了解条件访问
Microsoft Entra ID 中的条件访问功能提供了多种方法之一,可用于保护应用和保护服务。 条件访问使开发人员和企业客户能够以多种方式保护服务,包括:
- 多重身份验证
- 仅允许已注册 Intune 的设备访问特定服务
- 限制用户位置和 IP 范围
条件访问如何影响应用?
在大多数情况下,条件访问不会更改应用的行为,也不需要开发人员进行任何更改。 仅在某些情况下,当应用间接地或无提示地请求服务令牌时,应用才需要更改代码来处理条件访问质询。 执行交互式登录请求可能很简单。
具体而言,以下场景需要代码来处理访问条件质询:
- 执行代理流的应用
- 访问多个服务/资源的应用
- 使用 MSAL.js 的单页应用
- 调用资源的 Web 应用
条件访问策略可以应用于应用,也可以是应用访问的 Web API。 根据方案,企业客户可以随时应用和删除条件访问策略。 为使应用在应用新策略时继续运行,请实施质询处理。
条件访问示例
某些方案需要代码更改来处理条件访问,而其他方案则按原样工作。 下面是一些使用条件访问执行多重身份验证的方案,可让你深入了解差异。
你要生成单租户 iOS 应用并应用条件访问策略。 应用登录用户,不请求访问 API。 当用户登录时,会自动调用策略,用户需要执行多重身份验证。
你正在生成一个应用,该应用使用中间层服务来访问下游 API。 在该公司使用此应用程序的企业客户向下游 API 施加政策。 最终用户登录时,应用会请求访问中间层并发送令牌。 中间层执行代理流以请求对下游 API 的访问。 此时,向中间层提出索赔“质疑”。 中间层将挑战发送回应用,该应用需要符合条件性访问策略。