条件访问策略模板

条件访问模板提供一种便捷的方法来部署符合 Microsoft 建议的新策略。 这些模板旨在提供与常用于各种客户类型和位置的策略相符的最大保护。

该屏幕截图显示了 Microsoft Entra 管理中心内的条件访问策略和模板。

模板类别

条件访问策略模板分为以下类别:

Microsoft 建议所有组织基于这些策略进行操作。 建议将这些策略部署为一个组。

可通过“Microsoft Entra 管理中心”>“保护”>“条件访问”>“根据模板创建新策略”找到这些模板。 选择“显示更多”,查看每个类别中的所有策略模板。

该屏幕截图显示了如何根据 Microsoft Entra 管理中心内预先配置的模板创建条件访问策略。

重要

条件访问模板策略只会排除从模板创建策略的用户。 如果组织需要排除其他帐户,则可以在创建这些帐户后修改策略。 可通过“Microsoft Entra 管理中心”>“保护”>“条件访问”>“策略”找到这些策略。 选择一个策略以打开编辑器,然后修改排除的用户和组以选择要排除的帐户。

默认情况下,每个策略都是在仅报告模式下创建的;为了确保达到预期效果,建议组织在启用每个策略之前测试并监视使用情况。

组织可以选择单个策略模板,并:

  • 查看策略设置的摘要。
  • 编辑,根据组织需求进行自定义。
  • 导出 JSON 定义以用于编程工作流。
    • 可使用“上传策略文件”选项来编辑这些 JSON 定义,然后将它们导入到主要条件访问策略页上。

其他常用策略

排除用户

条件访问策略是功能强大的工具,建议从策略中排除以下帐户:

  • 紧急访问帐户或不受限帐户,用于防止租户范围的帐户锁定 。 在极少数情况下,所有管理员都被锁定在租户外,紧急访问管理帐户可用于登录租户,以采取措施来恢复访问。
  • 服务帐户和服务主体,例如 Microsoft Entra Connect 同步帐户。 服务帐户是不与任何特定用户关联的非交互式帐户。 它们通常由后端服务使用,以便可以对应用程序进行编程访问,不过也会用于登录系统以进行管理。 应该排除这样的服务帐户,因为无法以编程方式完成 MFA。 范围限定为用户的条件访问策略将不会阻止由服务主体进行的调用。 对工作负载标识使用条件访问来定义面向服务主体的策略。
    • 如果组织在脚本或代码中使用这些帐户,请考虑将其替换为托管标识。 作为临时解决方法,可以从基线策略中排除这些特定的帐户。