常用条件访问策略
安全默认值适用于某些组织,但是许多组织需要的灵活性超出了这些策略能提供的灵活性。 许多组织需要从条件访问策略中排除特定的帐户,例如紧急访问帐户或救急式的管理帐户。 可以根据组织的需求自定义本文中提到的策略。
条件访问模板(预览版)
条件访问模板旨在提供一种便捷的方法来部署符合 Microsoft 建议的新策略。 这些模板旨在提供与常用于各种客户类型和位置的策略相符的最大保护。
有 14 个策略模板已拆分为要分配给用户标识或设备的策略。 在“Azure 门户”“Azure Active Directory”“安全性”“条件访问”“从模板创建新策略”中找到模板。
重要
条件访问模板策略只会排除从模板创建策略的用户。 如果你的组织需要排除其他帐户,请打开策略并修改排除的用户和组,以包含这些用户和组。
默认情况下,每个策略都是在仅报告模式下创建的,我们建议组织在启用每个策略之前测试并监视使用情况,以确保达到预期效果。
- 标识
- 要求对管理员进行多重身份验证
- 阻止旧式身份验证
- 要求对所有用户进行多重身份验证
- 要求进行来宾访问时执行多重身份验证
- Azure 管理需要多重身份验证
- 设备
- 要求管理员的设备合规或已加入混合 Azure AD
- 阻止未知或不支持的设备平台进行访问
- 无持久性浏览器会话
- 需要已批准的客户端应用或应用保护
- 要求所有用户使用合规或已加入混合 Azure AD 的设备或执行多重身份验证
- 对非管理的设备使用应用程序强制实施的限制
* 这四个策略一起配置时,可提供由安全默认值启用的类似功能。
不愿意让 Microsoft 创建这些策略的组织可以通过复制“查看策略摘要”中的设置来手动创建这些策略,或者使用链接的文章自行创建策略。
其他策略
紧急访问帐户
在以下文章中可以找到有关紧急访问帐户及其为何重要的详细信息: