共用方式為

使用條件式存取原則保護安全性信息註冊

  • 發行項

使用條件式存取原則中的使用者動作,保護使用者何時及如何註冊 Microsoft Entra 多重要素驗證和自助式密碼重設。 此功能適用於啟用合併註冊的組織。 這項功能可讓組織將註冊程序視為條件式存取原則中的任何應用程式,並使用條件式存取的完整功能來保護體驗。 登入 Microsoft Authenticator 應用程式或啟用無密碼電話登入的使用者受限於此原則。

過去有些組織可能已使用信任的網路位置或裝置合規性,作為保護註冊體驗的措施。 透過在 Microsoft Entra ID 中新增臨時存取密碼,系統管理員可以為其使用者提供有時間限制的認證,讓他們可以從任何裝置或位置進行註冊。 臨時存取密碼認證滿足多重要素驗證的條件式存取需求。

使用者排除

條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:

  • 緊急存取中斷帳戶 ,以防止因為原則設定錯誤而導致鎖定。 在不太可能的情況下,所有系統管理員都遭到鎖定,您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 服務帳戶 和服務 主體,例如Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別

範本部署

組織可以選擇使用下面所述的步驟,或使用條件式存取範本來部署此原則。

建立安全註冊的原則

下列原則會套用至選取的使用者,這些使用者嘗試使用合併的註冊體驗進行註冊。 此原則要求使用者必須位於受信任的網路位置、執行多重要素驗證,或使用臨時存取密碼認證。

警告

如果您使用 外部驗證方法,這些方法目前與驗證強度不相容,您應該使用 [需要多重要素驗證 授與控制]。

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護] > [條件式存取] > [原則]
  3. 選取 [新增原則]
  4. 在 [名稱] 中,輸入此原則的名稱。 例如,使用 TAP 的合併安全性資訊註冊
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]

    1. 在 [包含] 下,選取 [所有使用者]

      警告

      使用者必須能使用合併註冊

    2. 在 [排除] 底下。

      1. 選取 [所有來賓與外部使用者]

        注意

        臨時存取密碼不適用於來賓使用者。

      2. 選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。

  6. 在 [目標資源]>[使用者動作]下,檢查 [註冊安全性資訊]
  7. 在 [條件]>[位置] 底下。
    1. 將 [設定] 設定為 [是]
      1. 包含 [任何位置]
      2. 排除 [所有信任的位置]
  8. 在 [存取控制]>[授與] 下,選取 [授與存取權]
    1. 選取 [需要驗證強度],然後從清單中選取適當的內建或自定義驗證強度。
    2. 選取選取
  9. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  10. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]

系統管理員現在必須將臨時存取密碼認證核發給新的使用者,讓他們可以滿足使用多重要素驗證進行註冊的需求。 若要完成這項工作,請參閱在 Microsoft Entra 系統管理中心建立臨時存取密碼 一節中的步驟。

組織可能會選擇要求其他授與控制項,或取代步驟 8a 的需要多重要素驗證。 選取多個控制項時,請務必選取適當的選項按鈕切換,以在進行此變更時,要求全部其中一個選取的控制項。

來賓使用者註冊

如果來賓使用者需要在您的目錄中註冊多重要素驗證,您可以選擇使用下列指南來封鎖從受信任的網路位置外部進行的註冊。

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護] > [條件式存取] > [原則]
  3. 選取 [新增原則]
  4. 在 [名稱] 中,輸入此原則的名稱。 例如,受信任網路上的合併安全性資訊註冊
  5. 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]
    1. 在 [包含] 底下,選取 [所有來賓和外部使用者]
  6. 在 [目標資源]>[使用者動作]下,檢查 [註冊安全性資訊]
  7. 在 [條件]>[位置] 底下。
    1. 設定 [是]
    2. 包含 [任何位置]
    3. 排除 [所有信任的位置]
  8. 在 [存取控制]>[授與] 底下。
    1. 選取 [封鎖存取]
    2. 然後選擇選取
  9. 確認您的設定,並將 [啟用原則] 設為 [報告專用]
  10. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]

相關內容