条件访问模板(预览版)
条件访问模板提供一种便捷的方法来部署符合 Microsoft 建议的新策略。 这些模板旨在提供与常用于各种客户类型和位置的策略相符的最大保护。
有 14 个条件访问策略模板,按五种不同的方案筛选:
- 安全基础
- 零信任
- 远程工作
- 保护管理员
- 新兴威胁
- 全部
在“Azure 门户”>“Azure Active Directory”>“安全”>“条件访问”>“从模板新建策略(预览版)”中找到模板。 选择“显示更多”以查看每个方案中的所有策略模板。
重要
条件访问模板策略只会排除从模板创建策略的用户。 如果组织需要排除其他帐户,则可以在创建这些帐户后修改策略。 只需导航到“Azure 门户”>“Azure Active Directory”>“安全”>“条件访问”>“策略”,选择策略以打开编辑器,然后修改排除的用户和组以选择要排除的帐户。
默认情况下,每个策略都是在仅报告模式下创建的,我们建议组织在启用每个策略之前测试并监视使用情况,以确保达到预期效果。
组织可以选择单个策略模板,并:
- 查看策略设置的摘要。
- 编辑,根据组织需求进行自定义。
- 导出 JSON 定义以用于编程工作流。
- 可以使用“导入策略文件”选项编辑这些 JSON 定义,然后将其导入到主条件访问策略页上。
条件访问模板策略
* 同时配置这四个策略可以提供安全默认值所实现的类似功能。
- 阻止未知或不支持的设备平台进行访问
- 无持久性浏览器会话
- 需要已批准的客户端应用或应用保护
- 对所有用户要求使用合规或已建立混合 Azure AD 联接的设备或进行多重身份验证
- 需要对来宾访问进行多重身份验证
- 对非管理的设备使用应用程序强制实施的限制
其他常用策略
排除用户
条件访问策略是强大的工具,建议从策略中排除以下帐户:
- 紧急访问帐户或不受限帐户,用于防止租户范围的帐户锁定 。 在极少数情况下,所有管理员都被锁定在租户外,紧急访问管理帐户可用于登录租户,以采取措施来恢复访问。
- 有关详细信息,可参阅管理 Azure AD 中的紧急访问帐户一文。
- 服务帐户和服务主体,例如 Azure AD Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 应该排除这样的服务帐户,因为无法以编程方式完成 MFA。 条件访问不会阻止由服务主体进行的调用。
- 如果组织在脚本或代码中使用这些帐户,请考虑将其替换为托管标识。 作为临时解决方法,可以从基线策略中排除这些特定的帐户。