条件访问:用户、组和工作负载标识

条件访问策略必须包括用户、组或工作负载标识分配,作为决策过程中的信号之一。 可以在条件访问策略中将这些标识包括在内或排除在外。 Microsoft Entra ID 会评估所有策略,确保只有满足所有要求才授予访问权限。

包括用户

此用户列表通常包括组织在条件访问策略中设为目标的所有用户。

创建条件访问策略时,可以包括以下选项。

    • 不选择任何用户
  • 所有用户
    • 目录中存在的所有用户,包括 B2B 来宾。
  • 选择“用户和组”
    • 来宾或外部用户
      • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
        • B2B 协作来宾用户
        • B2B 协作成员用户
        • 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
        • 服务提供商用户,例如云解决方案提供商 (CSP)
        • 其他外部用户或未由其他用户类型选项代表的用户
      • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
    • 目录角色
      • 支持管理员选择用于确定策略分配的特定内置目录角色。 例如,组织可以对主动分配有特权角色的用户创建更严格的策略。 不支持其他角色类型,包括管理单元范围的角色和自定义角色。
        • 条件访问允许管理员选择一些作为弃用项列出的角色。 这些角色仍显示在基础 API 中,并允许管理员向其应用策略。
    • 用户和组
      • 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中任何类型的用户组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。

重要

选择条件访问策略中包含的用户和组时,可直接添加到条件访问策略中的单独用户数量存在限制。 如果需要将大量单独用户直接添加到条件访问策略,则建议将用户归为一组,并改为将该组分配到条件访问策略。

如果用户或组是 2048 个以上的组的成员,则其访问可能会被阻止。 此限制适用于直接组和嵌套组成员身份。

警告

条件访问策略不支持为用户分配范围为管理单元的目录角色或范围直接为对象的目录角色(例如,通过自定义角色进行角色分配时就是如此)。

排除用户

如果组织同时包括并排除某个用户或组,则会从策略中排除该用户或组。 排除操作会替代策略中的包括操作。 排除通常用于紧急访问或不受限帐户。 在以下文章中可以找到有关紧急访问帐户及其为何重要的详细信息:

创建条件访问策略时,可以排除以下选项。

  • 来宾或外部用户
    • 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
      • B2B 协作来宾用户
      • B2B 协作成员用户
      • 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
      • 服务提供商用户,例如云解决方案提供商 (CSP)
      • 其他外部用户或未由其他用户类型选项代表的用户
    • 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
  • 目录角色
  • 用户和组
    • 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中的任何类型的组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。

防止管理员锁定

为防止管理员锁定,在创建应用于所有用户所有应用的策略时,会出现以下警告。

别把自己锁在外面! 我们建议先将策略应用于一小部分用户,以验证其行为是否符合预期。 我们还建议至少从此策略中排除一个管理员。 这可确保在需要更改时,你仍然可以访问策略并对其进行更新。 请查看受影响的用户和应用。

默认情况下,此策略会提供一个从策略中排除当前用户的选项,但管理员可以替代它,如下图所示。

警告:别把自己锁在外面!

如果发现自己被锁在外面,请参阅如果被锁定在外面,该怎么办?

后续步骤