生成条件访问策略

什么是条件访问一文中所述,条件访问策略是一个关于分配访问控制的 if-then 语句。 条件访问策略可统合信号,做出决策,并实施组织策略。

组织如何创建这些策略? 需要执行哪些操作? 这些策略是如何应用的?

条件访问信号概念和强制执行组织策略的决策的示意图。

随时可能都会有多个条件访问策略应用于单个用户的情况。 在这种情况下,必须满足所应用的所有策略。 例如,如果一个策略需要多重身份验证,另一个策略需要兼容的设备,则你必须完成 MFA 并使用兼容的设备。 所有分配在逻辑上采用 AND 运算符。 如果配置了多个分配,则必须满足所有分配才能触发策略。

如果选择了“需要所选控件之一”的策略,我们会按照定义的顺序提示,只要满足策略要求,就会授予访问权限。

所有策略都是在两个阶段中强制实施的:

  • 阶段 1:收集会话详细信息
    • 收集会话详细信息,例如进行策略评估所需的网络位置和设备标识。
    • 针对已启用的策略和仅限报告模式下的策略执行策略评估的第 1 阶段。
  • 阶段 2:强制

分配

分配部分用于控制条件访问策略的对象、内容和位置。

用户和组

用户和组指定应用策略时包含或排除的对象。 该分配可以包括所有用户、特定的用户组、目录角色或外部来宾用户。

目标资源

目标资源可以包括或排除受策略约束的云应用程序、用户操作或身份验证上下文。

网络

网络包含 IP 地址、地理位置和符合条件访问策略决定的全球安全访问网络。 管理员可选择定义位置,还可选择将某些位置(例如其组织的主网络位置)标记为受信任位置。

条件

一个策略可以包含多个条件

登录风险

对于使用 Microsoft Entra ID 保护的组织而言,生成的风险检测可能会影响条件访问策略。

设备平台

具有多个设备操作系统平台的组织可能在不同的平台上实施特定的策略。

用于计算设备平台的信息来自未经验证的源,例如可以更改的用户代理字符串。

客户端应用

用户用于访问云应用的软件。 例如,“浏览器”以及“移动应用和桌面客户端”。 默认情况下,即使未配置客户端应用条件,所有新创建的条件访问策略也将应用于所有客户端应用类型。

设备筛选器

此控制允许基于策略中特定设备的属性来定位特定设备。

访问控制

条件访问策略的访问控制部分用于控制策略的实施方式。

授予

授予为管理员提供了一种策略强制实施方法,使他们可以阻止访问或授予访问权限。

阻止访问

阻止访问就是这样做的,它会阻止指定分配下的访问。 阻止控制的功能十分强大,应对其有一定了解后再使用。

授予访问权限

授予控制可以触发一项或多项控制的实施。

  • 要求多重身份验证
  • 要求将设备标记为合规 (Intune)
  • 需要 Microsoft Entra 混合联接设备
  • “需要已批准的客户端应用”
  • 要求应用保护策略
  • 要求更改密码
  • 需要使用条款

管理员可以使用以下选项选择是需要上述控制之一还是所有已选控制。 多项控制的默认值为全部需要。

  • 需要所有已选控制(控制和控制)
  • 需要某一已选控制(控制或控制)

会话

会话控制可以限制用户体验。

  • 使用应用所强制实施的限制:
    • 目前仅适用于 Exchange Online 和 SharePoint Online。
    • 传递设备信息,以允许控制授予完全访问权限或受限访问权限的体验。
  • 使用条件访问应用控制:
    • 使用 Microsoft Defender for Cloud Apps 发出的信号来执行以下操作:
      • 阻止下载、剪切、复制和打印敏感文档。
      • 监视危险的会话行为。
      • 需要标记敏感文件。
  • 登录频率:
    • 能够更改新式身份验证的默认登录频率。
  • 持久性浏览器会话:
    • 可让用户在关闭再重新打开其浏览器窗口后保持登录状态。
  • 自定义连续访问评估
  • 禁用复原默认设置

简单策略

条件访问策略必须至少包含以下内容才能实施:

  • 策略的名称
  • 分配
    • 要应用策略的用户和/或组
    • 要应用策略的云应用或操作
  • 访问控制
    • 授予阻止控制

空白条件访问策略

常用条件访问策略一文包含一些我们认为对大多数组织有用的策略。