條件式存取:條件
在條件式存取原則內,系統管理員可以利用一或多個訊號來增強其原則決策。
您可以結合多個條件來建立更細緻和特定的條件式存取原則。
當使用者存取敏感性應用程式時,系統管理員可能會將多個條件納入其存取決策,例如:
- 識別碼保護的登入風險資訊
- 網路位置
- 裝置資訊
使用者風險
具有識別碼保護存取權的系統管理員可以評估使用者風險,以作為條件式存取原則的一部分。 使用者風險代表特定的身分識別或帳戶遭入侵的可能性。 如需使用者風險的詳細資訊,請參閱什麼是風險和如何:設定和啟用風險原則文章。
登入風險
具有識別碼保護存取權的系統管理員可以評估登入風險,以作為條件式存取原則的一部分。 登入風險代表身分識別擁有者未提出給定驗證要求的機率。 如需登入風險的詳細資訊,請參閱什麼是風險和如何:設定和啟用風險原則文章。
內部風險
可存取 Microsoft Purview 調適型保護的系統管理員可以將來自 Microsoft Purview 的風險訊號併入條件式存取原則決策。 內部風險會考慮來自 Microsoft Purview 的資料控管、資料安全性以及風險和合規性設定。 這些訊號是以下列內容因素為基礎:
- 使用者行為
- 歷史模式
- 異常偵測
此條件可讓系統管理員使用條件式存取原則來採取動作,例如封鎖存取、需要更強大的身份驗證方法,或需要接受使用規定。
此功能涉及併入參數,而參數專門解決組織內所引起的潛在風險。 設定條件式存取以考慮內部風險,系統管理員即可根據內容因素來量身打造存取權限,例如使用者行為、歷史模式和異常偵測。
如需詳細資訊,請參閱設定和啟用內部風險型原則一文。
裝置平台
條件式存取會使用裝置所提供的資訊 (例如使用者代理程式字串) 來識別裝置平台。 因為使用者代理程式字串可以被修改,所以系統不會驗證這項資訊。 裝置平台應該搭配 Microsoft Intune 的裝置合規性原則或是做為封鎖陳述式的一部分使用。 預設是會將原則套用至所有裝置平台。
條件式存取支援下列裝置平台:
- Android
- iOS
- Windows
- macOS
- Linux
如果您使用其他用戶端條件來封鎖舊式驗證,也可以設定裝置平台條件。
選取 [需要經過核准的用戶端應用程式] 或 [需要應用程式保護原則] 作為唯一的授與控制項時,或選擇 [需要所有選取的控制項] 時,不支援選取 macOS 或 Linux 裝置平台。
重要
Microsoft 建議您針對不支援的裝置平台設定條件式存取原則。 例如,如果您想要封鎖從 CHROME OS 或任何其他不支援的用戶端存取公司資源,您應該使用包括任何裝置並排除受支援裝置平台的裝置平台條件來設定原則,並授與控制集「封鎖」存取權。
位置
用戶端應用程式
根據預設,即使未設定用戶端應用程式條件,還是會將所有新建立的條件式存取原則都套用至所有用戶端應用程式類型。
注意
用戶端應用程式行為的條件已於 2020 年 8 月更新。 如果您有現有的條件式存取原則,這些原則將保持不變。 不過,如果您按一下現有的原則,則已移除 [設定] 切換,並選取套用原則的用戶端應用程式。
重要
來自舊版驗證用戶端的登入不支援多重要素驗證 (MFA),而且不會傳遞裝置狀態資訊,因此條件式存取授與控制項 (例如需要 MFA 或符合規範的裝置) 會封鎖這些用戶端。 如果您有必須使用舊版驗證的帳戶,則必須從原則中排除這些帳戶,或設定原則為僅套用至新式驗證用戶端。
設定為 [是] 時,[設定] 切換會套用至核取的項目,如果設定為 [否],則會套用至所有用戶端應用程式,包括新式和舊版驗證用戶端。 此切換在 2020 年 8 月之前建立的原則中並不存在。
- 新式驗證用戶端
- 瀏覽器
- 這些包括使用 SAML、WS-同盟、OpenID Connect 或服務註冊為 OAuth 機密用戶端等通訊協定的 Web 應用程式。
- 行動裝置應用程式和桌面用戶端
- 此選項包括應用程式,例如 Office 桌面和手機應用程式。
- 瀏覽器
- 舊版驗證用戶端
- Exchange ActiveSync 用戶端
- 此選項包括所有 Exchange ActiveSync (EAS) 通訊協定的使用。
- 原則封鎖使用 Exchange ActiveSync 時,受影響的使用者會收到一封隔離電子郵件。 這封電子郵件會提供封鎖原因的相關資訊,可能的話也會包括補救指示。
- 系統管理員只能透過條件式存取 Microsoft Graph API,將原則套用至支援的平台 (例如 iOS、Android 和 Windows)。
- 其他用戶端
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- SMTP - POP 和 IMAP 用戶端用來傳送電子郵件訊息。
- 自動探索 - 由 Outlook 與 EAS 用戶端用於尋找及連線至 Exchange Online 中的信箱。
- Exchange Online PowerShell - 用於透過 PowerShell 連線至 Exchange Online。 如果您封鎖 Exchange Online PowerShell 的基本驗證,則需使用 Exchange Online PowerShell 模組來連線。 如需指示,請參閱使用多重要素驗證連線至 Exchange Online PowerShell。
- Exchange Web 服務 (EWS) - Outlook、Mac 版 Outlook 和第三方應用程式所使用的程式設計介面。
- IMAP4 - IMAP 電子郵件用戶端所使用。
- MAPI over HTTP (MAPI/HTTP) - Outlook 2010 與以後版本所使用。
- 離線通訊錄 (OAB) - Outlook 所下載與使用的一份地址清單集合。
- Outlook Anywhere (RPC over HTTP) - Outlook 2016 及之前版本所使用。
- Outlook Service - Windows 10 版郵件與行事曆應用程式所使用。
- POP3 - POP 電子郵件用戶端所使用。
- Reporting Web Services - 用於擷取 Exchange Online 中的報告資料。
- 此選項包括使用不支援新式驗證的基本/舊版驗證通訊協定的用戶端。
- Exchange ActiveSync 用戶端
這些條件通常用來:
- 需要受控裝置
- 封鎖舊式驗證
- 封鎖 Web 應用程式,但允許行動或傳統型應用程式
支援的瀏覽器
此設定適用於所有瀏覽器。 不過,為了滿足像是符合裝置需求規範等的裝置原則,支援下列作業系統和瀏覽器。 此清單未顯示沒有主要支援的作業系統和瀏覽器:
| 作業系統 | 瀏覽器 |
|---|---|
| Windows 10 + | Microsoft Edge、Chrome 和 Firefox 91 + |
| Windows Server 2022 | Microsoft Edge, Chrome |
| Windows Server 2019 | Microsoft Edge, Chrome |
| iOS | Microsoft Edge、Safari (請參閱注意事項) |
| Android | Microsoft Edge, Chrome |
| macOS | Microsoft Edge, Chrome, Safari |
| Linux 桌面 | Microsoft Edge |
這些瀏覽器支援裝置驗證,因此可以根據原則來識別和驗證裝置。 如果瀏覽器在私人模式中執行或是 Cookie 停用,裝置檢查將會失敗。
注意
Edge 85 + 要求使用者必須登入瀏覽器,才能正確地傳遞裝置身分識別。 否則,其行為就像沒有 Microsoft 單一登入延伸模組的 Chrome。 此登入可能不會自動出現在混合式裝置加入案例中。
受控裝置上的裝置型條件式存取支援 Safari,但無法滿足 [需要已核准的用戶端應用程式] 或 [需要應用程式保護原則] 條件。 受管理的瀏覽器 (例如 Microsoft Edge) 可符合核准的用戶端應用程式和應用程式保護原則需求。 在具有第三方 MDM 解決方案的 iOS 上,只有 Microsoft Edge 瀏覽器才支援裝置原則。
Firefox 91+ 支援裝置型條件式存取,但需要啟用 [允許 Microsoft、公司和學校帳戶的 Windows 單一登入]。
裝置型條件式存取支援 Chrome 111+,但需要啟用 "CloudApAuthEnabled"。
使用企業 SSO 外掛程式的 macOS 裝置需要 Microsoft 單一登入延伸功能,以支援 Google Chrome 中的 SSO 和裝置型條件式存取。
為什麼我在瀏覽器中看到憑證提示
在 Windows 7 上,會使用用戶端憑證來識別 iOS、Android 和 macOS 裝置。 註冊裝置時,會佈建此憑證。 當使用者第一次透過瀏覽器登入時,系統會提示使用者選取憑證。 使用者必須選取此憑證,才能使用瀏覽器。
Chrome 支援
Windows
針對 Windows 10 Creators Update (1703 版) 或更新版本的 Chrome 支援,請安裝 Microsoft 單一登入延伸模組,或啟用 Chrome 的 CloudAPAuthEnabled。 條件式存取原則需要特定 Windows 平台的裝置特定詳細資料時,需要這些設定。
若要在 Chrome 中自動啟用 CloudAPAuthEnabled 原則,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome - 名稱:
CloudAPAuthEnabled - 值:
0x00000001 - PropertyType:
DWORD
若要自動將 Microsoft 單一登入延伸模組部署至 Chrome 瀏覽器,請在 Chrome 中使用 ExtensionInstallForcelist 原則來建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist - 名稱:
1 - 類型:
REG_SZ (String)(英文) - 資料:
ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx
如需 Windows 8.1 和 7 中的 Chrome 支援,請建立下列登錄機碼:
- 路徑:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls - 名稱:
1 - 類型:
REG_SZ (String)(英文) - 資料:
{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS
使用企業 SSO 外掛程式的 macOS 裝置需要 Microsoft 單一登入延伸功能,以支援 Google Chrome 中的 SSO 和裝置型條件式存取。
如需 Google Chrome 和延伸模組管理的 MDM 型部署,請參閱在 Mac 和 ExtensionInstallForcelist 上設定 Chrome 瀏覽器。
支援的行動裝置應用程式和桌面用戶端
系統管理員可以選取 [行動應用程式和桌面用戶端] 作為用戶端應用程式。
此設定會影響從下列行動應用程式和桌面用戶端進行的存取嘗試:
| 用戶端應用程式 | 目標服務 | 平台 |
|---|---|---|
| Dynamics CRM 應用程式 | Dynamics CRM | Windows 10、Windows 8.1、iOS 和 Android |
| [電子郵件]/[行事曆]/[人員] 應用程式、Outlook 2016、Outlook 2013 (使用新式驗證) | Exchange Online | Windows 10 |
| 應用程式的 MFA 和位置原則。 不支援裝置型原則。 | 任何 My Apps 應用程式服務 | Android 及 iOS |
| Microsoft Teams Services - 此用戶端應用程式會控制支援 Microsoft Teams 及其所有用戶端應用程式的所有服務 - Windows 桌面、iOS、Android、Windows Phone 和 Web 用戶端 | Microsoft Teams | Windows 10、Windows 8.1、Windows 7、iOS、Android 及 macOS |
| Office 2016 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint | Windows 8.1、Windows 7 |
| Office 2016 應用程式、通用 Office 應用程式、Office 2013 (具備新式驗證)、OneDrive 同步處理用戶端 | SharePoint Online | Windows 10 |
| Office 2016 (僅限 Word、Excel、PowerPoint、OneNote)。 | SharePoint | macOS |
| Office 2019 | SharePoint | Windows 10,macOS |
| Office 行動應用程式 | SharePoint | Android、iOS |
| Office Yammer 應用程式 | Yammer | Windows 10、iOS、Android |
| Outlook 2019 | SharePoint | Windows 10,macOS |
| Outlook 2016 (macOS 版 Office) | Exchange Online | macOS |
| Outlook 2016、Outlook 2013 (已啟用新式驗證)、商務用 Skype (採用新式驗證) | Exchange Online | Windows 8.1、Windows 7 |
| Outlook 行動應用程式 | Exchange Online | Android、iOS |
| Power BI 應用程式 | Power BI 服務 | Windows 10、Windows 8.1、Windows 7、Android 和 iOS |
| 商務用 Skype | Exchange Online | Android、iOS |
| Azure DevOps Services (之前稱為 Visual Studio Team Services 或 VSTS) 應用程式 | Azure DevOps Services (之前稱為 Visual Studio Team Services 或 VSTS) | Windows 10、Windows 8.1、Windows 7、iOS 和 Android |
Exchange ActiveSync 用戶端
- 系統管理員只能在將原則指派給使用者或群組時選取 Exchange ActiveSync 用戶端。 選取 [所有使用者]、[所有來賓和外部使用者] 或 [目錄角色] 會讓所有使用者都成為原則的主體。
- 系統管理員建立指派給 Exchange ActiveSync 用戶端的原則時,Exchange Online 應該是唯一指派給原則的雲端應用程式。
- 系統管理員可以使用 [裝置平台] 條件,以將此原則的範圍縮小為特定平台。
如果指派給原則的存取控制使用 [需要核准的用戶端應用程式],則會將使用者導向安裝和使用 Outlook 行動用戶端。 在需要「多重要素驗證」、「使用規定」或「自訂控制項」的情況下,會封鎖受影響的使用者,因為基本驗證不支援這些控制項。
如需詳細資訊,請參閱下列文章:
其他用戶端
藉由選取 [其他用戶端],您可以指定會影響搭配使用基本驗證和郵件通訊協定 (如 IMAP、MAPI、POP、SMTP) 之應用程式的條件,這些條件也會影響不是使用新式驗證的舊版 Office 應用程式。
裝置狀態 (已取代)
此條件已予以取代。 客戶應該在條件式存取原則中使用 [裝置的篩選] 條件,以來滿足先前使用裝置狀態條件所達成的案例。
重要
裝置狀態和裝置篩選無法在條件式存取原則中搭配使用。 裝置篩選條件提供更精細的目標鎖定,包括透過 trustType 和 isCompliant 屬性鎖定裝置狀態資訊的支援。
裝置的篩選
系統管理員將裝置的篩選設定為條件時,可以根據在裝置屬性上使用規則運算式的篩選來選擇包括還是排除裝置。 您可以使用規則產生器或規則語法來撰寫裝置篩選條件的規則運算式。 這項體驗類似用於群組的組動態成員資格群組規則。 如需詳細資訊,請參閱條件式存取:裝置的篩選一文。
驗證流程 (預覽)
驗證流程可控制組織如何使用特定驗證和授權通訊協定與授與。 這些流程可能會為可能缺少共用裝置或數位看板這類本機輸入裝置的裝置提供順暢的體驗。 使用此控制項來設定傳輸方法,例如裝置程式碼流程或驗證傳輸。