条件访问：会话

项目
03/08/2024

在条件访问策略中，管理员可以利用会话控制在特定的云应用程序中启用受限体验。

Conditional Access policy with a grant control requiring multifactor authentication

应用程序强制实施的限制

组织可以使用此控制要求 Microsoft Entra ID 将设备信息传递给所选云应用。借助设备信息，云应用可了解连接是否来自合规或已加入域的设备，并更新会话体验。选择后，云应用会使用设备信息为用户提供有限或完整的体验。当设备不受管理或不合规时，提供有限的体验；当设备受管理且合规时，提供完整的体验。

如需了解受支持的应用程序列表以及如何配置策略，请参阅 Microsoft 365 的空闲会话超时一文。

条件访问应用程序控制

条件访问应用控制使用反向代理体系结构，并以独特的方式与 Microsoft Entra 条件访问相集成。使用 Microsoft Entra 条件访问可以根据某些条件在组织的应用中强制实施访问控制。这些条件定义了条件访问策略适用哪些用户或用户组、云应用、位置和网络。确定条件后，可将用户路由到 Microsoft Defender for Cloud Apps，你可在其中通过应用访问和会话控制，使用条件访问应用控制来保护数据。

借助条件访问应用控制，可以根据访问和会话策略实时监视与控制用户应用访问和会话。访问和会话策略在 Defender for Cloud Apps 门户中用于优化筛选器并设置要采取的操作。使用访问和会话策略可以：

防止数据外泄：例如，可以在非托管设备上阻止敏感文档的下载、剪切、复制和打印。
在下载时提供保护：如果不阻止敏感文档的下载，可以要求为文档添加标签并通过 Azure 信息保护进行保护。此操作可确保文档受到保护，并在有潜在风险的会话中限制用户访问。
阻止上传不带标签的文件：在上传、分发和使用敏感文件之前，必须确保文件带有适当的标签并受保护。在用户对内容进行分类之前，可以确保阻止上传包含敏感内容的不带标签的文件。
监视用户会话的合规性（预览）：风险用户在登录到应用后会受到监视，并且会从会话内部记录他们的操作。可以调查和分析用户的行为，以了解将来应在何处、在何种条件下应用会话策略。
阻止访问（预览）：可根据多种风险因素以不同的粒度阻止特定应用和用户的访问。例如，如果它们使用客户端证书作为设备管理的一种形式，则可以阻止它们。
阻止自定义活动：某些应用的独特使用场景会带来风险，例如，在 Microsoft Teams 或 Slack 等应用中发送包含敏感内容的消息。在此类场景中，可以扫描消息中的敏感内容并实时阻止。

有关详细信息，请参阅为特色应用部署条件访问应用控制一文。

登录频率定义在用户尝试访问资源时，要求用户重新登录之前所要经过的时限。管理员可以选择一个时间段（几小时或几天）或选择每次都需要重新身份验证。

登录频率设置适用于根据标准实现了 OAUTH2 或 OIDC 协议的应用。大多数适用于 Windows、Mac 和移动设备的 Microsoft 原生应用（包括以下 Web 应用程序）都配置有该设置。