使用條件式存取原則封鎖驗證流程

下列步驟可協助建立條件式存取原則，以限制組織內使用裝置程式碼流程和驗證傳輸的方式。

裝置程式碼流程原則

注意

為了增強安全性態勢，Microsoft 建議盡可能封鎖或限制裝置程式碼流程。

您應該一律從在報告專用模式中設定原則開始，以判斷對您組織的潛在影響。

我們建議組織盡可能對裝置程式碼流程進行單方面封鎖。 組織應考慮建立原則來稽核目前使用中的裝置程式碼流程，並判斷它是否仍有必要。

對於尚未使用裝置程式碼流程的組織，可以使用下列條件式存取原則來完成封鎖：

1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護] > [條件式存取] > [原則]。
3. 選取 [新增原則]。
4. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 底下，選取您想要納入原則範圍的使用者 (建議選取 [所有使用者])。
   2. 在 [排除] 底下：
      1. 選取 [使用者和群組 ]，然後選擇貴組織的緊急存取權或中斷帳戶，以及應定期稽核此排除清單的任何其他必要使用者。
5. 在 [目標資源資源>（先前稱為雲端應用程式）>包含] 下，選取您想要納入原則範圍的應用程式（先前稱為「所有雲端應用程式」建議使用）。
6. 在 [條件]>[驗證流程] 底下，將 [設定] 設定為 [是]。
   1. 選取 [裝置程式碼流程]。
   2. 選取完成。
7. 在 [存取控制]>[授與] 下，選取 [封鎖存取]。
   1. 選取選取。
8. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
9. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

驗證傳輸原則

控制驗證傳輸的功能處於預覽狀態，請使用條件式存取中的驗證流程條件來管理此功能。 如果您不想讓使用者將驗證從他們的個人電腦傳輸至行動裝置，您可能要封鎖驗證傳輸。 例如，如果您不允許特定群組在個人裝置上使用 Outlook。 可以使用下列條件式存取原則來封鎖驗證傳輸：

1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [保護]>[條件式存取]。
3. 選取 [建立新原則]。
4. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者] 或您想要封鎖驗證傳輸的使用者群組。
   2. 在 [排除] 底下：
      1. 選取 [使用者和群組 ]，然後選擇貴組織的緊急存取權或中斷帳戶，以及應定期稽核此排除清單的任何其他必要使用者。
5. 在 [目標資源資源>（先前稱為雲端應用程式）>包含] 下，選取 [所有資源]（先前稱為[所有雲端應用程式] 或您想要封鎖以進行驗證傳輸的應用程式。
6. 在 [條件]>[驗證流程] 底下，將 [設定] 設定為 [是]
   1. 選取 [驗證傳輸] 。
   2. 選取完成。
7. 在 [存取控制]>[授與] 下，選取 [封鎖存取]。
   1. 選取選取。
8. 確認設定，並將 [啟用原則] 設定為 [啟用]。
9. 選取 [建立] 以建立並啟用您的原則。

相關內容

• 條件式存取驗證流程
• 條件式存取驗證傳輸
• 條件式存取：條件