Microsoft Entra 使用条款

Microsoft Entra 使用条款策略提供了一种简单方法,用于向最终用户呈现信息。 组织可以使用使用条款和条件访问策略,要求员工或客人在获得访问权限之前先接受使用条款策略。 这些使用条款声明可以是通用的或特定于组或用户,并以多种语言提供。 管理员可以通过提供的日志或 API 来确定已接受或未接受使用条款的人員。

注意

本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的常规信息,请参阅 Microsoft 信任中心的 GDPR 部分服务信任门户的 GDPR 部分

先决条件

要使用和配置 Microsoft Entra 使用条款策略,必须具备以下先决条件:

  • Microsoft Entra ID P1 许可证。
  • 需要读取使用条款配置和条件访问策略的管理员至少需要分配有安全读取者角色。
  • 需要创建或修改使用条款和条件访问策略的管理员至少需要分配有条件访问管理员角色。
  • PDF 格式的“使用条款”文档。 PDF 文件可包含需要显示的任何内容。 若要支持移动设备上的用户,PDF 中建议的字号是 24 点。

服务限制

每个租户不能添加超过 40 个条款。

添加使用条款

完成使用条款策略文档后,请使用以下过程进行添加。

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

  3. 选择“新建条款”。

    屏幕截图显示用于指定使用条款设置的新“使用条款”窗格。

  4. 在“名称”框中,输入使用条款策略的名称。

  5. 对于“使用条款文档”,请浏览到已完成的使用条款策略 (PDF),并将其选中。

  6. 选择使用条款策略文档的语言。 可以通过语言选项上传多个使用条款文档,每个文档使用不同的语言。 最终用户看到的使用条款策略版本基于其浏览器首选项。

  7. 在“显示名称”框中,输入用户登录时看到的标题。

  8. 如果要求最终用户先查看使用条款策略再接受,请将“要求用户展开使用条款策略”设置为“开启”。

  9. 如果要求最终用户在每台访问设备上接受使用条款策略,请将“要求用户在每台设备上同意”设置为“开启”。 如果启用此选项,用户可能需要安装其他应用程序。 有关详细信息,请参阅按设备实施的使用条款

  10. 要按计划使使用条款策略同意状态过期,请将“使同意状态过期”设置为“打开”。 设置为“开启”时,系统将显示其他两个计划设置。

    1. 使用“过期开始日期”和“频率”设置来指定使用条款策略过期的计划。 下表显示了几项示例设置的结果:

      过期开始日期 频率 结果
      今天的日期 每月 从今天开始,用户必须接受使用条款策略,并且以后每个月都要接受。
      将来的日期 每月 从今天开始,用户必须接受使用条款策略。 到达指定的将来日期时,同意会过期,以后用户必须每个月接受使用条款。

      例如,如果将过期开始日期设置为“1 月 1 日”,将频率设置为“每月”,则两个用户的过期计划如下例所示:

      用户 第一个接受日期 第一个过期日期 第二个过期日期 第三个过期日期
      Alice 1 月 1 日 2 月 1 日 3 月 1 日 4 月 1 日
      Bob 1 月 15 日 2 月 1 日 3 月 1 日 4 月 1 日
    2. 使用“重新接受使用条款之前的必需时长(以天为单位)”设置来指定用户必须重新接受使用条款策略之前所要经过的天数。 此选项可让用户遵照自己的计划。 例如,如果将时长设置为 30 天,则两个用户的过期计划如下例所示

      用户 第一个接受日期 第一个过期日期 第二个过期日期 第三个过期日期
      Alice 1 月 1 日 1 月 31 日 3 月 2 日 4 月 1 日
      Bob 1 月 15 日 2 月 14 日 3 月 16 日 4 月 15 日

      可以结合使用“使同意状态过期”和“重新接受使用条款之前的必需时长(以天为单位)”设置,但一般只需其中一项即可。

      重要

      同意已过期(无论是已使用的设置、过期同意,还是要求重新接受前的持续时间 [天])的用户只有在其会话过期时才会收到重新接受条款的提示。

  11. 在“条件访问”下,使用“使用条件访问策略模板强制实施”列表选择用于强制实施使用条款策略的模板。

    模板 说明
    自定义策略 选择应用使用条款策略的用户、组和应用程序。
    稍后创建条件访问策略 此使用条款策略会显示在创建条件访问策略时弹出的授予控制权列表中。

    重要

    条件访问策略控制(包括使用条款策略)不支持对服务帐户强制实施。 我们建议从条件访问策略中排除所有服务帐户。

    可以使用自定义条件访问策略将使用条款策略细化,向下细化到特定云应用程序或用户组。 有关详细信息,请参阅快速入门:在访问云应用之前要求接受使用条款

  12. 选择“创建”。

    选择自定义条件访问模板后,会显示一个新的屏幕用于创建自定义的条件访问策略。 现在会看到新的使用条款策略。

按设备实施的使用条款

使用“要求用户在每台设备上同意”设置可以要求最终用户在每台访问设备上接受使用条款策略。 最终用户的设备必须在 Microsoft Entra ID 中注册。 注册设备后,使用设备 ID 在每台设备上强制实施使用条款策略。 它们的体验取决于加入设备的权限,以及使用的平台或软件。 有关详细信息,请参阅 Microsoft Entra ID 中的设备标识

按设备实施的使用条款具有以下约束:

  • 不支持 Microsoft Intune 注册应用 Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c。 确保将其从任何需要使用条款的条件性访问策略中排除。
  • 不支持 Microsoft Entra B2B 用户。

策略更改

条件访问策略会立即生效。 实施此操作时,管理员可能会在 Microsoft Entra 管理中心看到错误。 管理员必须注销然后重新登录才能符合新策略的要求。

重要

在以下情况下,处于范围的用户必须在注销后登录才能符合新策略的要求:

  • 在使用条款策略上启用了条件访问策略
  • 或者创建了第二个使用条款策略

编辑使用条款详细信息

可以编辑使用条款策略的某些详细信息,但不能修改现有文档。 以下过程介绍如何编辑详细信息。

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”。

  5. 在“编辑使用条款”窗格中,可以更改以下选项:

    • 名称 - 使用条款的内部名称,不会与最终用户共享。
    • 显示名称 - 最终用户查看使用条款时可以看到的名称。
    • 要求用户展开使用条款 - 将此选项设置为“开启”会强制最终用户在接受使用条款政策之前先展开该文档。
    • 以更新现有的使用条款文档。
    • 可以向现有使用条款中添加语言
  6. 完成后,选择“保存”以保存更改。

如果要更改其他设置,需要创建新的使用条款策略。

更新现有使用条款的版本或 PDF

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”。

  5. 对于要更新新版本的语言,请选择“操作”列下的“更新”

  6. 在右侧窗格中,上传新版本的 pdf

  7. 如果希望要求用户在下次登录时接受这一新版本,也可以使用此处的“需要重新接受”切换选项。

    • 如果你需要用户重新接受,则在用户下次尝试访问你的条件访问策略中定义的资源时,系统将提示他们接受这一新版本。
    • 如果不要求用户重新接受,则用户之前的同意将有效,并且只有尚未同意的新用户或者同意已经过期的旧用户才会看到新版本。 在会话过期前,要求重新接受不会要求用户接受新的使用条款。 对于这种情况,如果要确保重新接受,请删除并重新创建或创建新的使用条款。

    “编辑使用条款”窗格的屏幕截图,其中突出显示了“重新接受”选项。

  8. 上传新 PDF 并决定是否需要重新接受之后,请选择窗格底部的“添加”。

  9. 现在,可在“文档”列下面看到最新版本。

添加语言

以下过程介绍如何向使用条款添加语言。

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

  3. 选择要编辑的使用条款策略。

  4. 选择“编辑条款”

  5. 选择页面底部的“添加语言”。

  6. 在“添加使用条款语言”窗格中,上传已本地化的 PDF 并选择语言。

    屏幕截图显示选定的使用条款,其中显示了详细信息窗格中的“语言”选项卡。

  7. 选择“添加语言”。

  8. 选择“保存”

  9. 选择“添加”以添加语言。

查看之前的使用条款版本

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户
  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。
  3. 选择要查看其版本历史记录的使用条款策略。
  4. 选择“语言和版本历史记录”
  5. 选择“查看以前的版本”。
  6. 你可以选择文档名称以下载该版本。

查看接受用户和拒绝用户的报告

“使用条款”边栏选项卡会显示接受的用户和拒绝的用户的计数。 在使用条款策略有效期内,会存储这些计数以及接受用户/拒绝用户。

  1. 以条件访问管理员或安全管理员身份登录 Azure 门户

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

    屏幕截图显示使用条款边栏选项卡,其中列出了已接受和拒绝条款的用户数。

  3. 对于某个使用条款策略,选择“已接受”或“已拒绝”下的数字,以查看用户的当前状态。

    1. 默认情况下,下一页将显示接受使用条款的每个用户的当前状态。
    2. 如果你想要查看以前的许可事件,你可以从“当前状态”下拉菜单中选择“全部”。 现在,你可以详细查看有关每个版本的每个用户事件,以及发生的情况。
    3. 或者,可以从“版本”下拉菜单选择特定的版本,以查看哪些用户接受了该特定版本。
  4. 若要查看单个用户的历史记录,请依次选择省略号 (...)、“查看历史记录”。 在“查看历史记录”窗格中,可以看到所有接受、拒绝和过期操作状态的历史记录。

用户接受记录删除

在下列情况下将删除用户接受记录:

  • 管理员显式删除使用条款。
    • 发生此更改时,也将删除与该特定使用条款关联的所有接受记录。
  • 租户丢失其 Microsoft Entra ID P1 或 P2 许可证。
  • 删除了租户。

查看 Microsoft Entra 审核日志

要查看更多活动,Microsoft Entra 使用条款策略包括审核日志。 每次用户许可都会在存储时间为 30 天的审核日志中触发一个事件。 可以在门户中查看这些日志,或者将其下载为 .csv 文件。

若要开始使用 Microsoft Entra 审核日志,请执行以下过程:

  1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。

  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。

  3. 选择一个使用条款策略。

  4. 选择“查看审核日志”。

  5. 在 Microsoft Entra 审核日志屏幕上,可以使用提供的列表筛选信息,将特定审核日志信息作为目标。

    还可以选择“下载”,将信息下载到可以在本地使用的 .csv 文件中。

    屏幕截图显示 Microsoft Entra 审核日志屏幕,其中列出了日期、目标策略、发起者和活动。

    如果选择某个日志,则会出现一个窗格,其中包含更多活动详细信息。

    屏幕截图显示日志的活动详细信息,其中显示了活动、活动状态、发起者和目标策略。

使用条款呈现给用户的外观

创建并强制执行使用条款策略后,处于使用条款范围内的用户会在登录过程中看到以下屏幕。

屏幕截图显示用户登录时显示的使用条款策略的示例。

用户可以查看使用条款策略,如有必要,可使用按钮缩放。用户只需接受使用条款政策一次,在以后登录时,他们不会再看到使用条款策略。

用户如何查看其使用条款

用户可以使用以下过程检视和查阅他们已接受的使用条款策略。

  1. 登录 https://myaccount.windowsazure.cn/
  2. 选择“设置和隐私”
  3. 选择“隐私”。
  4. 在“组织的通知”下,选择要查看的使用条款声明旁边的“查看” 。

删除使用条款

可以通过以下过程删除旧的使用条款策略。

  1. 以条件访问管理员、安全管理员或全局管理员的身份登录到 Azure 门户。
  2. 浏览到“Microsoft Entra ID”>“安全”>“条件访问”>“使用条款”。
  3. 选择要删除的使用条款策略。
  4. 选择“删除条款”。
  5. 在出现的询问是否需要继续的消息中,选择“是”。
    1. 将再也看不到你的使用条款策略。

B2B 来宾

使用条件访问和使用条款策略,可以直接对 B2B 来宾用户强制实施策略。 在邀请兑换流程中,用户会看到使用条款策略。

仅当用户在 Microsoft Entra ID 中具有来宾帐户时,才显示使用条款策略。 SharePoint Online 目前提供一个外部共享接收方体验用于共享文档或文件夹,而不要求用户具有来宾帐户。 在这种情况下,将不会显示使用条款政策。

支持云应用

可对不同的云应用(例如 Azure 信息保护和 Microsoft Intune)使用使用条款策略。 这种支持目前处于预览状态。

Azure 信息保护

可以针对 Azure 信息保护应用配置条件访问策略,并要求用户在访问受保护的文档时接受使用条款策略。 此配置会在用户首次访问受保护的文档之前触发使用条款政策。

Microsoft Intune 注册

可以针对 Microsoft Intune 注册应用配置条件访问策略,并要求在 Intune 中注册设备之前接受使用条款策略。 有关详细信息,请阅读为组织博客文章选择合适的条款解决方案

注意

按设备实施的使用条款不支持 Intune 注册应用。

对于 iOS/iPadOS 自动设备注册,如果将自定义 URL 添加到 Microsoft Entra 使用条款策略,则不允许用户从设置助理中的 URL 打开策略进行读取。 在公司门户网站或公司门户应用中完成设置助理后,用户可以读取该策略。

常见问题解答

问:为什么我的用户显示两次登录? 一次中断,一次成功。
答:当用户尚未接受使用条款策略时,管理员可能会看到两次登录,此方案是设计时就包含的。 这些条目共享一个相关 ID。

屏幕截图显示应用使用条款时登录日志中失败和成功的示例。

由于用户无法在其令牌中提供接受了使用条款策略的证明,因此有一次登录中断。 登录日志中的“其他详细信息”字段包含以下消息:

用户还需要满足其他要求才能完成身份验证,于是被重定向到另一页(例如使用条款或第三方 MFA 提供程序)。 仅此代码中断并不表示用户登录失败。 登录日志可指示此质询已成功通过或失败。

如果用户接受使用条款策略,则另一次登录会成功。

问:启用了使用条款时,我无法使用 PowerShell 登录。
答:只能在交互身份验证时接受使用条款。

问:如何查看用户何时/是否接受了使用条款?
答:在“使用条款”边栏选项卡中选择“已接受”下的数字。 也可在 Microsoft Entra 审核日志中查看或搜索接受的活动。 有关详细信息,请参阅“查看接受用户和拒绝用户的报告”以及查看 Microsoft Entra 审核日志

问:信息的存储时间为多长?
答:使用条款报告中的用户计数以及接受用户/拒绝用户的存储时间为使用条款有效期。 Microsoft Entra 审核日志的存储时间为 30 天。

问:为什么我在使用条款详细信息概述与 Microsoft Entra 审核日志中看到的同意数量不同?
答:将存储使用条款详细信息概述数据,时长为使用条款策略生存期。 Microsoft Entra 审核日志的存储时间为 30 天。

问:为什么我在使用条款详细信息概述与导出的 CSV 报表中看到的同意数量不同?
答:使用条款详细信息概述反映了当前版本策略的聚合验收情况(每天更新一次)。 如果启用了过期或更新了使用条款协议(需要重新验收),则会重置详细信息概述的计数(因为这些验收已过期),从而显示当前版本的计数。 CSV 报表中仍会捕获所有验收历史记录。

问:如果使用条款策略 PDF 文档中有超链接,最终用户能否单击这些超链接?
答:是的,最终用户可以选择指向其他页面的超链接,但不支持指向文档内各节的链接。 此外,在从 Microsoft Entra My Apps/MyAccount 门户进行访问时,使用条款策略 PDF 中的超链接不起作用。

问:使用条款策略是否支持多种语言?
答:是的。 管理员可以上传多个 PDF 文档,并使用相应的语言标记这些文档。 当最终用户登录时,我们会查看其浏览器语言首选项,并显示匹配的文档。 如果没有匹配项,我们将显示默认文档,即上传的第一个文档。

问:什么时候会触发使用条款策略?
答:使用条款策略在登录期间触发。

问:我可以将哪些应用程序作为使用条款策略的目标?
答:可以使用新式验证对企业应用程序创建条件访问策略。 有关详细信息,请参阅企业应用程序

问:是否可以向给定用户或应用添加多个使用条款策略?
答:可以,方法是创建多个以这些组或应用程序为目标的条件访问策略。 如果用户处于多个使用条款策略的范围内,他们必须一次接受一个策略。

问:用户拒绝使用条款策略后会发生什么?
答:将阻止此用户访问该应用程序。 用户需要重新登录并接受条款才能获取访问权限。

问:是否可以取消接受以前接受的使用条款策略?
答:可以查看以前接受的使用条款策略,但目前没有办法取消接受。

问:如果我还使用 Intune 条款和条件,会发生什么情况?
答:如果同时配置了 Microsoft Entra 使用条款和 Intune 条款和条件,则用户需要同时接受这两者。 有关详细信息,请参阅为组织博客文章选择合适的条款解决方案

问:使用条款服务使用哪些终结点进行身份验证?
答:使用条款利用以下终结点进行身份验证:https://tokenprovider.termsofuse.identitygovernance.azure.comhttps://myaccount.windowsazure.cnhttps://account.activedirectory.windowsazure.cn。 如果组织有用于注册的 URL 允许列表,则需要将这些终结点连同用于登录的 Microsoft Entra 终结点一起添加到允许列表。