描述 Azure 条件访问

  • 3 分钟

条件访问是一种工具,由 Microsoft Entra ID 用来根据标识信号允许(或拒绝)对资源的访问。 这些信号包括用户身份、用户位置以及用户请求访问时所使用的设备。

条件访问在以下方面为 IT 管理员提供帮助:

  • 使用户随时随地都能够高效工作。
  • 保护组织的资产。

条件访问还为用户提供了更精细的多重身份验证体验。 例如,如果用户处于已知位置,则可能无需接受第二重身份验证。 但是,如果用户的登录信号异常或用户位于意外位置,就可能需要接受第二重身份验证。

在登录过程中,条件访问会收集来自用户的信号,并根据这些信号制定决策,然后通过允许或拒绝访问请求或进行多重身份验证响应来强制执行该决策。

下图演示了此流:

显示导致决策和强制执行的信号的条件访问流图。

此处的信号可以是用户位置、用户设备或用户试图访问的应用程序。

根据这些信号,如果用户正在从其常用位置登录,决策可能允许使用完全访问权限。 如果用户正在从异常位置或标记为高风险的位置登录,在用户接受第二重身份验证后,系统可能会完全阻止访问或授予访问权限。

强制执行是决策执行操作。 例如,该操作是允许访问或要求用户提供第二重身份验证。

何时可以使用条件访问?

当你需要执行以下操作时,条件访问会很有用:

  • 要求进行多重身份验证 (MFA) 来访问应用程序,具体取决于请求者的角色、位置或网络。 例如,管理员可能需要 MFA,但普通用户或从公司网络外部连接的人员则不需要 MFA。
  • 要求只能通过经过批准的客户端应用程序访问服务。 例如,可以限制哪些电子邮件应用程序能够连接到电子邮件服务。
  • 要求用户只能从受管理设备访问应用程序。 受管理设备是指符合安全性和符合性标准的设备。
  • 阻止来自不受信任的源的访问,例如来自未知或意外位置的访问。