计划和实现用于连接到 Azure 虚拟桌面的条件访问策略
规划条件访问部署对于实现组织的应用和资源访问策略至关重要。
Azure Active Directory (Azure AD) 条件访问可分析各种信号(例如,用户、设备和位置)以自动做出决策,并强制实施组织的资源访问策略。 你可以使用条件访问策略来应用访问控制,例如多重身份验证 (MFA)。 通过条件访问策略,你可以在有安全性需要时提示用户进行 MFA,并在不需要时避免用户进入。
Microsoft 提供了标准的条件策略(称为安全默认值)可确保基本安全级别。 但是,组织所需要的灵活性可能超出了安全默认值能提供的。 你可以使用条件访问更精细地自定义安全默认值,并配置满足需求的新策略。
优点
部署条件访问的优点是:
- 提高工作效率。 仅在有一个或多个信号支持时,才会中断具有登录条件(如 MFA)的用户。 通过条件访问策略,你可以控制何时提示用户进行 MFA、何时阻止访问以及何时用户必须使用受信任的设备。
- 管理风险。 通过策略条件自动执行风险评估意味着,一旦识别风险登录便可立即修正或阻止。 将条件访问与标识保护耦合在一起,可以检测异常和可疑事件,使您能够在资源访问被阻止或门控时锁定目标。
- 解决合规性与治理问题。 通过条件访问,你可以审核对应用程序的访问权限,提出使用条款以获得同意,并根据符合性策略限制访问。
- 控制成本。 将访问策略移动到 Azure AD 可以降低对条件访问的自定义或本地解决方案的依赖及其基础结构成本。
先决条件
- 一个至少启用了 Azure AD Premium 或试用版许可证的有效 Azure AD 租户。
- 一个拥有条件访问管理员特权的帐户。
- 一个你知道其密码的非管理员用户,例如 testuser。
- 该非管理员用户所属的组。