描述條件式存取

  • 6 分鐘

條件式存取是 Microsoft Entra ID 的功能,可在允許已驗證的使用者存取資料或其他資產之前,提供額外一層的安全性。 條件式存取是透過在 Microsoft Entra 識別碼中建立和管理的原則來實作。 條件式存取原則會分析訊號,包括使用者、位置、裝置、應用程式和風險,以自動決定對資源 (應用程式和資料) 的存取權授權。

顯示條件式存取原則流程的螢幕擷取畫面。訊號可用來決定是否允許或封鎖對應用程式和資料的存取。

條件式存取原則最簡單就是 if-then 語句。 例如,條件式存取原則可能指出,if 使用者屬於特定群組,則必須提供多重要素驗證才能登入應用程式。

重要

完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。

條件式存取原則元件

Microsoft Entra 識別碼中的條件式存取原則包含兩個元件:指派和存取控制。

顯示條件式存取原則略的兩個組成部分的螢幕擷取畫面:指派和存取控制。

作業

建立條件式存取原則時,系統管理員可以決定要透過指派使用哪些訊號。 原則的指派部分可控制條件式存取原則的使用者、內容、位置和時機。 所有指派都是經過 AND 邏輯運算。 如果您設定多個指派,則必須滿足所有指派才能觸發原則。 部分指派包括:

  • 使用者可指派原則將包含或排除的人員。 此指派可以包括目錄中的所有使用者、特定使用者和群組、目錄角色、外部來賓和工作負載身分識別。
  • 目標資源包括應用程式或服務、使用者動作、全球安全存取 (預覽版) 或驗證內容。
    • 雲端應用程式 - 系統管理員可以從包含內建 Microsoft 應用程式的應用程式或服務清單中進行選擇,包括 Microsoft Cloud 應用程式、Office 365、Windows Azure 服務管理 API、Microsoft 管理入口網站,以及任何 Microsoft Entra 註冊的應用程式。
    • 使用者動作 - 系統管理員可以選擇不基於雲端應用程式而是基於使用者動作 (例如註冊安全性資訊或註冊或加入裝置) 來定義原則,從而允許條件式存取對這些動作實施控制。
    • 全球安全存取 (預覽版) - 系統管理員可以使用條件式存取原則來保護通過全球安全存取服務的流量。 這是透過在全球安全存取中定義流量設定檔來完成的。 然後可以將條件式存取原則指派給全球安全存取流量設定檔。
    • 驗證內容 - 驗證內容可用於進一步保護應用程式中的資料和動作。 例如,存取 SharePoint 網站中特定內容的使用者可能需要透過受控裝置存取該內容,或同意特定的使用規定。
  • 網路可讓您根據使用者的網路或實體位置來控制使用者存取。 您可以包括任何網路或位置、標示為受信任網路或受信任 IP 位址範圍或具名位置的位置。 您也可以識別由符合組織安全原則的使用者和裝置所組成的相容網路。
  • 條件會定義原則套用的位置和時機。 您可以結合多個條件來建立更細緻和特定的條件式存取原則。 部分條件包括:
    • 登入風險使用者風險。 與 Microsoft Entra ID Protection 整合可讓條件式存取原則識別與目錄中使用者帳戶相關的可疑動作,並觸發原則。 登入風險是特定的登入或驗證要求未獲身分識別擁有者授權的可能性。 使用者風險是指定的身分識別或帳戶遭入侵的可能性。
    • 內部風險。 可存取 Microsoft Purview 調適型保護的系統管理員可以將來自 Microsoft Purview 的風險訊號併入條件式存取原則決策。 內部風險會考慮來自 Microsoft Purview 的資料控管、資料安全性以及風險和合規性設定。
    • 裝置平台。 裝置平台,其特性在於在裝置上執行的作業系統,可在強制執行條件式存取原則時使用。
    • 用戶端應用程式。 用戶端應用程式,使用者用來存取雲端應用程式的軟體,包括瀏覽器、行動應用程式、桌面用戶端,也可用於存取原則決策。
    • 裝置的篩選。 組織可以使用 [裝置篩選] 選項,根據裝置屬性強制執行原則。 例如,此選項可用來將原則目標設為特定裝置,例如特殊權限存取工作站。

本質上,指派部分會控制條件式存取原則的人員、內容和位置。

存取控制

套用條件式存取原則時,會決定是否封鎖存取、授與存取權、以額外驗證授與存取權,或套用工作階段控制項來啟用有限的體驗。 決策稱為條件式存取原則的存取控制部分,且會定義原則的實施方式。 常見的決策包括:

  • 封鎖存取
  • 授與存取權。 系統管理員可以授與存取權,而不需要任何其他控制權,或者可以選擇在授與存取權時強制執行一或多個控制項。 用來授與存取權的控制項範例包括要求使用者執行多重要素驗證、需要特定驗證方法來存取資源、要求裝置符合特定合規性政策需求、需要變更密碼等等。 如需完整清單,請參閱條件式存取原則中的授與控制項
  • 工作階段。 在條件式存取原則中,系統管理員可以利用工作階段控制項,在特定的雲端應用程式中啟用有限的體驗。 例如,條件式存取應用程式控制會使用來自適用於雲端的 Microsoft Defender 應用程式訊號來封鎖敏感性文件的下載、剪下、複製和列印功能,或要求標記敏感性檔案。 其他工作階段控制包括登入頻率和應用程式強制執行的限制,其會針對選取的應用程式,使用裝置資訊來提供使用者有限或完整的體驗 (視裝置狀態而定)。 如需完整清單,請參閱條件式存取原則中的工作階段控制項

總而言之,指派部分會控制條件式存取原則的人員、內容和位置,而存取控制部分則會控制原則的實施方式。