条件访问模板提供一种便捷的方法来部署符合 Microsoft 建议的新策略。 这些模板旨在提供与常用于各种客户类型和位置的策略相符的最大保护。
模板类别
条件访问策略模板分为以下类别:
Microsoft 建议所有组织基于这些策略进行操作。 将这些策略作为一个组进行部署。
在 Microsoft Entra 管理中心>Entra ID>条件访问>从模板中创建新策略来查找这些模板。 选择“ 显示更多 ”以查看每个类别中的所有策略模板。
重要
条件访问模板策略仅排除从模板创建策略的用户。 如果你的组织需要排除其他帐户,请在创建策略后对其进行修改。 可以在 Microsoft Entra 管理中心>Entra ID>条件访问>策略中找到这些策略。 选择一个策略以打开编辑器,然后修改排除的用户和组以选择要排除的帐户。
默认情况下,每个策略都是在仅报告模式下创建的。 我们建议组织测试和监视使用情况,以确保在启用每个策略之前的预期结果。
组织可以选择单个策略模板,并:
- 查看策略设置的摘要。
- 编辑,根据组织需求进行自定义。
- 导出 JSON 定义以用于编程工作流。
- 可使用“上传策略文件”选项来编辑这些 JSON 定义,然后将它们导入到主要条件访问策略页上。
其他常用策略
排除用户
条件访问策略是功能强大的工具。 建议从策略中排除以下帐户:
- 紧急访问或不受限帐户,用于防止因策略错误配置导致的锁定。 在所有管理员被锁定的可能性不大的情况下,紧急访问管理帐户可用于登录和恢复访问权限。
-
服务帐户和服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是未绑定到任何特定用户的非交互帐户。 它们通常由后端服务用来允许以编程方式访问应用程序,但它们也用于登录系统以实现管理目的。 由服务主体发出的调用不受范围限定为用户的条件访问策略阻止。 对工作负荷标识使用条件访问来定义面向服务主体的策略。
- 如果你的组织在脚本或代码中使用这些帐户,请将这些帐户替换为 托管标识。