发现条件访问
可使用多种方法来保护应用和服务,而 Microsoft Entra ID 中的条件访问功能便是其中之一。 通过条件访问功能,可以让开发人员和企业客户以多种方式保护服务的安全,其中包括:
- 多重身份验证
- 仅允许已注册 Intune 的设备访问特定服务
- 限制用户位置和 IP 范围
条件访问对应用有何影响?
在大多数常见情况下,条件访问不会更改应用的行为,也不需要开发人员进行任何更改。 仅在某些情况下,如果应用程序间接或无提示地请求服务的令牌,应用程序就需要更改代码来处理条件访问质询。 此过程可能与执行交互式登录请求一样简单。
具体来说,在以下应用场景下需要代码来处理条件访问质询:
- 执行代理流的应用
- 访问多个服务/资源的应用
- 使用 MSAL.js 的单页应用
- 调用资源的 Web 应用
可将条件访问策略应用到应用,还可将其应用于应用访问的 Web API。 根据具体的情况,企业客户随时可以应用和删除条件访问策略。 应用新策略后,为了让应用继续正常工作,需执行质询处理。
条件访问示例
在某些应用场景下,需要进行代码更改来处理条件访问,而在其他应用场景下一切按原样运行。 以下是一些使用条件访问进行多重身份验证的场景,可帮助深入了解差异。
你正在构建单租户 iOS 应用,并应用了条件访问策略。 应用允许用户登录且不请求访问 API。 当用户登录时,将自动调用策略,用户需要执行多重身份验证。
你正在构建使用中间层服务访问下游 API 的应用。 公司中使用此应用的企业客户对下游 API 应用了策略。 最终用户登录时,应用将请求访问中间层并将发送令牌。 中间层执行代理流来请求访问下游 API。 此时,将向中间层发出一个声明“质询”。 中间层将质询发送回应用,应用需符合条件访问策略。