設定 Microsoft Teams 的條件式存取和多重要素驗證
當使用者使用其裝置連接到您的 Teams 系統時,他們可能會因為該裝置上存在的應用程式和設定,而不小心引入安全性漏洞。 要避免這類漏洞的其中一個方法是設定可測試裝置和使用者的原則,然後根據結果決定其存取層級。 您可以使用 Microsoft Teams 中的條件式存取來實作這類方法。
條件式存取
條件式存取是 Azure Active Directory 的安全性功能。 條件式存取使用多個訊號來判斷使用者或裝置是否值得信任。 您可以使用條件式存取原則來判斷某個項目值得信賴的程度。
條件式存取原則是 if-then 陳述式,可讓安全性專業人員提供深度防禦,並且會在完成第一要素驗證之後強制執行。 在 Azure Active Directory 條件式存取原則中,以個別雲端應用程式的形式支援 Microsoft Teams。
條件式存取原則的組成為 指派 和 存取控制 的 if-then 陳述式。 此原則的指派部分會控制條件式存取原則的對象、內容及位置。 此原則的存取部分會控制其強制執行方式。 根據指派,它可以 授與存取、封鎖存取 或是在符合一或多個 額外條件 的情況下授與存取。
多重要素驗證
多重要素驗證 (MFA) 是指在登入期間,提示使用者採取另外一種身分識別的過程。 可能會要求使用者在手機上輸入代碼或掃描指紋。 MFA 大幅減少使用者帳戶遭到入侵的機會。 要求所有使用者採用 MFA 將大幅改善組織的身分識別安全性。
條件式存取原則強制執行
您可以為 Teams 設定條件式存取原則。 不過,Teams 已與其他 Microsoft 應用程式整合,以實作會議、日曆、Interop 聊天和檔案共用等功能。 您也可以為這些應用程式設定條件式存取原則。 當使用者在任何用戶端上登入 Microsoft Teams 時,會套用為 Teams 和任何整合雲端應用程式設定的條件式存取原則。 請注意,即使條件式存取可能針對 Teams 設定,若在 Exchange Online 和 SharePoint 之類的其他應用程式上沒有正確的原則,使用者仍可以直接存取資源。 如果您已設定服務相依性,則可能會使用早期繫結或晚期繫結套用原則:
早期繫結 原則強制執行表示使用者必須先滿足依存服務原則,才能存取呼叫端應用程式。 例如,使用者必須先滿足 SharePoint 原則,才能登入 Teams。
晚期繫結原則 強制執行會在使用者登入呼叫端應用程式後發生。 當呼叫端應用程式要求下游服務 (例如存取 Planner 的 Teams) 的權杖時,強制執行會延遲。
下列圖表說明 Teams 服務相依性。 實心箭頭表示早期繫結強制執行;Planner 的虛線箭號表示晚期強制執行。
設定 Teams 的多重要素驗證
以下是在根據指定條件使用 Microsoft Teams 時,為銷售部門中的使用者建立條件式存取原則的範例步驟:
以全域系統管理員的的身分登錄 Azure Active Directory 系統管理中心。
在左側窗格上,選取 [所有服務] 並搜尋 [條件式存取],然後選取 [Azure AD 條件式存取]。
在 [條件式存取 - 原則] 頁面上,選取 [+ 新增原則] > [建立新原則]。
在 [新增] 頁面上,將下列資訊插入至左側導覽功能表區段中的對應欄位:
在欄位 [名稱] 中,輸入原則的名稱,例如 [Sales_ConditionalAccess]。
在 [指派] 區段中,設定下列設定:
選取您想要套用此原則的 [使用者和群組],例如 Sales 群組。
選取您想要套用該原則的 [雲端應用程式或動作],然後從應用程式的清單中,選擇 [Microsoft Teams]。
選取您想要包含在原則中的 [條件] ,例如登入風險層級、裝置平臺、實體位置、用戶端應用程式和裝置狀態。
選擇要針對 [指派] 區段所設定之設定,部署哪一種 [存取控制] 類型。
選取 [授權] 以選擇要強制執行的控制項目,例如多重要素驗證。
如果您需要設定雲端應用程式內的有限體驗,例如應用程式強制限制,請選取 [工作階段]。
在 [啟用原則] 區段中,選取 [啟用] 原則,然後按一下 [建立]。