條件式存取:授與
在條件式存取原則內,管理員可以利用存取控制來授與或封鎖對資源的存取。
封鎖存取
封鎖存取的控制項會考慮任何指派,並根據條件式存取原則組態來防止存取。
封鎖存取是功能強大的控制項,運用時應具備適當的知識。 具有 block 陳述式的原則可能會產生非預期的副作用。 在大規模啟用控制項之前,適當的測試和驗證非常重要。 在進行變更時,管理員應該利用條件式存取中的工具,例如條件式存取報告專用模式和條件式存取中的 What If 工具。
授予存取權
系統管理員在授與存取權時,可以選擇強制執行一個或多個控制項。 這些控制項包括下列選項:
- 需要多重要素驗證 (Microsoft Entra 多重要素驗證)
- 需要驗證強度
- 裝置需要標記為符合規範 (Microsoft Intune)
- 需要 Microsoft Entra 混合式加入裝置
- [需要已核准的用戶端應用程式]
- 需要應用程式保護原則
- 需要密碼變更
當系統管理員選擇合併這些選項時,可以使用下列方法:
- 需要所有選取的控制項 (控制項和控制項)
- 需要其中一個選取的控制項 (控制項或控制項)
依預設,條件式存取需要所有選取的控制項。
需要多重要素驗證
選取此核取方塊會要求使用者執行 Microsoft Entra 多重要素驗證。 您可以在規劃雲端式 Microsoft Entra 多重要素驗證部署中找到 Microsoft Entra 多重要素驗證部署的詳細資訊。
Windows Hello 企業版可滿足條件式存取原則中的多重要素驗證要求。
需要驗證強度
系統管理員可以選擇在其條件式存取原則中要求特定的驗證強度。 這些驗證強度定義於 [Microsoft Entra 系統管理中心] > [保護] > [驗證方法] > [驗證強度] 中。 系統管理員可以選擇自行建立或使用內建版本。
[裝置需要標記為合規]
已部署 Intune 的組織可以使用其裝置所傳回的資訊來識別符合特定原則合規性需求的裝置。 Intune 會將合規性資訊傳送給 Microsoft Entra ID,讓條件式存取可以決定授與或封鎖對資源的存取。 如需合規性原則的詳細資訊,請參閱設定裝置規則以允許使用 Intune 存取組織中的資源。
Intune (針對任何裝置作業系統) 或您的第三方行動裝置管理系統 (針對 Windows 裝置) 可以將裝置標示為符合規範。 您可以於在 Intune 中支援第三方裝置合規中找到支援的第三方行動裝置管理系統的清單。
裝置必須先在 Microsoft Entra ID 中註冊,才能標示為符合規範。 您可以在什麼是裝置身分識別?中找到關於裝置註冊的詳細資訊。
[裝置需要標記為符合規範] 控制項:
- 僅支援向 Microsoft Entra ID 註冊且向 Intune 註冊的 Windows 10+、iOS、Android、macOS 和 Linux Ubuntu 裝置。
- Windows 上處於 InPrivate 模式的 Microsoft Edge 視為不符合規範的裝置。
注意
在 Windows、iOS、Android、macOS 和一些第三方網頁瀏覽器上,Microsoft Entra ID 會使用向 Microsoft Entra ID 註冊裝置時所佈建的用戶端憑證來識別裝置。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取憑證。 使用者必須先選取此憑證,才能繼續使用瀏覽器。
您可以在 Intune 中使用適用於端點的 Microsoft Defender 應用程式以及核准的用戶端應用程式原則,來設定裝置合規性原則條件式存取原則。 設定條件式存取時,適用於端點的 Microsoft Defender 應用程式不需要排除。 雖然 Android 和 iOS 上適用於端點的 Microsoft Defender (應用程式識別碼 dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) 不是已核准的應用程式,但其有權報告裝置安全性態勢。 此權限可讓合規性資訊流向條件式存取。
需要 Microsoft Entra 混合式加入裝置
組織可以選擇使用裝置身分識別作為條件式存取原則的一部分。 組織可以使用此核取方塊,需要裝置是 Microsoft Entra 混合式加入裝置。 如需裝置身分識別的詳細資訊,請參閱什麼是裝置身分識別?。
使用裝置程式碼 OAuth 流程時,不支援受控裝置或裝置狀態條件的必要授與控制項。 這是因為執行驗證的裝置無法將其裝置狀態提供給提供程式碼的裝置。 此外,權杖中的裝置狀態會鎖定為執行驗證的裝置。 改為使用 [需要多重要素驗證] 控制項。
[需要 Microsoft Entra 混合式加入裝置] 控制項:
- 僅支援已加入網域的 Windows 舊版本 (Windows 10 之前) 和 Windows 目前版本 (Windows 10 以上) 的裝置。
- 不會將 InPrivate 模式的 Microsoft Edge 視為 Microsoft Entra 混合式加入裝置。
[需要已核准的用戶端應用程式]
組織可能需要使用經核准的用戶端應用程式,才能存取選取的雲端應用程式。 這些核准的用戶端應用程式支援 Intune 應用程式防護原則,而不受任何行動裝置管理解決方案影響。
警告
已核准的用戶端應用程式授與將在 2026 年 3 月初淘汰。 組織必須在 2026 年 3 月之前,將只使用 [需要經過核准的用戶端應用程式] 授與的所有目前條件式存取原則都轉換為 [需要經過核准的用戶端應用程式] 或 [應用程式保護原則]。 此外,針對任何新的條件式存取原則,只會套用 [需要應用程式保護原則授與]。 如需詳細資訊,請參閱將已核准的用戶端應用程式移轉至條件式存取中的應用程式保護原則一文。
若要套用此授與控制項,必須在 Microsoft Entra ID 中註冊裝置,而這需要使用訊息代理程式應用程式。 訊息代理程式應用程式可以是 iOS 的 Microsoft Authenticator,或 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。 當使用者嘗試驗證時,如果裝置上未安裝訊息代理程式應用程式,則會將使用者重新導向至適當的應用程式商店,以安裝所需的訊息代理程式應用程式。
下列用戶端應用程式支援此設定。 此清單並不詳盡,而且隨時會變更:
- Microsoft Azure 資訊保護
- Microsoft Cortana
- Microsoft Dynamics 365
- Microsoft Edge
- Microsoft Excel
- Microsoft Power Automate
- Microsoft Invoicing
- Microsoft Kaizala
- Microsoft Launcher
- Microsoft 清單
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Microsoft Planner
- Microsoft Power Apps
- Microsoft Power BI
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft 商務用 Skype
- Microsoft Stream
- Microsoft Teams
- Microsoft To-Do
- Microsoft Visio
- Microsoft Word
- Microsoft Yammer
- Microsoft Whiteboard
- Microsoft 365 系統管理
備註
- 經過核准的用戶端應用程式支援 Intune 行動應用程式管理功能。
- 需要經過核准的用戶端應用程式需求:
- 僅支援適用於裝置平台條件的 iOS 和 Android。
- 需要訊息代理程式應用程式才能註冊裝置。 訊息代理程式應用程式可以是 iOS 的 Microsoft Authenticator,或 Android 裝置的 Microsoft Authenticator 或 Microsoft 公司入口網站。
- 條件式存取無法將 InPrivate 模式中的 Microsoft Edge 視為核准的用戶端裝置。
- 需要 Microsoft Power BI 應用程式作為已核准用戶端應用程式的條件式存取原則,不支援使用 Microsoft Entra 應用程式 Proxy 將 Power BI 行動應用程式連線至內部部署 Power BI 報表伺服器。
- 裝載於 Microsoft Edge 外部的 WebView 不符合已核准的用戶端應用程式原則。 例如:如果應用程式嘗試在 Web 檢視中載入 SharePoint,則應用程式保護原則會失敗。
如需組態範例,請參閱條件式存取:需要已核准的用戶端應用程式或應用程式保護原則。
需要應用程式保護原則
在條件式存取原則中,您可以先要求用戶端應用程式上具有 Intune 應用程式保護原則,再存取所選取的應用程式。 這些行動應用程式管理 (MAM) 應用程式保護原則可讓您管理和保護組織在特定應用程式內的資料。
若要套用此授與控制項,條件式存取需要在 Microsoft Entra ID 中註冊裝置,而這需要使用訊息代理程式應用程式。 訊息代理程式應用程式可以是適用於 iOS 的 Microsoft Authenticator,或適用於 Android 裝置的 Microsoft 公司入口網站。 當使用者嘗試進行驗證時,如果裝置上未安裝訊息代理程式應用程式,則會將使用者重新導向至應用程式商店,以安裝訊息代理程式應用程式。 The Microsoft Authenticator 應用程式可以用作訊息代理程式應用程式,但不支援以已核准的用戶端應用程式形式為目標。 應用程式保護原則一般適用於 iOS 和 Android,以及 Windows 上 Microsoft Edge 的公開預覽版。 Windows 裝置在相同工作階段中最多支援三個 Microsoft Entra 使用者帳戶。 如需如何將原則套用至 Windows 裝置的詳細資訊,請參閱Windows 裝置上需要應用程式防護原則 (預覽) 一文。
應用程式必須符合特定需求,才能支援應用程式保護原則。 開發人員可以在您可以使用應用程式保護原則所管理的應用程式一節中找到這些需求的詳細資訊。
下列用戶端應用程式支援此設定。 此清單並不詳盡,而且隨時會變更。 如果您的應用程式不在清單中,則請洽詢應用程式廠商以確認支援:
- Adobe Acrobat Reader 行動應用程式
- iAnnotate for Office 365
- Microsoft Cortana
- 行動電話用 Microsoft Dynamics 365
- Microsoft Dynamics 365 Sales
- Microsoft Edge
- Microsoft Excel
- Microsoft Power Automate
- Microsoft Launcher
- Microsoft 清單
- Microsoft Loop
- Microsoft Office
- Microsoft OneDrive
- Microsoft OneNote
- Microsoft Outlook
- Microsoft Planner
- Microsoft Power BI
- Microsoft PowerApps
- Microsoft PowerPoint
- Microsoft SharePoint
- Microsoft Stream Mobile Native 2.0
- Microsoft Teams
- Microsoft To-Do
- Microsoft Word
- Microsoft Whiteboard Services
- MultiLine for Intune
- Nine Mail - Email and Calendar
- Notate for Intune
- Provectus - Secure Contacts
- Viva Engage (Android、iOS 和 iPadOS)
注意
Kaizala、商務用 Skype 和 Visio 不支援 [需要應用程式保護原則] 授與。 如果您需要這些應用程式才能作業,請僅使用 [需要已核准的應用程式] 授與。 在這兩個授與之間使用 "or" 子句將不適用這三個應用程式。
如需設定範例,請參閱透過條件式存取需要應用程式防護原則和已核准的用戶端應用程式,才能存取雲端應用程式。
需要密碼變更
偵測到使用者風險時,系統管理員可以運用使用者風險原則條件,以使用 Microsoft Entra 自助式密碼重設來讓使用者安全地變更密碼。 使用者可以執行自助式密碼重設來自我修復。 此程序會關閉使用者風險事件,以防止對系統管理員發出不必要的警示。
使用者收到變更密碼的提示時,需要先完成多重要素驗證。 請確定所有使用者都已註冊多重要素驗證,以在偵測到其帳戶發生風險時立即應變。
警告
使用者必須先前註冊過多重要素驗證,才能觸發使用者風險原則。
當您使用密碼變更控制項設定原則時,適用下列限制:
- 原則必須指派給 [所有資源]。 這項需求可防止攻擊者使用不同的應用程式來變更用戶的密碼,並藉由登入不同的應用程式來重設其帳戶風險。
- 要求密碼變更無法與其他控制項一起使用,例如需要符合規範的裝置。
- 密碼變更控制只能與使用者和群組指派條件、雲端應用程式指派條件 (必須設定為「全部」) 和使用者風險條件一起使用。
使用條款
如果您的組織已建立使用規定,則在授與控制項下方可能會顯示其他選項。 這些選項可讓管理員要求同意使用規定,才能存取該原則保護的資源。 您可以在 Microsoft Entra 使用規定中找到使用規定的詳細資訊。
自訂控制項 (預覽)
自訂控制項是 Microsoft Entra ID 的預覽功能。 使用自訂控制項時,會將您的使用者重新導向至相容的服務,以滿足與 Microsoft Entra ID 不同的驗證需求。 如需詳細資訊,請參閱自訂控制項一文。