將條件式存取原則套用至全域安全存取流量
您可以將條件式存取原則套用至全域安全存取流量。 透過條件式存取,您可以要求多重要素驗證和裝置合規性,才能存取Microsoft資源。
本文說明如何將條件式存取原則套用至您的全域安全存取因特網流量。
必要條件
- 與全球安全存取功能互動的管理員必須具備下列一或多個角色指派 (視其執行的工作而定)。
- 全球安全存取管理員角色,用來管理全球安全存取功能。
- 條件式存取系統管理員角色,可建立條件式存取原則並與之互動。
- 產品需要授權。 如需詳細資訊,請參閱什麼是全球安全存取的授權一節。 如有需要,您可以購買授權或取得試用版授權。
建立以全域安全存取因特網流量為目標的條件式存取原則
下列範例原則針對所有使用者(不包括您的緊急存取帳戶和來賓/外部使用者),要求多因素驗證、裝置合規性,或需要 Microsoft Entra 混合加入的裝置,以用於全域安全存取的網際網路流量。
至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[保護]>[條件式存取]。
選取 [建立新原則]。
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
在 [指派]下,選取 [使用者和群組] 連結。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 底下:
- 選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 選取 [來賓或外部使用者],然後選取所有核取方塊。
在 目標資源 [>資源(先前稱為雲端應用程式)]下。
- 選擇 全部具有全域安全存取的網際網路資源。
注意
若要只強制執行 因特網存取流量轉送配置檔,不要Microsoft流量轉送 配置檔,然後選擇 [選取資源],然後從應用程式選擇器選取 [因特網 資源],然後設定安全性配置檔。
在 [存取控制]>[授與] 底下。
- 選取 [需要多重要素驗證]、[裝置需要標記為符合規範],以及 [需要已加入 Microsoft Entra 混合式的裝置]
- 針對多個控制項,選取 [需要其中一個選取的控制項]。
- 選取選取。
當系統管理員使用僅限報告模式 (部分機器翻譯) 確認原則設定之後,系統管理員即可將 [啟用原則] 切換開關從 [僅限報告] 切換至 [開啟]。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
-
緊急存取 或 中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
-
服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。
下一步
開始使用 Microsoft Entra 網際網路存取的下一個步驟是檢閱全球安全存取記錄。
如需流量轉送的詳細資訊,請參閱下列文章:
- 了解流量轉送設定檔 (部分機器翻譯)
- 管理Microsoft流量配置檔