自訂控制項 (預覽)
自訂控制項是 Microsoft Entra ID 的預覽功能。 使用自訂控制項時,系統會將您的使用者重新導向至相容的服務,以滿足 Microsoft Entra ID 之外的驗證需求。 為了滿足此控制措施,系統會將使用者的瀏覽器重新導向至外部服務、執行任何必要的驗證,再將瀏覽器重新導向回 Microsoft Entra ID。 Microsoft Entra ID 會確認回應,而且如果使用者成功通過驗證或確認,就會繼續進行條件式存取流程。
注意
正如 Nitika Gupta 在她的部落格文章「公開預覽:Microsoft Entra ID 中的外部驗證方法」中所述:
...外部驗證方法取代了自訂控制項,並且相較於自訂控制項方法,它們提供多種優勢。 包括:
- 外部驗證方法整合使用業界標準並支援開放式模型
- 外部驗證方法的管理方式與 Entra 方法相同
- 各種 Entra ID 使用案例 (包括 PIM 啟用) 都支援外部驗證方法
如需詳細資訊,請參閱在 Microsoft Entra ID 管理外部驗證方法 (預覽) 一文。
建立自訂控制項
謹慎
自訂控制項 無法搭配使用於:
- Microsoft Entra ID Protection 的自動化功能要求使用多重要素驗證
- Microsoft Entra 自助式密碼重設 (SSPR)
- 滿足多因素驗證需求條件
- 登入頻率控制設定
- 權限身份管理器(PIM)
- Intune 裝置註冊
- 跨租戶信任
- 將裝置加入 Microsoft Entra ID。
自訂控制項會使用一組有限已核准的驗證提供者。 若要建立自訂控制項,請先連絡您想要使用的提供者。 每個非 Microsoft 的提供者在註冊、訂閱或成為服務一部分等方面,以及在指出您想要與條件式存取整合的方面,都有自己的流程和需求。 屆時,提供者會給您 JSON 格式的資料區塊。 這項資料可讓提供者和條件式存取一起為您的租用戶工作,建立新的控制項,以及定義條件式存取要如何分辨使用者是否已成功執行提供者所提出的驗證。
複製 JSON 資料並貼到相關文字方塊中。 除非您明確地了解您要進行的變更,否則請勿變更 JSON。 進行變更可能會讓提供者與 Microsoft 之間的連線中斷,進而可能將您的帳戶鎖定,讓您和您的使用者無法使用。
用來建立自訂控制項的選項位於 [條件式存取] 頁面的 [管理] 區段。
按一下 [新增自訂控制項] 隨即會開啟刀鋒視窗,裡面有文字方塊可供輸入控制項的 JSON 資料。
刪除自訂控制項
若要刪除自訂控制項,您必須先確定沒有任何條件式存取原則正在使用該自訂控制項。 完成之後:
- 移至 [自訂控制項] 清單
- 選取 …
- 選取 [刪除]。
編輯自訂控制項
若要編輯自訂控制項,您必須先刪除目前的控制項,然後使用更新後的資訊建立新的控制項。
已知的限制
自訂控制項無法與 Microsoft Entra ID Protection 的自動化搭配使用,在 Intune 裝置註冊過程中 (為了跨租用戶信任) 或在將裝置加入至 Microsoft Entra ID 時,提升 Privileged Identity Manager (PIM) 中的角色,因為該自動化需要 Microsoft Entra 多重要素驗證、Microsoft Entra 自助式密碼重設 (SSPR),以滿足多重要素驗證宣告需求以及登入頻率控制。