你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

条件访问经典策略迁移

Azure Active Directory 使用条件访问作为一种工具来统合信号、做出决策，以及实施组织策略。 条件访问是新的标识驱动控制平面的核心。 尽管此功能的用途仍未变化，但新版 Azure 门户在条件访问的工作原理方面引入了重大改进。

考虑迁移未在 Azure 门户中创建的策略，因为：

• 现在可以解决以前无法处理的方案。
• 可以通过合并来减少需要管理的策略数。
• 可以在一个中心位置管理所有条件访问策略。
• Azure 经典门户即将停用。

本文介绍在将现有条件访问策略迁移到新框架时所要了解的知识。

经典策略

在 Azure 门户中，可以在“Azure Active Directory” >“安全性” >“条件访问” 下找到条件访问策略。 组织还可能有不使用此页创建的较旧的条件访问策略。 这些策略称为“经典策略”。 经典策略是已在以下位置创建的条件访问策略：

• Azure 经典门户
• Intune 经典门户
• Intune 应用保护门户

在“条件访问”页上，可以通过单击“管理”部分中的“经典策略”来访问经典策略。

“经典策略”视图提供了一个选项用于执行以下操作：

• 筛选经典策略。

• 禁用经典策略。

• 查看经典策略的设置，将其禁用。

  

警告

经典策略在禁用后将无法重新启用。

经典策略的详细信息视图用于记录设置、修改包含或排除的组以及禁用策略。

通过更改选定的组或排除特定的组，可以在针对所有包含的用户和组禁用某个策略之前，针对少量测试用户来测试禁用该策略所产生的影响。

迁移注意事项

在本文中，Azure AD 条件访问策略也称为“新策略”。 在禁用或删除经典策略之前，这些策略与新策略仍可同时运行。

在策略整合的上下文中，必须注意以下几个方面：

• 尽管经典策略与特定的云应用相关联，但你可以根据需要在新策略中选择任意数量的云应用。
• 云应用的经典策略和新策略控制要求满足所有控制条件 (AND)。
• 在新策略中，可以：
  • 根据方案的需要组合多个条件。
  • 选择多个授予要求作为访问控制，并使用逻辑 OR（要求满足选定控制条件中的一个）或逻辑 AND（要求满足所有选定控制条件）来合并这些要求。

Exchange Online

若要迁移 Exchange Online 的经典策略，而这些策略包含用作客户端应用条件的 Exchange Active Sync，则可能无法将它们整合到一个新策略中。

例如，如果希望支持所有客户端应用类型，则无法进行这种整合。 在将 Exchange Active Sync 用作客户端应用条件的新策略中，无法选择其他客户端应用。

如果经典策略包含多个条件，则也无法整合到一个新策略。 配置为将 Exchange Active Sync 用作客户端应用条件的新策略不支持其他条件：

如果某个新策略配置为将 Exchange Active Sync 用作客户端应用条件，需确保未配置其他所有条件。

Exchange Online 的基于应用的经典策略（包括作为客户端应用条件的 Exchange Active Sync）允许受支持的和不受支持的设备平台。 尽管无法在相关的新策略中配置单个设备平台，但可以将支持状态限制为受支持的设备平台。

可以整合多个将 Exchange Active Sync 包含为客户端应用条件的经典策略，前提是这些策略：

• 只将 Exchange Active Sync 用作条件
• 针对授予访问权限配置了多项要求

一种常见方案是整合：

• Azure 经典门户中基于设备的经典策略
• Intune 应用保护门户中基于应用的经典策略

在这种情况下，可将经典策略整合到一个已选择上述两项要求的新策略。

设备平台

包含基于应用的控制的经典策略已预先配置为将 iOS 和 Android 作为设备平台条件。

在新策略中，需要选择希望单独支持的设备平台。

后续步骤

• 在仅限报告模式下进行条件访问来确定新策略决定的影响。
• 若要了解如何配置条件访问策略，请参阅条件访问常见策略。
• 如果已准备好针对环境配置条件访问策略，请参阅如何：规划 Azure Active Directory 中的条件访问部署一文。