [ 選取]。 例如,如果連線在上次使用者驗證之後一小時以上啟動,則將值設定為 1 ,並將單位設定為 Hours,則需要多重要素驗證。
    • [ 每次] 選項目前為預覽版,只有在針對您的雲端計算機啟用單一登錄時套用至 Microsoft 遠端桌面Windows 雲端登 入應用程式時才支援。 如果您選取 [ 每次],則會提示使用者在上次驗證后的 5 到 10 分鐘之後啟動新連線時重新驗證。
  5. 在頁面底部,選取 [ 儲存]

注意事項

  • 只有當用戶必須向資源進行驗證,而且需要新的存取令牌時,才會進行重新驗證。 建立連線之後,即使連線的持續時間超過您設定的登入頻率,也不會提示使用者。
  • 如果網路中斷會強制在您設定的登入頻率之後重新建立會話,用戶必須重新驗證。 這可能會在不穩定的網路上導致更頻繁的驗證要求。

後續步驟

管理 RDP 裝置重新導向