使用條件式存取原則封鎖驗證流程
下列步驟可協助建立條件式存取原則,以限制組織內使用裝置程式碼流程和驗證傳輸的方式。
裝置程式碼流程原則
注意
為了增強安全性態勢,Microsoft 建議盡可能封鎖或限制裝置程式碼流程。
您應該一律從在報告專用模式中設定原則開始,以判斷對您組織的潛在影響。
我們建議組織盡可能對裝置程式碼流程進行單方面封鎖。 組織應考慮建立原則來稽核目前使用中的裝置程式碼流程,並判斷它是否仍有必要。
對於尚未使用裝置程式碼流程的組織,可以使用下列條件式存取原則來完成封鎖:
- 以至少 條件式存取管理員 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至保護>條件式存取>原則。
- 選擇新增政策。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取您想要納入原則範圍的使用者 (建議選取 [所有使用者])。
- 在 [排除] 底下:
- 選取 使用者和群組,然後選擇貴組織的緊急存取帳戶或破磚帳戶,以及此排除清單中應定期被稽核的任何其他必要使用者。
- 在 目標資源>資源(先前稱為雲端應用程式)>包含 下,選取您想要納入此原則範圍的應用程式(建議使用所有資源(先前稱為「所有雲端應用程式」))。
- 在 [條件]>[驗證流程] 底下,將 [設定] 設定為 [是]。
- 選取 [裝置程式碼流程]。
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取]。
- 選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
驗證傳輸原則
使用條件式存取中的 驗證流程 條件來管理此功能。 如果您不想讓使用者將驗證從計算機傳輸至行動裝置,您可能想要封鎖 驗證傳輸。 例如,如果您不允許特定群組在個人裝置上使用 Outlook。 可以使用下列條件式存取原則來封鎖驗證傳輸:
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 請選擇建立新政策。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者] 或您想要封鎖驗證傳輸的使用者群組。
- 在 排除 底下:
- 選取 [使用者和群組 ],然後選擇貴組織的緊急存取權或中斷帳戶,以及應定期稽核此排除清單的任何其他必要使用者。
- 在 [目標資源(先前稱為雲端應用程式)包含] 下,選取 [所有資源](先前稱為所有雲端應用程式)或您想要封鎖以進行驗證傳輸的應用程式。
- 在 [條件]>[驗證流程] 底下,將 [設定] 設定為 [是]
- 選取 驗證傳輸。
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取]。
- 選取選擇。
- 確認設定,並將 [啟用原則] 設定為 [啟用]。
- 選取 [建立] 以建立並啟用您的原則。