條件式存取：目標資源

目標資源 (之前稱為雲端應用程式、動作和驗證內容) 是條件式存取原則中的重要訊號。 條件式存取原則允許系統管理員將控制項指派給特定應用程式、服務、動作或驗證內容。

• 系統管理員可以從應用程式或服務清單中進行選擇，而應用程式或服務包括內建 Microsoft 應用程式和任何 Microsoft Entra 整合式應用程式 (包括資源庫、非資源庫以及透過應用程式 Proxy 發佈的應用程式)。
• 系統管理員可能會選擇定義未根據雲端應用程式的原則，而是根據使用者動作，例如 [註冊安全性資訊] 或 [註冊或加入裝置]，讓條件式存取依據這些動作來強制執行控制項。
• 系統管理員可以將來自全域安全存取的流量轉送設定檔設為目標，以增強功能。
• 管理員可以使用驗證內容，在應用程式中提供額外的安全性層級。

Microsoft 雲端應用程式

許多現有的 Microsoft 雲端應用程式都包含在您可從中進行選取的應用程式清單中。

系統管理員可以將條件式存取原則指派給這些Microsoft雲端應用程式。 某些應用程式，例如 Office 365 和 Windows Azure 服務管理 API 包含多個相關的子應用程式或服務。

重要

適用於條件式存取的應用程式會經歷接入和驗證過程。 這些應用程式不包含所有Microsoft應用程式。 許多應用程式都是不打算直接套用原則的後端服務。 如果要尋找遺失的應用程式，您可以聯繫特定的應用程式小組，或在 UserVoice 上提出要求。

Office 365

Microsoft 365 提供雲端型的生產力和共同作業服務，例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 雲端服務經過深度整合，可保證提供順暢的共同作業體驗。 這項整合會在建立原則時造成混淆，因為某些應用程式 (如 Microsoft Teams) 與其他應用程式 (如 SharePoint 或 Exchange) 有相依性。

Office 365 套件可讓您同時以這些服務為目標。 建議使用新的 Office 365 套件，而非以個別的雲端應用程式為目標，以避免出現服務相依性的問題。

以此應用程式群組為目標，有助於避免發生因原則與相依性不一致而導致的問題。 例如：Exchange Online 應用程式繫結至傳統的 Exchange Online 資料，例如郵件、行事曆和連絡人資訊。 相關的中繼資料可能會透過不同的資源予以公開，例如搜尋。 為了確保所有中繼資料都採用預期的保護方式，管理員應該將原則指派給 Office 365 應用程式。

管理員可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 雲端應用程式。

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Windows Azure 服務管理 API

當您以 Windows Azure 服務管理 API 應用程式為目標時，會針對核發給一組緊密繫結至入口網站的權杖強制執行原則。 此分組包含下列各項的應用程式 ID：

• Azure Resource Manager
• Azure 入口網站，其中也涵蓋 Microsoft Entra 管理中心
• Azure Data Lake
• Application Insights API
• Log Analytics API

因為套用至 Azure 管理入口網站和 API、服務或具有 Azure API 服務相依性用戶端的原則可能會間接受到影響。 例如：

• Azure CLI
• Azure Data Factory 入口網站
• Azure DevOps
• Azure 事件中樞
• Azure PowerShell
• Azure 服務匯流排
• Azure SQL Database
• Azure Synapse
• 傳統部署模型 API
• Microsoft 365 系統管理中心
• Microsoft IoT Central
• SQL 受控執行個體
• Visual Studio 訂閱管理員入口網站

注意

Windows Azure Service Management API 應用程式適用於可呼叫 Azure Resource Manager API 的 Azure PowerShell。 它不適用於 Microsoft Graph PowerShell，它會呼叫 Microsoft Graph API。

如需有關如何設定 Windows Azure 服務管理 API 的範例原則的詳細資訊，請參閱條件式存取：需要 Azure 管理的 MFA。

提示

針對 Azure Government，您應該以 Azure Government 雲端管理 API 應用程式為目標。

Microsoft 管理入口網站

當條件式存取原則以 Microsoft 管理員入口網站雲端 App 為目標時，會針對核發至下列 Microsoft 系統管理入口網站之應用程式 ID 的權杖強制執行原則：

• Azure 入口網站
• Exchange 系統管理中心
• Microsoft 365 系統管理中心
• Microsoft 365 Defender 入口網站概觀
• Microsoft Entra 系統管理中心
• Microsoft Intune 系統管理中心
• Microsoft Purview 合規性入口網站
• Microsoft Teams 系統管理中心

我們會不斷將更多系統管理入口網站新增至清單。

注意

Microsoft 系統管理員入口網站應用程式僅適用於所列出系統管理員入口網站的互動式登入。 此應用程式未涵蓋登入基礎資源或服務，例如 Microsoft Graph 或 Azure Resource Manager API。 這些資源受到 Windows Azure Service Management API 應用程式的保護。 此群組可讓客戶沿著系統管理員的 MFA 採用旅程移動，而不會影響依賴 API 和 PowerShell 的自動化。 當您準備好時，Microsoft 建議使用 原則，要求系統管理員始終執行 MFA，以確保全面的保護。

其他應用程式

管理員可以將任何 Microsoft Entra 註冊應用程式新增至條件式存取原則。 這類應用程式可能包括：

• 透過 Microsoft Entra 應用程式 Proxy 發佈的應用程式
• 從資源庫新增的應用程式
• 不在資源庫中的自訂應用程式
• 透過應用程式傳遞控制器和網路發佈的舊版應用程式
• 使用密碼式單一登入的應用程式

注意

由於條件式存取原則會設定存取服務的需求，因此您無法將它套用至用戶端（公用/原生）應用程式。 換句話說，原則不會直接在用戶端（公用/原生）應用程式上設定，但會在用戶端呼叫服務時套用。 例如，SharePoint 服務上所設定的原則會套用至所有呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時，會套用 Exchange 上設定的原則。 這就是為什麼用戶端（公用/原生）應用程式無法用於在應用程式選擇器中選取，而條件式存取選項不適用於租用戶中註冊之用戶端（公用/原生）應用程式的應用程式設定。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包含這些應用程式的唯一方法是包含所有資源（先前稱為「所有雲端應用程式」）。

瞭解不同客戶端類型的條件式存取

條件式存取適用於非客戶端的資源，除非用戶端是要求標識元令牌的機密用戶端。

• 公用用戶端
  • 公用客戶端是指在桌面上的 Microsoft Outlook 或行動應用程式如 Microsoft Teams 上本機執行的客戶端。
  • 條件式存取原則不適用於公用用戶端本身，但會根據公用用戶端所要求的資源套用。
• 機密用戶端
  • 條件式存取會套用至用戶端所要求的資源，以及要求標識元令牌的機密用戶端本身。
  • 例如，如果 Outlook Web 要求範圍 Mail.Read 和 Files.Read的令牌，條件式存取會套用 Exchange 和 SharePoint 的原則。 此外，如果 Outlook Web 要求標識符令牌，條件式存取也會套用 Outlook Web 的原則。

若要從 Microsoft Entra 系統管理中心檢視這些客戶端類型的 登入記錄：

1. 以至少 報表讀者身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 身分識別>監控 & 健康情況>登入記錄。
3. 新增客戶端認證類型的篩選。
4. 根據登入中使用的客戶端認證，調整篩選條件以檢視特定記錄集。

如需詳細資訊，請參閱 公用用戶端和機密用戶端應用程式一文。

所有資源

將條件式存取原則套用至 所有資源（先前稱為「所有雲端應用程式」），如未排除任何應用程式，將導致該原則於所有來自網站及服務的令牌請求中強制執行，包括 全域安全存取之流量轉發配置檔。 此選項包含條件式存取原則中無法個別設定目標的應用程式，例如 Windows Azure Active Directory （0000000002-0000-0000-c000-000000000000000）。

重要

Microsoft 建議建立針對所有使用者和資源的基準多重身份驗證政策（不包括任何應用程式排除），比如說 需要所有使用者進行多重身份驗證。

當所有資源原則有應用程式排除時的條件式存取行為

如果有任何應用程式被排除在原則之外，為了避免不小心封鎖使用者的存取，某些低許可權範圍會被排除在原則執行之外。 這些範圍允許呼叫基礎 Graph API，例如 Windows Azure Active Directory （000000002-0000-0000-c0000-000000000000000） 和 Microsoft Graph （000000003-0000-0000-000000000000000），以存取應用程式常用的使用者配置檔和群組成員資格資訊，作為驗證的一部分。 例如：當 Outlook 要求 Exchange 的令牌時，它也會要求 User.Read 範圍能夠顯示目前使用者的基本帳戶資訊。

大部分的應用程式都有類似的相依性，這就是為什麼每當 [所有資源] 原則中有應用程式排除時，就會自動排除這些低許可權範圍。 這些低許可權範圍排除不允許數據存取超過基本使用者配置檔和群組資訊。 排除的範圍如下列出，應用程式仍需要同意才能使用這些許可權。

• 原生用戶端和單頁應用程式 （SPA） 可以存取下列低許可權範圍：
  • Azure AD Graph：email、offline_access、openid、profile、User.Read
  • Microsoft Graph：email、offline_access、openid、profile、User.Read、People.Read
• 在不包含於 所有資源 原則的情況下，機密用戶端可以存取下列低許可權範圍：
  • Azure AD Graph：email、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All
  • Microsoft Graph：email、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All、People.Read、People.Read.All、GroupMember.Read.All、Member.Read.Hidden

如需所提及範圍的詳細資訊，請參閱 Microsoft Graph 許可權參考 和 Microsoft身分識別平臺中的範圍和權限。

保護目錄資訊

如果因商務原因無法設定 建議的基準 MFA 原則，且貴組織的安全策略必須包含這些低許可權範圍，則替代方案是建立以 Windows Azure Active Directory 為目標的個別條件式存取原則（00000002-0000-0000-c000-000000000000）。 Windows Azure Active Directory（也稱為 Azure AD Graph）是資源，代表儲存在目錄中的數據，例如使用者、群組和應用程式。 Windows Azure Active Directory 資源包含在 [所有資源] 中，但可以使用下列步驟在條件式存取原則中個別設為目標：

1. 以 屬性定義管理員 和 屬性指派管理員的身份登入 Microsoft Entra 系統管理中心。
2. 請瀏覽到 Protection>自訂安全性屬性。
3. 建立新的屬性集和屬性定義。 如需詳細資訊，請參閱 Microsoft Entra ID中新增或停用自定義安全性屬性定義。
4. 瀏覽至 身分>應用程式>企業應用程式。
5. 拿掉 應用程式類型 篩選，並搜尋以 000000002-00000-0000-c0000-0000000000000 開始的 應用程式 標識符。
6. 選取 [Windows Azure Active Directory>[自定義安全性屬性]>[新增指派]。
7. 選取您打算在原則中使用的屬性集和屬性值。
8. 瀏覽至 保護>條件式存取>原則。
9. 建立或修改現有的原則。
10. 在 目標資源>資源（原雲端應用程式）>包含之下，選擇 >的資源並選擇>編輯篩選。
11. 調整篩選條件以包含您稍早的屬性集和定義。
12. 儲存政策

具有全域安全存取的所有因特網資源

[所有具有全域安全存取的因特網資源] 選項可讓系統管理員以來自 Microsoft Entra 網際網路存取 的因特網存取流量轉送配置檔為目標。

全域安全存取中的這些配置檔可讓系統管理員定義和控制流量如何透過 Microsoft Entra 網際網路存取和 Microsoft Entra 私人存取 路由傳送。 流量轉送設定檔可以指派給裝置和遠端網路。 如需如何將條件式存取原則套用至這些流量設定檔的範例，請參閱如何將條件式存取原則套用至 Microsoft 365 流量設定檔一文。

如需這些設定檔的詳細資訊，請參閱全域安全存取流量轉送設定檔一文。

使用者動作

使用者動作是使用者所執行的工作。 條件式存取目前支援兩個使用者動作：

• 登錄安全性資訊：這個使用者動作可在已啟用合併註冊的使用者嘗試註冊其安全性資訊時，讓條件式存取原則強制執行。 如需詳細資訊，請參閱合併的安全性資訊註冊一文。

注意

當系統管理員套用原則來針對註冊安全性資訊的用戶操作時，如果使用者帳戶是來自 Microsoft 個人帳戶 (MSA)的來賓，使用「需要多重要素驗證」的控件，將要求 MSA 使用者向組織註冊安全性資訊。 如果來賓使用者來自其他提供者，例如 Google，則會封鎖存取。

• 註冊或加入裝置：此使用者動作可讓系統管理員在使用者將裝置註冊或加入至 Microsoft Entra ID 時，強制執行條件式存取原則。 此原則會提供註冊或加入裝置的多重要素驗證設定細微性，而不是目前存在的租用戶原則。 此使用者動作有三個主要考量：
  • Require multifactor authentication 是此使用者動作唯一可使用的存取控制，其他存取控制都已停用。 這項限制可防止與根據 Microsoft Entra 裝置註冊或不適用於 Microsoft Entra 裝置註冊的存取控制發生衝突。
  • Client apps、Filters for devices 和 Device state 條件無法用於此使用者動作，因為這些條件會根據 Microsoft Entra 裝置註冊來強制執行條件式存取原則。

警告

使用 [註冊或加入裝置] 使用者動作來設定條件式存取原則時，您必須將 [身分識別] > [裝置] > [概觀] > [裝置設定] - Require Multifactor Authentication to register or join devices with Microsoft Entra 設定為 [否]。 否則，不會正確地強制執行具有此使用者動作的條件式存取原則。 有關此裝置設定的詳細資訊，可以參閱設定裝置設定。

驗證內容

驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式，或 Microsoft Defender for Cloud Apps 所保護的應用程式。

例如，組織可能會將檔案保留在 SharePoint 網站，例如午餐菜單或其神秘 BBQ 醬汁配方。 每個人都可以存取午餐菜單網站，但是具有神秘 BBQ 醬汁配方網站存取權的使用者可能需要從受控裝置存取並同意特定使用規定。

驗證內容適用於使用者或工作負載身分識別，但不適用於相同的條件式存取原則。

設定驗證內容

驗證內容是在 [保護] > [條件式存取] > [驗證內容] 下方進行管理。

選取 [新增驗證內容]，以建立新的驗證內容定義。 組織會限制為共 99 個驗證內容定義 c1-c99。 設定下列屬性：

• [顯示名稱] 是用來識別 Microsoft Entra ID 中驗證內容以及跨可取用驗證內容的應用程式的名稱。 我們建議採用可跨資源使用的名稱 (例如「受信任的裝置」)，以減少所需的驗證內容數目。 設定縮減可限制重新導向的數目，並提供更好的端對端使用者體驗。
• [描述] 提供系統管理員所使用原則以及將驗證內容套用至資源的原則的詳細資訊。
• [發佈至應用程式] 核取方塊選取時會將驗證內容公告至應用程式，並使其可供指派。 如果未核取，則下游資源無法使用驗證內容。
• [識別碼] 為唯讀資訊，用於要求特定驗證內容定義的權杖和應用程式中。 列在這裡，以供疑難排解和開發使用案例使用。

新增至條件式存取原則

管理員可以在其條件式存取原則中選取 [指派]>[雲端應用程式或動作] 下的已發佈驗證內容，然後從 [選取此原則的套用對象] 功能表選取 [驗證內容]。

刪除驗證內容

當您刪除驗證內容時，請確定沒有任何應用程式仍在使用該內容。 否則，不再保護對應用程式資料的存取。 您可以檢查套用驗證內容條件式存取原則案例的登入記錄，以確認此必要條件。

若要刪除驗證內容，其必須沒有指派的條件式存取原則，且不得發佈至應用程式。 這項需求有助於避免意外刪除仍在使用中的驗證內容。

使用驗證內容標記資源

如需在應用程式中使用驗證內容的詳細資訊，請參閱下列文章。

• 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
• 適用於雲端應用程式的 Microsoft Defender
• 自訂應用程式

下一步

• 條件式存取：條件
• 條件式存取一般原則
• 用戶端應用程式相依性