条件访问策略包括用户、组或工作负荷标识分配,作为决策过程中的信号之一。 可以在条件访问策略中将这些标识包括在内或排除在外。 Microsoft Entra ID 会评估所有策略,并确保在授予访问权限之前满足所有要求。
包括用户
此列表通常包括组织在条件访问策略中面向的所有用户。
创建条件访问策略时,可以使用以下选项。
- 无
- 未选择任何用户
- 所有用户
- 目录中的所有用户,包括 B2B 来宾。
- 选择“用户和组”
- 来宾或外部用户
- 通过此选择,可以将条件访问策略定向到包含这些用户的特定来宾或外部用户类型和租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- B2B 协作来宾用户
- B2B 协作成员用户
- 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
- 服务提供商用户,例如云解决方案提供商 (CSP)
- 其他外部用户或未由其他用户类型选项代表的用户
- 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
- 通过此选择,可以将条件访问策略定向到包含这些用户的特定来宾或外部用户类型和租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- 目录角色
- 允许管理员选择特定的 内置目录角色 来确定策略分配。 例如,组织可以对主动分配有特权角色的用户创建更严格的策略。 不支持其他角色类型,包括管理单元范围的角色和自定义角色。
- 条件访问允许管理员选择 一些已列为已弃用的角色。 这些角色仍显示在基础 API 中,并允许管理员向其应用策略。
- 允许管理员选择特定的 内置目录角色 来确定策略分配。 例如,组织可以对主动分配有特权角色的用户创建更严格的策略。 不支持其他角色类型,包括管理单元范围的角色和自定义角色。
- 用户和组
- 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中任何类型的用户组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。
- 来宾或外部用户
重要
在选择哪些用户和组包含在条件访问策略中时,可以直接添加到条件访问策略的单个用户数量有限制。 如果需要将许多单个用户添加到条件访问策略,请将这些用户放在组中,并将该组分配给策略。
如果用户或组属于 2048 多个组,可能会阻止其访问。 此限制适用于直接组和嵌套组成员身份。
排除用户
如果组织同时包括并排除某个用户或组,则会从策略中排除该用户或组。 在策略中,排除操作会覆盖包含操作。 排除通常用于紧急访问帐户或玻璃帐户。 在以下文章中可以找到有关紧急访问帐户及其为何重要的详细信息:
创建条件访问策略时,以下选项可用于排除。
- 来宾或外部用户
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- B2B 协作来宾用户
- B2B 协作成员用户
- 本地来宾用户,例如属于主租户且用户类型属性设置为来宾的任何用户
- 服务提供商用户,例如云解决方案提供商 (CSP)
- 其他外部用户或未由其他用户类型选项代表的用户
- 可以为所选用户类型指定一个或多个租户,也可以指定所有租户。
- 此选择提供了多个选项,可用于将条件访问策略定向到特定来宾或外部用户类型以及包含这些类型的用户的特定租户。 有几种不同类型的来宾或外部用户可供选择,并且可进行多选:
- 目录角色
- 允许管理员选择用于确定分配的特定 Microsoft Entra 目录角色 。
- 用户和组
- 允许以特定用户集为目标。 例如,将某个人力资源应用选作云应用时,组织可以选择包含人力资源部所有成员的组。 组可以是 Microsoft Entra ID 中的任何类型的组,包括动态组或分配的安全组和通讯组。 策略会应用于嵌套的用户和组。
防止管理员锁定
若要防止管理员锁定,在创建应用于 所有用户 和 所有应用的策略时,将显示以下警告。
别把自己锁在外面! 我们建议先将策略应用于一小部分用户,以验证其行为是否符合预期。 我们还建议从此策略中排除至少一个管理员。 这可确保在需要更改时,你仍然可以访问策略并对其进行更新。 请查看受影响的用户和应用。
默认情况下,策略提供一个选项来排除当前用户,但管理员可以替代它,如下图所示。
如果你发现自己被锁定了,请参阅“如果你被锁定了该怎么办?