通过

使用 Microsoft Entra 设置条件访问的使用条款

概述

Microsoft Entra使用条款策略提供一种简单方法,用于在授予对资源的访问权限之前向最终用户提供信息。 本指南介绍如何设置Microsoft Entra条件访问策略的使用条款,以要求在访问应用程序和数据之前接受使用条款策略。 这些使用条款声明可以是通用的或特定于组或用户,并以多种语言提供。 管理员可以通过提供的日志或 API 来确定已接受或未接受使用条款的人員。

注意

本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

先决条件

若要使用和配置Microsoft Entra使用条款策略,必须具备:

  • Microsoft Entra ID P1 许可证。
  • 需要读取使用条款配置和条件访问策略的管理员至少需要分配有安全读取者角色。
  • 需要创建或修改使用条款和条件访问策略的管理员至少需要被分配条件访问管理员角色
  • PDF 格式的“使用条款”文档。 PDF 文件可包含需要显示的任何内容。 若要支持移动设备上的用户,PDF 中建议的字号是 24 点。

服务限制

每个租户不能添加超过 40 个条款。

添加使用条款

完成使用条款策略文档后,请使用以下过程进行添加。

  1. 登录到 Azure 门户,并至少具有条件访问管理员的身份。

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

  3. 选择 “新建术语”。

    屏幕截图显示用于指定您的使用条款设置的新使用条款窗格。

  4. 在“名称”框中,输入使用条款策略的名称。

  5. 对于“使用条款文档”,请浏览至已最终定稿的使用条款政策 PDF,并将其选中。

  6. 选择使用条款策略文档的语言。 可以通过语言选项上传多个使用条款文档,每个文档使用不同的语言。 最终用户看到的使用条款策略版本基于其浏览器首选项。

  7. 在“显示名称”框中,输入用户登录时看到的标题。

  8. 如果要求最终用户先查看使用条款策略再接受,请将“要求用户展开使用条款策略”设置为“开启”。

  9. 如果要求最终用户在每台访问设备上接受使用条款策略,请将“要求用户在每台设备上同意”设置为“开启”。 如果启用此选项,用户可能需要安装其他应用程序。 有关详细信息,请参阅按设备实施的使用条款

  10. 如果您希望按计划使使用条款政策同意书过期,请将“同意过期”设置为“启用”。 设置为“开启”时,系统将显示其他两个计划设置。

    1. 使用“过期开始日期”和“频率”设置来指定使用条款策略过期的计划。 下表显示了几项示例设置的结果:

      过期开始日期 频率 结果
      今天的日期 每月 从今天开始,用户必须接受使用条款政策,然后每个月都要重新接受。
      将来的日期 每月 从今天开始,用户必须接受使用条款策略。 到达指定的将来日期时,同意会过期,以后用户必须每个月接受使用条款。

      例如,如果将过期开始日期设置为“1 月 1 日”,将频率设置为“每月”,则两个用户的过期计划如下例所示:

      用户 第一次接收日期 第一个过期日期 第二个过期日期 第三个过期日期
      爱丽丝 1 月 1 日 2 月 1 日 3 月 1 日 4 月 1 日
      鲍勃 1 月 15 日 2 月 1 日 3 月 1 日 4 月 1 日

    2. 使用“重新接受使用条款之前的必需时长(以天为单位)”设置来指定用户必须重新接受使用条款策略之前所要经过的天数。 此选项可让用户遵照自己的计划。 例如,如果将时长设置为 30 天,则两个用户的过期计划如下例所示

      用户 第一次接收日期 第一个过期日期 第二个过期日期 第三个过期日期
      爱丽丝 1 月 1 日 1 月 31 日 3 月 2 日 4 月 1 日
      鲍勃 1 月 15 日 2 月 14 日 3 月 16 日 4 月 15 日

      可以同时使用“过期同意”和“需要重新接受的时间(以天为单位)”设置,但通常只使用其中之一。

      重要

      当用户的同意过期时,无论使用何种设置,同意过期要求重新接受前的持续时间(天),仅在其会话过期时才会提示他们重新接受条款。

  11. 在“条件访问”下,使用“使用条件访问策略模板强制实施”列表选择用于强制实施使用条款策略的模板。

    模板 说明
    自定义策略 选择应用使用条款策略的用户、组和应用程序。
    稍后创建条件访问策略 此使用条款策略会显示在创建条件访问策略时弹出的授予控制权列表中。

    重要

    条件访问策略控制(包括使用条款策略)不支持对服务帐户强制执行。 从条件访问策略中排除所有服务帐户。

    可以使用自定义条件访问策略将使用条款策略细化,向下细化到特定云应用程序或用户组。 有关详细信息,请参阅快速入门:在访问云应用之前要求接受使用条款

  12. 选择“创建”。

    选择自定义条件访问模板后,会显示一个新的屏幕用于创建自定义的条件访问策略。 现在您应该会看到您的新使用条款。

按设备实施的使用条款

要求用户在每个设备上同意设置,使你能够要求最终用户在他们用于访问资源的每个设备上接受你的使用条款策略。 最终用户的设备必须在Microsoft Entra ID中注册。 注册设备后,使用设备 ID 在每台设备上强制实施使用条款策略。 它们的体验取决于加入设备的权限,以及使用的平台或软件。 有关详细信息,请参阅 Microsoft Entra ID 中的 设备标识

每个设备的使用条款具有以下约束:

  • 不支持Microsoft Intune注册应用Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c。 确保将其从任何需要使用条款的条件性访问策略中排除。
  • 不支持Microsoft Entra B2B 用户。
  • 未使用按设备使用条款的客户,其用户可能会在每次登录Microsoft Edge时被提示接受使用条款。 指示用户将其工作配置文件同步到其Microsoft Edge配置文件以启用单一登录,因此 Edge 配置文件显示用户已接受使用条款。

策略更改

条件访问策略会立即生效。 发生此强制操作时,管理员可能会在Microsoft Entra 管理中心中看到错误。 管理员必须注销然后重新登录才能符合新策略的要求。

重要

如果满足以下条件,则范围内的用户需要注销并重新登录才能满足新策略:

  • 针对某个使用条款策略启用了条件访问策略
  • 或者创建了第二个使用条款策略

编辑使用条款详细信息

可以编辑使用条款策略的某些详细信息,但不能修改现有文档。 以下过程介绍如何编辑详细信息。

  1. 登录到 Azure 门户,并至少具有条件访问管理员的身份。

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”。

  5. 在“编辑使用条款”窗格中,可以更改以下选项:

    • 名称 - 使用条款的内部名称,不会与最终用户共享。
    • 显示名称 - 最终用户查看使用条款时可以看到的名称。
    • 要求用户展开查看使用条款 - 将此选项设置为“开启”会强制最终用户在接受使用条款协议前先展开查看该文档。
    • 您可以更新现有的使用条款文档。
    • 可以向现有使用条款中添加语言

  6. 完成后,选择“保存”以保存更改。

如果要更改其他设置,需要创建新的使用条款策略。

更新现有使用条款的版本或 PDF

  1. 登录到 Azure 门户,并至少具有条件访问管理员的身份。

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”。

  5. 对于要更新新版本的语言,请选择操作列下的 “更新 ”。

  6. 在右侧窗格中,上传新版本的 PDF。

  7. 如果希望要求用户在下次登录时接受这一新版本,也可以使用此处的“需要重新接受”切换选项。

    • 如果你需要用户重新接受,则在用户下次尝试访问你的条件访问策略中定义的资源时,系统将提示他们接受这一新版本。
    • 如果不要求用户重新接受,则用户之前的同意将有效,并且只有尚未同意的新用户或者同意已经过期的旧用户才会看到新版本。 在会话过期前,“需要重新接受”不会要求用户接受新使用条款。 对于这种情况,如果要确保重新接受,请删除并重新创建或创建新的使用条款。

    显示“编辑使用条款”窗格的屏幕截图,其中突出显示了“重新接受”选项。

  8. 上传新 PDF 并决定重新接受后,选择窗格底部的 “添加 ”。

  9. 现在,可在“文档”列下面看到最新版本。

添加语言

以下过程介绍如何向使用条款添加语言。

  1. 登录到 Azure 门户,并至少具有条件访问管理员的身份。

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”

  5. 选择页面底部的“添加语言”。

  6. 在“添加使用条款语言”窗格中,上传已本地化的 PDF 并选择语言。

    显示所选使用条款的屏幕截图,并在详细信息窗格中显示“语言”选项卡。

  7. 选择“添加语言”。

  8. 选择“保存”

  9. 选择“添加”以添加语言。

查看之前的使用条款版本

  1. 登录到 Azure 门户,至少具有 Security Reader 的身份。
  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款
  3. 选择要查看其版本历史记录的使用条款策略。
  4. 选择“语言和版本历史记录”
  5. 选择“查看以前的版本”。
  6. 你可以选择文档名称以下载该版本。

查看谁已接受和拒绝的报告

使用条款 ”页显示接受和拒绝的用户计数。 这些计数以及谁接受或拒绝的记录会在使用条款政策的整个有效期内被存储。

  1. 登录到 Azure 门户,至少具有 Security Reader 角色。

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

    显示使用条款页面的屏幕截图,其中列出了已接受和已拒绝条款的用户数量。

  3. 对于某个使用条款策略,选择“已接受”或“已拒绝”下的数字,以查看用户的当前状态。

    1. 默认情况下,下一页将显示接受使用条款的每个用户的当前状态。
    2. 如果你想要查看以前的许可事件,你可以从“当前状态”下拉菜单中选择“全部”。 现在,你可以详细查看有关每个版本的每个用户事件,以及发生的情况。
    3. 或者,可以从“版本”下拉菜单选择特定的版本,以查看哪些用户接受了该特定版本。

  4. 若要查看单个用户的历史记录,请依次选择省略号 (...)、“查看历史记录”。 在“查看历史记录”窗格中,可以看到所有接受、拒绝和过期操作状态的历史记录。

用户验收记录删除

在下列情况下将删除用户接受记录:

  • 管理员显式删除使用条款。
    • 发生此更改时,也将删除与该特定使用条款关联的所有接受记录。
  • 租户丢失其Microsoft Entra ID P1 或 P2 许可证。
  • 删除了租户。

查看Microsoft Entra审核日志

Microsoft Entra的审核日志中记录了对Microsoft Entra使用条款策略的更改。 每个用户同意都会触发审核日志中的事件。 日志的数据保留取决于许可证。 有关详细信息,请参阅 Microsoft Entra 数据保留

若要在管理中心开始使用 Microsoft Entra 审核日志,请使用以下过程:

  1. 登录到 Azure 门户,身份至少为 报告阅读者

  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款

  3. 选择一个使用条款策略。

  4. 选择“查看审核日志”。

  5. 在“Microsoft Entra审核日志”屏幕上,可以使用所提供的列表筛选信息,以针对特定的审核日志信息。

    还可以选择“下载”,将信息下载到可以在本地使用的 .csv 文件中。

    一张截图显示了Microsoft Entra审核日志,列出日期、目标策略、由谁发起,以及活动。

    如果选择某个日志,则会出现一个窗格,其中包含更多活动详细信息。

    显示日志活动详细信息的屏幕截图,其中包括活动、活动状态、发起者、目标策略。

用户使用条款的内容与形式

创建并强制实施使用条款策略后,在登录期间,作用域中的用户将看到以下屏幕。

屏幕截图显示用户登录时显示的使用条款策略的示例。

用户可以查看使用条款策略,如有必要,可使用按钮缩放。用户只需接受使用条款政策一次,在以后登录时,他们不会再看到使用条款策略。

用户如何查看其使用条款

用户可以使用以下过程检视和查阅他们已接受的使用条款策略。

  1. 登录 https://myaccount.windowsazure.cn/
  2. 选择“设置和隐私”
  3. 选择“隐私”。
  4. 在“组织的通知”下,选择要查看的使用条款声明旁边的“查看” 。

删除使用条款

可以通过以下过程删除旧的使用条款策略。

  1. 登录到 Azure 门户,并至少具有条件访问管理员的身份。
  2. 浏览到 Microsoft Entra ID>安全>条件访问>使用条款
  3. 选择要删除的使用条款策略。
  4. 选择“删除条款”。
  5. 在出现的询问是否需要继续的消息中,选择“是”。
    1. 你将不再看到你的使用条款政策。

平台和浏览器支持

Microsoft Entra使用条款旨在以最佳方式在以下平台和浏览器上运行。

支持的桌面和移动作系统(最新稳定版本):

  • Windows
  • macOS
  • Linux
  • Android
  • iOS

支持的新式 Web 浏览器(最新稳定版本):

  • Microsoft Edge
  • Mozilla Firefox
  • 谷歌浏览器
  • Safari

其他配置的功能

以前未列出的作系统或浏览器上的用户,或者那些使用旧版受支持作系统或浏览器的用户,在登录过程中仍可以接受使用条款。 某些功能、视觉呈现或性能可能会在不受支持的配置上降级。 未显式列为支持的操作系统和浏览器,例如基于旧引擎(如 EdgeHTML 和 Trident/MSHTML)的浏览器,不会主动测试或支持。

具有 Web 视图的桌面和移动应用程序

基于最新稳定版本的现代 HTML5 兼容浏览器引擎(如 Blink、Gecko 或 WebKit)利用 Web 视图的应用程序通常允许用户在登录期间接受使用条款。 不过,可能会发生某些功能、视觉呈现或性能下降。 并非所有特定的 Web 视图实现都受到主动测试或支持。

报告问题

如果在应用程序中接受特定作系统、浏览器、浏览器引擎或 Web 视图实现上的使用条款时遇到问题,请提出支持案例。 可支持性按案例评估。

B2B 客户

使用条件访问和使用条款策略,可以直接对 B2B 来宾用户强制实施策略。 在邀请兑换流程中,用户会看到使用条款策略。

仅当用户在Microsoft Entra ID中具有来宾帐户时,才会显示使用条款策略。 SharePoint Online 当前具有外部共享收件人体验,可用于共享文档或文件夹,而不需要用户拥有来宾帐户。 在这种情况下,将不会显示使用条款政策。

Azure 信息保护

可以为 Azure 信息保护 应用配置条件访问策略,并要求在用户访问受保护文档时使用条款政策。 此配置在用户首次访问受保护的文档之前触发使用条款策略。

Microsoft Intune注册

可以为 Microsoft Intune 注册应用配置条件访问策略,并要求在 Intune 中注册设备之前接受使用条款策略。 有关详细信息,请参阅为组织博客文章选择合适的条款解决方案

注意

Intune 注册应用不支持每个设备使用条款

对于 iOS/iPadOS 自动设备注册,将自定义 URL 添加到Microsoft Entra使用条款策略不允许用户从设置助手中的 URL 打开策略以读取该策略。 从公司门户网站或公司门户应用中完成设置助手后,用户可以读取该策略。

常见问题解答

问:为什么我的用户会遇到两次登录? 一次中断,一次成功。
答:当用户尚未接受使用条款策略时,管理员可能会看到两次登录,此方案是设计时就包含的。 这些条目共享一个相关 ID。

屏幕截图显示应用使用条款时登录日志中失败和成功的示例。

由于用户无法在其令牌中提供接受使用条款的证明,因此有一次登录中断。 登录日志中的“其他详细信息”字段包含以下消息:

用户还需要满足其他要求才能完成身份验证,于是被重定向到另一页(例如使用条款或第三方 MFA 提供程序)。 该代码本身并不表示您的用户登录不成功。 身份验证日志可能表明此验证挑战已成功通过或失败。

如果用户接受使用条款策略,则另一次登录会成功。

问:启用了使用条款时,我无法使用 PowerShell 登录。
答:只能在交互身份验证时接受使用条款。

问:如何查看用户何时/是否接受了使用条款?
答:在“使用条款”页上,选择 “已接受”下的号码。 还可以在Microsoft Entra审核日志中查看或搜索接受的活动。 有关详细信息,请参阅有关接受与拒绝情况的报告以及查看 Microsoft Entra 审核日志

问:信息的存储时间为多长?
答:使用条款报告中用户的计数以及接受或拒绝使用条款的记录会在使用条款有效期内存储。 Microsoft Entra 审核日志会存储 30 天。

Q:为什么在使用条款详细信息概述和Microsoft Entra审核日志中看到不同数量的同意?
答:将存储使用条款详细信息概述数据,时长为使用条款策略生存期。 Microsoft Entra审核日志的存储时间为 30 天。

问:为什么我在使用条款详细信息概述与导出的 CSV 报表中看到的同意数量不同?
答:使用条款详细信息概述反映了当前版本策略的聚合验收情况(每天更新一次)。 如果启用了过期功能或更新了使用条款协议(需要重新验收),详细信息中的计数会被重置,因为这些验收已过期,此页面显示的是当前版本的计数。 CSV 报表中仍会捕获所有验收历史记录。

问:如果超链接位于使用条款策略 PDF 文档中,最终用户能否选择它们?
答:是的,最终用户可以选择指向其他页面的超链接,但不支持指向文档内各节的链接。 此外,从 Microsoft Entra 我的应用/MyAccount 门户访问时,使用条款策略 PDF 中的超链接不起作用。

问:使用条款策略是否支持多种语言?
答:是的。 管理员可以上传多个 PDF 文档,并使用相应的语言标记这些文档。 最终用户登录时,使用条款功能会检查其浏览器语言首选项并显示匹配的文档。 如果没有匹配项,将显示默认文档(即上传的第一个文档)。 使用 Web 帐户管理器(如 Microsoft Teams)Windows桌面应用程序将使用操作系统语言作为术语,而不是特定于应用程序的语言设置。

问:什么时候会触发使用条款策略?
答:一项使用条款政策会在登录期间触发。

问:我可以将哪些应用程序作为使用条款策略的目标?
答:可以使用新式验证对企业应用程序创建条件访问策略。 有关详细信息,请参阅企业应用程序

问:是否可以向给定用户或应用添加多个使用条款策略?
答:可以,方法是创建多个以这些组或应用程序为目标的条件访问策略。 如果用户处于多个使用条款策略的范围内,他们必须一次接受一个策略。

问:用户拒绝使用条款策略后会发生什么?
答:将阻止此用户访问该应用程序。 用户需要重新登录并接受条款才能获取访问权限。

问:是否可以取消接受以前接受的使用条款策略?
答:可以查看以前接受的使用条款策略,但目前没有办法取消接受。

问:如果我还使用 Intune 条款和条件,会发生什么情况?
答:如果同时配置Microsoft Entra使用条款和 Intune 条款和条件,则需要用户接受这两者。 有关详细信息,请参阅为组织博客文章选择合适的条款解决方案

问:使用条款服务使用哪些终结点进行身份验证?
答:使用条款利用以下终结点进行身份验证:https://tokenprovider.termsofuse.identitygovernance.azure.comhttps://myaccount.windowsazure.cnhttps://account.activedirectory.windowsazure.cn。 如果您的组织有用于注册的 URL 允许列表,则需要将这些终结点及 Microsoft Entra 登录终结点添加到允许列表中。

问:用户报告在每次登录Microsoft Edge时都需要接受使用条款。 这是什么原因?
答:当用户使用工作帐户登录其 Edge 个人资料时,Edge 会获取主刷新令牌(PRT),以实现单一登录。 此 PRT 允许身份验证系统识别用户及其先前已接受的使用条款。

如果不登录到 Edge 用户配置,则每次身份验证可能不会带有合适的会话上下文,这会导致 Microsoft Entra 将其视为新会话,并要求重新接受使用条款。 用户应将其工作配置文件与其 Edge 配置文件同步,以建立其标识,以便 Edge 记住他们接受使用条款。

相关内容

  • Last updated on