實施 [條件式存取] 原則

  • 10 分鐘

條件式存取是 Microsoft Entra ID 的一項功能,可讓系統管理員根據特定條件來控制可以存取組織資源的人員。 這些條件可能包括使用者的身分識別、裝置、位置、網路、應用程式和風險層級。 條件式存取原則可協助保護組織免於未經授權或有風險的存取,同時為使用者提供順暢的體驗。

Microsoft 365 會使用條件式存取原則來評估每次登入嘗試,並根據原則設定套用適當的存取控制。 例如,原則可能會要求使用者在從公司網路外部登入時,執行多重要素驗證,或封鎖從非受控裝置存取特定應用程式。 條件式存取原則也可以使用 Microsoft Entra ID Protection 服務,其可根據機器學習和行為分析來偵測並回應登入風險。

您可以自訂條件式存取原則,以符合不同組織的需求和安全性需求。 例如,中小型企業可能會建立下列條件式存取原則:

  • 要求所有使用者在首次登入後的 14 天內註冊多重要素驗證的原則。 此原則可為所有使用者啟用第二個驗證要素,以協助改善組織的安全性態勢。
  • 此原則會封鎖從不符合組織裝置管理原則的裝置存取 SharePoint Online 和 OneDrive。 此原則可協助防止來自不安全或非處於最新狀態的裝置的資料外洩。
  • 僅從 Outlook 應用程式授與 Exchange Online 存取權,而且需要應用程式保護原則之原則。 此原則可協助保護組織的電子郵件資料,避免未經授權或惡意的應用程式。

最簡單的條件式存取原則是 if-then 陳述式。 如果使用者想要存取資源,則必須完成動作。 例如,假設薪資管理員想要存取公司的薪資應用程式。 該管理員必須先開啟多重要素驗證,才能存取該應用程式。

系統管理員有兩個主要目標: 讓使用者不論在何位置或時間都能具有生產力,以及保護其組織的資產。 藉由使用條件式存取原則,您可以在需要時套用正確的存取控制,以確保貴組織的安全,並在不需要時,遠離使用者。

條件式存取也會將其功能擴充至 Microsoft 365 服務。 例如,組織可以搭配 Microsoft Intune 合規性原則使用條件式存取。 此組合可以控制連結到您電子郵件和公司資源的裝置和應用程式。 整合之後,您便可以取得存取權以保護公司資料的安全。 此設計可讓使用者體驗從任何裝置和任何位置執行最佳工作。

注意事項

條件式存取是需要 Microsoft Entra 進階版 P1 授權的 Microsoft Entra ID 功能。 若要尋找適合您需求的授權,請參閱 比較 Microsoft Entra ID 的一般可用功能。 具有 Microsoft 365 商務進階版授權 的客戶,也可以存取條件式存取功能。

透過 Microsoft Entra ID 條件式存取會彙整所有訊號,以做出決策並強制執行組織原則。 Intune 會藉由將行動裝置合規性和行動裝置應用程式管理資料新增至解決方案,以增強這項功能。 常見的訊號包括:

  • 使用者或群組成員資格。
  • IP 位置資訊。
  • 裝置詳細資料,包括裝置合規性或設定狀態。
  • 應用程式詳細資料,包括需要使用受控應用程式來存取公司資料。
  • 當您也使用行動威脅防禦合作夥伴時,可進行即時和計算的風險偵測。

圖表顯示條件式存取原則將存取控制套用至安全的應用程式和資料的方式。

重要事項

系統會在完成第一個要素驗證之後,強制執行條件式存取原則。 Microsoft 365 無意讓條件式存取成為組織抵禦拒絕服務 (DoS) 攻擊等案例的防禦前線。 不過,它可以使用來自這些事件的訊號來判斷存取權。

與適用於端點的 Microsoft Defender和 Microsoft Intune 整合的條件式存取

當裝置超過其組織所設定的威脅層級時,Microsoft Entra ID 中的條件式存取服務可能會封鎖其對公司資源的存取權,例如 SharePoint Online 或 Exchange Online。 此服務會強制執行 Microsoft 365 和其他 Microsoft 雲端服務的條件式存取原則。 當適用於端點的 Microsoft Defender 認為裝置不符合規範時,條件式存取服務會收到通知,並可採取動作來封鎖對該裝置的公司資源的存取權。

總結:

  • 適用於端點的 Microsoft Defender 提供威脅情報和風險評估資料,而條件式存取服務會使用這些資料來判斷裝置是否符合規範。
  • Microsoft Intune 會將合規性原則部署到裝置,並確保它們符合所需的安全性標準。
  • Microsoft Entra ID 中的條件式存取服務會封鎖超過組織所設定之威脅層級的裝置。

條件式存取可與 Intune 裝置設定和合規性原則,以及 Intune 應用程式保護原則搭配使用。

  • 裝置型條件式存取。 Intune 和 Microsoft Entra ID 可一起合作,以確保只有受控且符合規範的裝置可以存取電子郵件、Microsoft 365 服務、軟體即服務 (SaaS) 應用程式,以及內部部署應用程式。 您也可以在 Microsoft Entra ID 中設定原則,以僅啟用已加入網域的電腦或在 Intune 中註冊的行動裝置,存取 Microsoft 365 服務。 這些原則包含:

    • 以網路存取控制為基礎的條件式存取
    • 根據裝置風險的條件式存取
    • Windows 電腦的條件式存取 (公司擁有的和自備裝置 (BYOD))
    • 內部部署 Exchange Server 的條件式存取

    如需詳細資訊,請參閱 Intune 的裝置型條件式存取

  • 應用程式型條件式存取。 Intune 和 Microsoft Entra ID 可一起合作,以確保只有受控應用程式可以存取公司電子郵件或其他 Microsoft 365 服務。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取

常見訊號

條件式存取在做出原則決策時可考慮的常見信號包括:

  • 使用者或群組成員資格

    • 條件式存取可以將原則設為針對特定使用者和群組。 此設計可讓系統管理員對存取權具有詳細控制。

  • IP 位置資訊

    • 組織可以建立受信任的 IP 位址範圍,條件式存取可在進行決策時使用該範圍。
    • 系統管理員可以指定要封鎖或允許流量的整個國家/地區 IP 範圍。

  • 裝置

    • 條件式存取可以針對具有特定平臺裝置或標示為特定狀態的使用者,強制執行原則。
    • 使用裝置的篩選條件,將原則設為針對特定裝置,例如特殊權限存取工作站。

  • 應用程式

    • 嘗試存取特定應用程式的使用者可以觸發不同的條件式存取原則。

  • 即時和計算的風險偵測

    • 與 Microsoft Entra Identity Protection 整合的訊號可讓條件式存取原則識別有風險的登入行為。 然後,原則可以強制使用者變更其密碼、執行多重要素驗證,以降低其風險等級或封鎖存取權,直到系統管理員採取手動動作為止。

  • Microsoft Defender for Cloud Apps

    • 即時監視和控制使用者應用程式存取權和工作階段。 此功能可提高對雲端環境內所執行之存取權和活動的可見度和控制。

常見的決策

條件式存取原則內建的常見決策包括:

  • 封鎖存取權

    • 限制最嚴格的決策

  • 授予存取權

    • 限制最不嚴格的決策。 其仍然需要下列一或多個選項:

      • 需要多重要素驗證。
      • 要求裝置標示為符合規範。
      • 要求裝置為混合式 Microsoft Entra 聯結。
      • 需要核准的用戶端應用程式。

常見的條件式存取原則

許多組織都有條件式存取原則可以協助解決的常見存取問題。 這些常見的條件式存取原則包括:

  • 具有系統管理角色的使用者需要多重要素驗證。
  • Azure 管理工作需要多重要素驗證。
  • 封鎖嘗試使用舊版驗證通訊協定的使用者登入。
  • 所有使用者都需要 Microsoft Entra 多重要素驗證。
  • 需要 Microsoft Entra 多重要素驗證以進行 Azure 管理。
  • 需要 Microsoft Entra 多重要素驗證,以進行有風險的登入。
  • 需要針對有風險的使用者變更密碼。
  • 需要符合規範或混合式聯結裝置。
  • 需要特定應用程式的組織管理的裝置。
  • 需要核准的應用程式或應用程式保護原則。
  • 封鎖或授與來自特定位置的存取權。
  • 封鎖有風險的登入行為。

建立條件式存取原則

完成下列步驟,以根據裝置合規性建立條件式存取原則:

  1. 您必須從瀏覽至 Microsoft Intune 系統管理中心 開始。 若要執行此動作,請在 Microsoft 365 系統管理中心,選取功能窗格的 [顯示全部]。 在 [系統管理中心] 群組下,選取 [端點管理員]

  2. Microsoft Intune 系統管理中心,選取左側瀏覽窗格中的 [端點安全性]

  3. [端點安全性 | 概觀] 頁面,在中間窗格中的 [管理] 區段下,選取 [條件式存取]。

  4. [條件式存取 | 原則] 頁面上,選取功能表列上的 [+新增原則]

  5. [新增] 頁面上,輸入原則 [名稱]。 然後定義與原則相關聯的 [指派][存取控制]。 例如:

    • [指派] 區段底下:

      • [使用者] 底下,系統管理員可以納入使用者、群組或工作負載身分識別指派作為決策流程中中的一個訊號。 可以在條件式存取原則中包含或排除這些身分識別。 下列為可用的選項:

        • 所有使用者

        • 選取使用者和群組

          • 來賓或外部使用者
          • 目錄角色
          • 使用者和群組

      • [目標資源] 底下,系統管理員可以將控制項指派給特定的應用程式、服務、動作或驗證內容。 系統管理員可以:

        • 從包含內建 Microsoft 應用程式和任意 Microsoft Entra 整合式應用程式 的應用程式或服務清單中選擇,包括資源庫、非資源庫,以及透過 應用程式 Proxy 發佈的應用程式。 例如,Windows Azure 服務管理 API 套件會將數個 Azure 工具群組分成一個群組,例如 Azure 入口網站、Azure PowerShell、Azure CLI、Visual Studio Code 擴充功能、REST API 和用戶端 SDK。
        • 選擇在使用者動作上定義原則,像是註冊安全性資訊或註冊或加入裝置,而不是在雲端應用程式上定義。 這麼做可讓條件式存取強制執行有關這些動作的控制項。
        • 鎖定來自全球安全存取的 流量轉送設定檔,以獲得增強的功能。
        • 使用 [驗證內容] 以在應用程式中提供額外的安全性層級。

      • [網路] 底下,系統管理員可以鎖定特定的網路位置做為訊號。 他們可以包含或排除這些位置做為其原則設定的一部分。 這些網路可能包括公用 IPv4 或 IPv6 網路資訊、國家/地區、未對應至特定國家/地區的未知區域,或 全球安全存取的符合規範網路。 當使用者離開公司網路時,組織可能會使用這些位置來要求使用者在存取服務時進行多重要素驗證。 或者,他們可以使用位置封鎖來自其組織從未在其中運作之國家/地區的存取。 使用者的位置是使用其公用 IP 位址或由 Microsoft Authenticator 應用程式提供的 GPS 座標來找到。 條件式存取原則預設會套用至所有位置。 當您設定位置條件時,您可以從中區別:

        • 任何網路或位置。 根據預設,選取 [任何位置] 會導致原則套用至所有 IP 位址,這是代表在網際網路上的位址。 此設定不限於您設定為具名位置的 IP 位址。 當您選取 [任何位置] 時,仍然可以從原則中排除特定位置。 例如,您可以將原則套用至信任位置以外的所有位置,以將範圍設定為公司網路以外的所有位置。

        • 全部的信任網路和位置。 如果已設定,此選項會套用至全部已標示為信任位置的位置和多重要素驗證信任的 IP。

        • 多重要素驗證信任的 IP。 不再建議使用信任的 IP 選取項目或多重要素驗證服務設定。 此控制項只接受 IPv4 位址,且僅適用於 設定 Microsoft Entra 多重要素驗證設定 一文中所涵蓋的特定案例。 如果您已設定這些信任 IP,則它們會在位置條件的位置清單中顯示為 MFA 信任 IP。

        • 所有符合規範的網路位置。 具有全球安全存取預覽功能存取權的組織會列出另一個位置,而該位置是由符合貴組織安全性原則的使用者和裝置所組成。 如需詳細資訊,請參閱 啟用條件式存取的全球安全存取訊號 一節。 它可以與條件式存取原則搭配使用,執行符合規範的網路檢查以存取資源。

        • 選取的網路和位置。 使用此選項,您可以選取一或多個具名位置。 針對要套用含此設定的原則,使用者必須從任何選取位置中進行連線。 當您選擇 [選取] 時,您會看到已定義位置的清單。 針對每個位置,此清單會顯示位置的名稱、類型,以及網路位置是否標示為信任。 位置會在 [保護] >[條件式存取] > [具名位置] 底下的 Microsoft Entra 系統管理中心中進行定義及留存。 具名位置可以包括像是組織總部網路範圍、VPN 網路範圍或您想要封鎖的範圍等位置。 具名位置包含 IPv4 位址範圍、IPv6 位址範圍或國家/地區。

          • IP 範圍。 使用公用 IPv4 或 IPv6 位址範圍定義具名位置時,必須提供位置的名稱和至少一個公用 IP 範圍。 如有需要,您可以將位置標示為信任的位置。 假設您的公司總部位於法國巴黎,而您想要將此辦公室標示為信任的位置,並將其從條件式存取原則中排除。 在此案例中,最適合的 [具名位置] 選項是 IP 範圍,因為它可讓您指定巴黎辦公室所使用的確切網路範圍。 因此,只有這些範圍內的裝置可辨識為受信任。 不過,請記住,此 IP 範圍選項會有某些限制。

            • 最多可以建立 195 個具名位置,而且每個具名位置不能包含超過 2000 個 IP 範圍。
            • 當您指定 IP 範圍時,只允許大於 /8的 CIDR 遮罩。
            • 對於私人網路中的裝置,您應使用網路用來連線至公用網際網路的 IP 位址,例如 198.51.100.3。 您不應在內部網路上使用使用者的裝置 IP 位址,例如 10.55.99.3。

          • 信任位置。 系統管理員可以將IP型位置指定為受信任的位置,例如其組織的公用網路範圍。 不過,一旦系統管理員將位置標示為信任位置,在撤銷信任狀態之前,他們無法移除該位置。 「信任的位置」指定在各種功能中扮演著重要角色。 例如:

            • 條件式存取原則可以設定為包含或排除信任的位置。
            • 從信任的具名位置登入時,會增強 Microsoft Entra ID Protection 所執行的風險計算精確度。

          • 國家/地區。 組織可以透過使用 IP 位址或 GPS 座標來確定地理國家/地區位置。 請記住,如果您想要鎖定特定城市或位置中的辦公室,則 IP 範圍 選項會比 國家/地區 選項更適用。 為何如此? 請考慮先前想要從條件式存取原則中排除法國巴黎公司總部的範例。 在此範例中,使用 [國家/地區] 選項會信任所有來自法國的登入,而不僅是巴黎辦公室。 下列功能適用於此選項:

            • 若要根據國家/地區建立具名位置,請務必提供位置的名稱。
            • 接著,您必須決定是否要依 IP 位址或 GPS 座標來定義國家/地區。 一旦做出決定,您就可以將一或多個國家/地區新增至具名位置。
            • 如有需要,您也可以包含未知的國家/地區。 部分 IP 位址不會對應至特定的國家/地區。 若要擷取這些 IP 位置,請在定義地理位置時選取 包含未知的國家/地區 選項。 此選項可讓您選擇這些 IP 位址是否應該包含在具名位置中。

      • [條件] 底下,系統管理員可以使用一或多個訊號來增強其原則決定。 您可以合併多個條件,建立更精細和特定的條件式存取原則。 當使用者存取機密應用程式時,系統管理員可能會將多個條件納入其存取決定中的因素,例如:

        • ID Protection 中的登入風險資訊
        • 網路位置
        • 裝置資訊

    • [存取控制] 區段底下:

      • [授予] 底下,系統管理員可以使用存取控制來授予或封鎖資源的存取權。

      • [工作階段] 底下,系統管理員可以使用工作階段控制項,在特定雲端應用程式內啟用限定的體驗。 可使用的控制項包括:

        • 應用程式強制執行限制。 組織可以使用此控制項來要求 Microsoft Entra ID 將裝置資訊傳遞至選取的雲端應用程式。 裝置資訊可讓雲端應用程式知道連線是否來自相容或已加入網域的裝置,並更新工作階段體驗。

        • 條件式存取應用程式控制項。 條件式存取應用程控制項可讓您根據特定條件,在組織的應用程式上強制執行存取控制。 這些條件會定義條件式存取原則所套用的使用者或使用者群組、雲端應用程式,以及位置和網路。 決定條件之後,您可以將使用者路由至 Microsoft Defender for Cloud Apps,在其中您可以藉由套用存取和工作階段控制,使用條件式存取應用程式控制來保護資料。 條件式存取應用程式控制可根據存取和工作階段原則,啟用即時監視和控制使用者應用程式存取和工作階段。 Defender for Cloud Apps 入口網站內會使用存取和工作階段原則來精簡篩選條件,並設定要採取的動作。

        • 登入頻率。 登入頻率會定義使用者在嘗試存取資源時,要求使用者重新登入之前的時間週期。 系統管理員可以選取一段時間 (小時或天) 或選擇每次都要求重新驗證。 登入頻率 設定適用於根據標準的執行 OAUTH2 或 OIDC 通訊協定應用程式。 大多數的 Windows、Mac 和行動裝置適用的 Microsoft 原生應用程式,包括下列應用程式,都遵循此設定:

          • Word、Excel、PowerPoint Online
          • OneNote Online
          • Office.com
          • Microsoft 365 系統管理入口網站
          • Exchange Online
          • SharePoint 和 OneDrive
          • Teams Web 用戶端
          • Dynamics CRM Online
          • Azure 入口網站

        • 持續性瀏覽器工作階段。 持續性瀏覽器工作階段可讓使用者在關閉並重新開啟瀏覽器視窗之後繼續登入。

        • 自訂連續存取評估持續存取評估 會自動啟用為組織條件式存取原則的一部分。 對於想要停用持續存取評估的組織,此設定現在是條件式存取內的工作階段控制項選項。 持續存取評估原則的範圍可以限定於所有使用者或特定的使用者和群組。

        • 停用復原預設值。 在中斷期間,Microsoft Entra ID 會在強制執行條件式存取原則時,延伸現有的工作階段存取權。 如果停用復原預設值,當現有的工作階段過期時,存取權就會遭到拒絕。

        • 需要登入工作階段的權杖保護 (預覽)。 權杖保護 (有時稱為產業中的權杖綁定) 會透過確保權杖只能從預期的裝置使用,嘗試使用權杖竊取來減少攻擊。 當攻擊者能夠藉由劫持或重新執行來竊取權杖時,他們可以假冒受害者,直到權杖過期或遭到撤銷。 權杖竊取是相當少見的事件,但其所造成的損害可能相當嚴重。

        • 需有全球安全存取安全性設定檔 (預覽)。 使用安全性設定檔搭配條件式存取,可將身分識別控制與 Microsoft 安全性服務邊緣 (SSE) 產品 (Microsoft Entra 網際網路存取)中的網路安全性整合。 選取此工作階段控制項可讓您將身分識別和內容感知帶入安全性設定檔,這是在全球安全存取中建立及管理的各種原則分組。

    • [啟用原則] 區段底下,您可以選取下列其中一個選項:

      • 僅限報告。 僅限報告模式可讓系統管理員在環境中啟用條件式存取原則之前,先評估其影響。

        • 條件式存取原則可在僅限報告模式中評估,但「使用者動作」範圍中所包含的項目除外。
        • 在登入期間,系統會評估僅限報告模式的原則,但不會強制執行。
        • 結果會記錄在 登入記錄 詳細資料的 條件式存取僅限報告 索引標籤中。
        • 具有 Azure 監視器訂閱的客戶可以使用條件式存取深入解析活頁簿來監視其條件式存取原則的影響。

      • [開啟]。 已啟用原則。

      • [關閉]選項。 未啟用此原則。

  6. 完成檢閱並驗證詳細資料後,選取 [建立]。 新的原則應該會出現在條件式存取原則清單中。 如果未立即出現,請選取功能表列上的 [重新整理] 選項。

條件式存取驗證強度

驗證強度是一種條件式存取控制項,可以指定用於存取資源的驗證方式組合。 使用者可以使用任何允許的組合進行驗證,以滿足強度需求。 例如,驗證強度可能需要僅使用防止網路釣魚功能的驗證方法來存取機密資源。 若要存取非機密的資源,系統管理員可以建立另一個驗證強度,以允許較不安全的多重要素驗證 (MFA) 組合,例如密碼 + 簡訊。

驗證強度是以驗證方法原則為依據,其中系統管理員可以針對要跨 Microsoft Entra ID 同盟應用程式使用的特定使用者和群組,設定驗證方法的範圍。 驗證強度可讓您根據像是機密資源存取、使用者風險、位置等特定案例,進一步控制這些方法的使用方式。

驗證強度可協助客戶解決下列案例:

  • 需要特定的驗證方法才能存取機密資源。
  • 要求使用者在應用程式內採取敏感性動作時 (結合條件式存取驗證內容),使用特定的驗證方法。
  • 要求使用者在公司網路外部存取敏感性應用程式時,使用特定的驗證方法。
  • 要求高風險的使用者使用更安全的驗證方法。
  • 要求存取資源租用戶 (結合跨租用戶設定) 的來賓使用者使用特定的驗證方法。

系統管理員可以透過使用 要求驗證強度 控制項建立條件式存取原則,指定存取資源的驗證強度。 他們可以從三個內建驗證強度中選擇:

  • 多重要素驗證強度。 MFA 要求使用者在存取資源之前,提供兩種或多種形式的驗證。 它會透過結合不同的要素來增強安全性 (例如,使用者知道的事項、使用者擁有的事項,或使用者的身分)。

    • 使用案例。 此選項適用於需要強大安全性的案例,例如存取敏感性資料或重要應用程式。
    • 範例方法。 密碼 + 簡訊、智慧型卡片 + PIN 碼、生物特徵辨識 + PIN 碼。

  • 無密碼 MFA 強度。 無密碼 MFA 不需要使用傳統密碼。 使用者會使用替代方法進行驗證,例如生物特徵辨識或安全性金鑰。

    • 使用案例。 藉由移除對密碼的依賴來增強便利性和安全性。
    • 範例方法。 FIDO2 安全性金鑰,Windows Hello 生物特徵辨識。

  • 防止網路釣魚功能 MFA 強度。 此強度著重於防止網路釣魚攻擊。 它鼓勵使用較不容易遭受網路釣魚嘗試的方法。

    • 使用案例。 防範因網路釣魚導致的認證竊取。
    • 範例方法。 FIDO2 安全性金鑰 (可抵禦網路釣魚)、Windows Hello 生物特徵辨識

您也可以根據您想要允許的驗證方法組合,建立自訂驗證強度。

顯示條件式存取原則的 [授予] 窗格螢幕擷取畫面。

內建驗證強度

內建驗證強度是 Microsoft 預先定義的驗證方法組合。 內建驗證強度一律可以使用,且無法修改。 Microsoft 會隨著新方法的推出,更新內建的驗證強度。

下圖列出每個內建驗證強度的驗證方法組合。 這些組合包括使用者必須註冊的方法,以及在驗證方法原則或舊版 MFA 設定原則中啟用的方法。

顯示每個內建驗證強度的驗證方法組合圖表。

如何在登入期間評估驗證強度原則

驗證強度條件式存取原則會定義可以使用的方法。 Microsoft Entra ID 會在登入期間檢查原則,以決定使用者對資源的存取權。 例如,系統管理員會設定具有自訂驗證強度的條件式存取原則,其需要密碼 (FIDO2 安全性金鑰) 或密碼 + 簡訊。 使用者存取受此原則保護的資源。

在登入期間,會檢查所有設定以決定下列因素:

  • 允許的方法。
  • 已註冊的方法。
  • 條件式存取原則所需的方法。

若要登入,方法必須是:

  • 允許
  • 由使用者註冊 (在存取要求之前或作為存取要求一部分)
  • 滿足驗證強度

當多個條件式存取原則用於登入時,必須符合所有原則中的全部條件。 同樣地,當多個條件式存取驗證強度原則套用至登入時,使用者必須滿足所有的驗證強度條件。 舉例來說,如果兩個不同的驗證強度原則同時需要密碼 (FIDO2),則使用者可以使用 FIDO2 安全性金鑰來滿足這兩個原則。 如果兩個驗證強度原則具備不同的方法組合,使用者必須使用多個方法來滿足這兩個原則。

下列因素會決定使用者是否可以存取資源:

  • 先前使用的驗證方法是哪一種?
  • 哪些方法可供驗證強度使用?
  • 在驗證方法原則中允許使用者登入的方法有哪些?
  • 使用者是否已註冊任何可使用的方法?

當使用者存取受驗證強度條件式存取原則保護的資源時,Microsoft Entra ID 會評估他們先前使用的方法是否滿足驗證強度。 如果使用了可滿足強度的方法,Microsoft Entra ID 會授予資源的存取權。 例如,假設使用者使用密碼 + 簡訊登入。 他們會存取受 MFA 驗證強度保護的資源。 在此情況下,使用者可以存取資源,而不需要其他的驗證提示。

假設他們接下來會存取受防止網路釣魚功能的 MFA 驗證強度保護的資源。 此時,系統會提示他們提供防止網路釣魚功能的驗證方法,例如 Windows Hello 企業版。

如果使用者未註冊任何可滿足驗證強度的方法,系統會將他們重新導向至 合併註冊。 使用者只需要註冊一個可滿足驗證強度要求的驗證方法。 如果驗證強度不包含使用者可以註冊和使用的方法,則會禁止使用者登入資源。

知識檢查

為以下每個問題選擇最佳的答案。

檢定您的知識

1.

Contoso 想要實作條件式存取原則。 條件式存取可讓 Contoso 在授與內容存取權之前,先要求符合特定準則,以保護公司的規範內容。 Contoso 必須完成哪些必要條件,才能實作條件式存取原則?