在条件访问策略中,管理员可以利用会话控制在特定的云应用程序中启用受限体验。
应用程序强制实施的限制
组织可以使用此控制要求 Microsoft Entra ID 将设备信息传递给所选云应用。 借助设备信息,云应用可了解连接是否来自合规或已加入域的设备,并更新会话体验。 选择后,云应用会使用设备信息为用户提供有限或完整的体验。 当设备不受管理或不合规时,提供有限的体验;当设备受管理且合规时,提供完整的体验。
有关受支持应用程序的列表以及如何配置策略,请参阅以下文章:
条件访问应用程序控制
条件访问应用控制使用反向代理体系结构,并以独特的方式与 Microsoft Entra 条件访问相集成。 使用 Microsoft Entra 条件访问可以根据某些条件在组织的应用中强制实施访问控制。 这些条件定义了条件访问策略适用哪些用户或用户组、云应用、位置和网络。 确定条件后,可将用户路由到 Microsoft Defender for Cloud Apps,你可在其中通过应用访问和会话控制,使用条件访问应用控制来保护数据。
借助条件访问应用控制,可以根据访问和会话策略实时监视与控制用户应用访问和会话。 访问和会话策略在 Defender for Cloud Apps 门户中用于优化筛选器并设置要采取的操作。
可以使用 Microsoft Defender for Cloud Apps 强制实施此控制,管理员可以 为精选应用部署条件访问应用控制 , 并使用 Microsoft Defender for Cloud Apps 会话策略。
对于 Microsoft Edge for Business,可以使用 Purview 数据丢失防护Microsoft强制实施此控制,管理员 可帮助防止用户与 Edge for Business 中的 Cloud Apps 共享敏感信息。 这些策略中包含的应用需要条件访问应用控制 自定义 设置。
登录频率
登录频率定义在用户尝试访问资源时,要求用户重新登录之前所要经过的时限。 管理员可以选择一个时间段(几小时或几天)或选择每次都需要重新身份验证。
登录频率设置适用于根据标准实现了 OAUTH2 或 OIDC 协议的应用。 大多数适用于 Windows、Mac 和移动设备的 Microsoft 原生应用(包括以下 Web 应用程序)都配置有该设置。
- Word、Excel、PowerPoint Online
- OneNote 在线
- Office.com
- Microsoft 365 管理门户
- Exchange 在线版
- SharePoint 和 OneDrive
- Teams Web 客户端
- Dynamics CRM 在线
- Azure 门户
有关详细信息,请参阅文章使用条件访问配置身份验证会话管理。
持久性浏览器会话
持久性浏览器会话可让用户在关闭再重新打开其浏览器窗口后保持登录状态。
有关详细信息,请参阅文章使用条件访问配置身份验证会话管理。
自定义连续访问评估
连续访问评估作为组织条件访问策略的一部分自动启用。 对于希望禁用连续访问评估的组织,此配置现在是条件访问中会话控制中的一个选项。 连续访问评估策略可适用于所有用户或特定用户和组。 管理员可以在创建新策略或编辑现有条件访问策略时做出以下选择。
- 只有在选择了“所有资源(之前的‘所有云应用’)”,不选择任何条件,并在条件访问策略中的“会话”“自定义连续访问评估”下选择了“禁用”时,才可实现禁用>。 你可以选择禁用所有用户或特定用户和组。
禁用复原默认设置
在中断期间,Microsoft Entra ID 将扩展对现有会话的访问权限,同时强制执行条件访问策略。
如果复原能力默认值被禁用,一旦现有会话过期,访问将被拒绝。 有关详细信息,请参阅条件访问:复原能力默认值一文。
需要对登录会话使用令牌保护
令牌保护(在行业中有时称为令牌绑定)尝试通过确保只能从预期设备使用令牌来减少使用窃取的令牌进行的攻击。 当攻击者能够通过劫持或重播来窃取令牌时,他们可以在令牌过期或吊销之前模拟其受害者。 令牌失窃被认为是一个相对罕见的事件,但由此造成的损害可能是巨大的。 有关详细信息,请参阅“ 条件访问:令牌保护”一文。