條件式存取：會話

在條件式存取原則中，系統管理員可以利用工作階段控制項，在特定的雲端應用程式中啟用有限的體驗。

應用程式強制的限制

組織可以使用此控制，要求 Microsoft Entra ID 將裝置資訊傳遞給選取的雲端應用程式。 這些裝置資訊可以協助雲端應用程式了解，連線是來自合規的裝置，或是來自加入網域的裝置，然後據以更新工作階段的體驗。 選定之後，雲端應用程式就能使用裝置資訊，為使用者提供有限度或完整的體驗。 對於未受管理或不符合規範的裝置，只能提供有限的體驗；而在受管理且符合規範的裝置上，則可提供完整的體驗。

如需所支援應用程式的清單以及如何設定原則，請參閱下列文章：

• Microsoft 365 的閒置工作階段逾時。
• 啟用 SharePoint Online 的有限存取
• 啟用 Exchange Online 的有限存取

條件式存取應用程式控制

條件式存取應用程式控制使用反向 Proxy 架構，並且獨特地與 Microsoft Entra 條件式存取整合。 Microsoft Entra 條件式存取可讓您根據特定條件，對貴組織的應用程式強制執行存取控制。 這些條件會定義要將條件式存取原則套用到哪些使用者或使用者群組、哪些雲端應用程式，以及哪些地點及網路環境。 確定條件後，您可以將使用者路由至 Microsoft Defender for Cloud Apps，在那裡，您可以運用條件式存取應用控制來套用存取和會話控制，以保護您的資料。

條件式存取應用程式控制讓您可以根據存取和工作階段原則，即時監視並控制使用者應用程式存取和工作階段。 Microsoft Defender for Cloud Apps 入口網站使用存取和工作階段原則細化篩選條件，並設定要執行的動作。 使用存取和工作階段原則，即可：

• 防止資料外流：您可以針對非受控裝置等項目，封鎖下載、剪下、複製和列印敏感性文件的功能。
• 下載時保護：除了封鎖敏感性文件的下載，您也可以要求文件使用 Azure 資訊保護來標記和保護文件。 此動作可確保文件受到保護，並限制潛在風險工作階段中的使用者存取。
• 防止上傳未標示的檔案：上傳、散發和使用敏感性檔案之前，請務必確定檔案具有正確的標籤和保護。 如此可確保在使用者分類內容前，包含敏感性內容的未標記檔案都無法上傳。
• 監視使用者工作階段的合規性 (預覽) ：當具風險的使用者登入應用程式時，除會加以監視之外，還會記錄其在工作階段中的動作。 您可以研究並分析使用者行為，以瞭解未來在什麼條件和何處應套用會話政策。
• 封鎖存取 (預覽) ：您可以依據幾個風險因素，進一步封鎖特定應用程式和使用者的存取。 例如，您可以封鎖使用用戶端憑證作為裝置管理方式的對象。
• 封鎖自訂活動：有些應用程式的特殊案例會帶有風險，例如，在應用程式 (例如 Microsoft Teams 或 Slack) 中傳送具有敏感性內容的訊息。 在這類案例中，您可以掃描郵件中是否有敏感性內容，並即時將其封鎖。

如需詳細資訊，請參閱為為精選應用程式部署條件式存取應用程式控制一文。

登入頻率

登入頻率定義使用者嘗試存取資源時，收到重新登入要求之前的時間週期。 管理員可以選取一段時間 (幾小時或幾天)，或選擇每次都需要重新驗證。

登入頻率設定適用於已根據標準實作 OAUTH2 或 OIDC 通訊協定的應用程式。 大部分適用於 Windows、Mac 和行動裝置的 Microsoft 原生應用程式 (含下列 Web 應用程式)，都是採用此設定。

• Word、Excel、PowerPoint Online
• OneNote Online
• Office.com
• Microsoft 365 管理入口網站
• Exchange Online
• SharePoint 和 OneDrive
• Teams 網頁用戶端
• Dynamics CRM Online
• Azure 入口網站

如需詳細資訊，請參閱使用條件式存取設定驗證工作階段管理一文。

持續性瀏覽器工作階段

持續性瀏覽器工作階段可讓使用者在關閉其瀏覽器視窗後重新開啟時，保持登入狀態。

如需詳細資訊，請參閱使用條件式存取設定驗證工作階段管理一文。

自訂持續性存取評估

自動啟用持續性存取評估作為組織條件式存取原則的一部分。 針對想要停用持續性存取評估的組織，此設定現在已是條件式存取中工作階段控制項內的一個選項。 連續存取評估原則的範圍可以設定為所有使用者或特定使用者和群組。 系統管理員在建立新原則或編輯現有的條件式存取原則時，可以選取下列選項。

• 停用 僅在選取 所有資源（原為「所有雲端應用程式」）、未選取任何條件，且在條件式存取原則中的 會話 下選取 停用 並自定義持續存取評估 時有效。 您可以選擇停用所有使用者，或是特定使用者和群組。

停用韌性預設值

在中斷期間，Microsoft Entra ID 會在強制執行條件式存取原則的同時，延續對現有工作階段的存取權限。

若停用復原預設值，現有的工作階段一旦過期，系統將拒絕存取。 如需詳細資訊，請參閱條件式存取：復原預設值一文。

需要登入會話的令牌保護 (預覽)

權杖保護 (業界中有時稱為權杖綁定) 嘗試透過確保權杖只能在目標裝置上使用，來減少使用權杖竊取的攻擊。 攻擊者能夠透過劫持或重新執行來竊取權杖時，即可冒充受害者，直到權杖到期或撤銷為止。 權杖竊取被認為是一個相對罕見的事件，但其造成的損害可能相當巨大。

預覽僅適用於特定案例。 如需詳細資訊，請參閱條件式存取：權杖保護 (預覽) 一文。

使用全域安全存取設定

搭配安全性配置檔案與條件存取，可以在 Microsoft 的安全性服務邊界 (SSE) 產品 (Microsoft Entra 網際網路存取) 中將身分識別控制與網路安全性統一。 選取此工作階段控制項可讓您將身分識別和上下文感知功能引入安全性設定檔，而這些設定檔是透過全域安全存取運用各種原則所組成和管理的分組。

相關內容

• 條件式存取一般原則
• 報告專用模式