如“ 什么是条件访问”一文中所述,条件访问策略是 分配 和 访问控制的 if-then 语句。 条件访问策略结合了信号来做出决策并强制实施组织策略。
组织如何创建这些策略? 需要执行哪些操作? 这些策略是如何应用的?
多个条件访问策略可以随时应用于单个用户。 在这种情况下,必须满足所有适用的策略。 例如,如果一个策略需要多重身份验证,另一个策略需要兼容的设备,则你必须完成 MFA 并使用兼容的设备。 所有分配都使用 AND 以逻辑方式组合。 如果配置了多个分配,则必须满足所有分配才能触发策略。
如果选择了具有“需要其中一个控件”的策略,则会按定义的顺序显示提示。 满足策略要求后,将授予访问权限。
所有策略都是在两个阶段中强制实施的:
- 阶段 1:收集会话详细信息
- 收集会话详细信息,例如进行策略评估所需的网络位置和设备标识。
- 针对已启用的策略和仅限报告模式下的策略执行策略评估的第 1 阶段。
- 阶段 2:强制
分配
分配部分定义条件访问策略的人员、内容和位置。
用户和组
用户和组指定应用策略时包含或排除的对象。 该分配可以包括所有用户、特定的用户组、目录角色或外部来宾用户。 具有 Microsoft Entra 工作负载 ID 许可证的组织也可能针对 工作负载身份。
仅当颁发令牌时,才会评估面向角色或组的策略。 这意味着:
- 新添加到角色或组的用户在获取新令牌之前不受策略约束。
- 如果用户在添加到角色或组之前已有有效的令牌,则策略不会追溯应用。
最佳做法是使用 Microsoft Entra Privileged Identity Management 在角色激活或组成员身份激活期间触发条件访问评估。
目标资源
目标资源可以包括或排除受策略约束的云应用程序、用户操作或身份验证上下文。
网络
网络包含条件访问策略决策的 IP 地址和地理位置。 管理员可以定义位置并将某些位置标记为受信任的位置,例如其组织的主要网络位置。
条件
一个策略可以包含多个条件。
设备平台
具有多个设备操作系统平台的组织可能在不同的平台上实施特定的策略。
用于确定设备平台的信息来自未经验证的源,例如可以更改的用户代理字符串。
客户端应用
用户用于访问云应用的软件。 例如,“浏览器”以及“移动应用和桌面客户端”。 默认情况下,即使未配置客户端应用条件,所有新创建的条件访问策略也将应用于所有客户端应用类型。
设备筛选器
此控制允许基于策略中特定设备的属性来定位特定设备。
访问控制
条件访问策略的访问控制部分用于控制策略的实施方式。
授予
授予为管理员提供了一种策略强制实施方法,使他们可以阻止访问或授予访问权限。
阻止访问
阻止访问阻止在指定的分配下进行访问。 此控件非常强大,需要适当的知识才能有效使用。
授予访问权限
授权控件触发一个或多个控件的强制实施。
- 要求多重身份验证
- 要求身份验证具有一定强度
- 要求将设备标记为合规 (Intune)
- 需要 Microsoft Entra 混合联接设备
- “需要已批准的客户端应用”
- 要求应用保护策略
- 要求更改密码
- 需要使用条款
管理员选择使用以下选项要求上述控件之一或所有选定控件。 默认情况下,多个控件都需要全部。
- 需要所有已选控制(控制和控制)
- 需要某一已选控制(控制或控制)
会话
会话控制可以限制用户体验。
- 使用应用所强制实施的限制:
- 仅适用于 Exchange Online 和 SharePoint Online。
- 传递设备信息来控制体验,授予完全或有限的访问权限。
- 使用条件访问应用控制:
- 使用 Microsoft Defender for Cloud Apps 发出的信号来执行以下操作:
- 阻止下载、剪切、复制和打印敏感文档。
- 监视危险的会话行为。
- 需要标记敏感文件。
- 使用 Microsoft Defender for Cloud Apps 发出的信号来执行以下操作:
- 登录频率:
- 能够更改新式身份验证的默认登录频率。
- 持久性浏览器会话:
- 可让用户在关闭再重新打开其浏览器窗口后保持登录状态。
- 自定义连续访问评估。
- 禁用复原默认值。
简单策略
条件访问策略必须至少包括要强制执行的以下内容:
- 策略的名称
-
分配
- 要向其应用策略的用户和/或组
- 将策略应用到的目标资源
- 访问控制
- 授予或阻止控制
常见条件访问策略文章包括可能对大多数组织有用的策略。