條件式存取:目標資源

目標資源(先前稱為雲端應用程式、動作和驗證內容)是條件式存取原則中的重要訊號。 條件式存取原則可讓系統管理員將控件指派給特定應用程式、服務、動作或驗證內容。

Screenshot displaying a Conditional Access policy and the target resources panel.

Microsoft 雲端應用程式

許多現有的 Microsoft 雲端應用程式都包含在您可從中進行選取的應用程式清單中。

管理員 istrators 可以從 Microsoft 將條件式存取原則指派給下列雲端應用程式。 如 Office 365 和 Windows Azure 服務管理 API 等特定應用程式,則包含多個相關的子系應用程式或服務。 我們會持續新增更多應用程式,因此下列清單並不詳盡,而且可能會變更。

  • Office 365
  • Azure Analysis Services
  • Azure DevOps
  • Azure 資料總管
  • Azure 事件中樞
  • Azure 服務匯流排
  • Azure SQL 資料庫 和 Azure Synapse Analytics
  • Common Data Service
  • Microsoft Application Insights Analytics
  • Microsoft Azure 資訊保護
  • Windows Azure 服務管理 API
  • Microsoft Defender for Cloud Apps
  • Microsoft Commerce Tools 存取控制 入口網站
  • Microsoft Commerce Tools Authentication Service
  • Microsoft Forms
  • Microsoft Intune
  • Microsoft Intune 註冊
  • Microsoft Planner
  • Microsoft Power Apps
  • Microsoft Power Automate
  • Bing 中的 Microsoft 搜尋
  • Microsoft StaffHub
  • Microsoft Stream
  • Microsoft Teams
  • Exchange Online
  • SharePoint
  • Yammer
  • Office Delve
  • Office Sway
  • Outlook Groups
  • Power BI 服務
  • Project Online
  • Skype for Business Online
  • 虛擬私人網路 (VPN)
  • Windows Defender ATP

重要

條件式存取可用的應用程式已完成上線和驗證程式。 此清單不包含所有 Microsoft 應用程式,因為許多應用程式都是後端服務,而不是要直接套用原則。 如果您要尋找遺漏的應用程式,您可以連絡特定應用程式小組,或在UserVoice提出要求。

Office 365

Microsoft 365 提供雲端式生產力和共同作業服務,例如 Exchange、SharePoint 和 Microsoft Teams。 Microsoft 365 雲端服務已深入整合,以確保順暢且共同作業的體驗。 此整合在建立原則時可能會造成混淆,因為某些應用程式,例如 Microsoft Teams 與 SharePoint 或 Exchange 等其他應用程式相依性。

Office 365 套件可讓您同時以這些服務為目標。 我們建議使用新的 Office 365 套件,而不是以個別雲端應用程式為目標,以避免服務相依性發生問題

以這組應用程式為目標有助於避免因原則和相依性不一致而引發的問題。 例如:Exchange Online 應用程式會系結至傳統的 Exchange Online 數據,例如郵件、行事曆和聯繫人資訊。 相關元數據可能會透過不同的資源公開,例如搜尋。 為了確保所有元數據都依預期受到保護,系統管理員應將原則指派給 Office 365 應用程式。

管理員 istrators 可以從條件式存取原則中排除整個 Office 365 套件或特定 Office 365 雲端應用程式。

內含於條件式存取 Office 365 應用程式套件中的應用程式一文中可以找到所有內含服務的完整清單。

Windows Azure 服務管理 API

當您以 Windows Azure 服務管理 API 應用程式為目標時,會針對核發給一組緊密繫結至入口網站的權杖強制執行原則。 此分組包含下列各項的應用程式 ID:

  • Azure Resource Manager
  • Azure 入口網站,其中也涵蓋 Microsoft Entra 管理中心
  • Azure Data Lake
  • Application Insights API
  • Log Analytics API

由於原則會套用至具有 Azure API 服務相依性之 Azure 管理入口網站和 API、服務或用戶端,因此可能會間接受到影響。 例如:

  • 傳統部署模型 API
  • Azure PowerShell
  • Azure CLI
  • Azure DevOps
  • Azure Data Factory 入口網站
  • Azure 事件中樞
  • Azure 服務匯流排
  • Azure SQL Database
  • SQL 受控執行個體
  • Azure Synapse
  • Visual Studio 訂用帳戶系統管理員入口網站
  • Microsoft IoT Central

注意

Windows Azure 服務管理 API 應用程式適用於 Azure PowerShell,其會呼叫 Azure Resource Manager API。 它不適用於呼叫 Microsoft Graph APIMicrosoft Graph PowerShell。

如需有關如何設定 Windows Azure 服務管理 API 的範例原則的詳細資訊,請參閱條件式存取:需要 Azure 管理的 MFA

提示

針對 Azure Government,您應該以 Azure Government 雲端管理 API 應用程式為目標。

Microsoft 管理入口網站

當條件式存取原則以 Microsoft 管理員入口網站雲端 App 為目標時,會針對核發至下列 Microsoft 系統管理入口網站之應用程式 ID 的權杖強制執行原則:

  • Azure 入口網站
  • Exchange 系統管理中心
  • Microsoft 365 系統管理中心
  • Microsoft 365 Defender 入口網站概觀
  • Microsoft Entra 系統管理中心
  • Microsoft Intune 系統管理中心
  • Microsoft Purview 合規性入口網站

我們會不斷將更多系統管理入口網站新增至清單。

注意

Microsoft 管理員 入口網站應用程式僅適用於列出的系統管理入口網站互動式登入。 此應用程式並未涵蓋登入基礎資源或服務,例如 Microsoft Graph 或 Azure Resource Manager API。 這些資源會受到 Windows Azure 服務管理 API 應用程式的保護。 這可讓客戶沿著系統管理員的 MFA 採用旅程移動,而不會影響依賴 API 和 PowerShell 的自動化。 當您準備好時,Microsoft 建議使用 原則,要求系統管理員一律 執行 MFA 以進行全面保護。

其他應用程式

管理員可以將任何 Microsoft Entra 註冊應用程式新增至條件式存取原則。 這類應用程式可能包括:

注意

由於條件式存取原則會設定存取服務的需求,因此您無法將它套用至用戶端(公用/原生)應用程式。 換句話說,原則不會直接在用戶端(公用/原生)應用程式上設定,但會在用戶端呼叫服務時套用。 例如,SharePoint 服務上設定的原則會套用至所有呼叫 SharePoint 的用戶端。 使用 Outlook 用戶端嘗試存取電子郵件時,會套用 Exchange 上設定的原則。 這就是為什麼用戶端 (public/native) 應用程式無法用於在 Cloud Apps 選擇器和條件式存取選項中選取用戶端 (public/native) 應用程式在租用戶中註冊的應用程式設定中無法使用。

有些應用程式完全不會出現在選擇器中。 在條件式存取原則中包含這些應用程式的唯一方法是包含 所有雲端應用程式

所有雲端應用程式

將條件式存取原則套用至 [所有雲端應用程式 ] 會導致針對發行至網站和服務的所有令牌強制執行原則。 此選項包括條件式存取原則中無法個別設為目標的應用程式,例如 Microsoft Entra ID。

在某些情況下, [所有雲端應用程式 ] 原則可能會不小心封鎖使用者存取。 這些案例會從原則強制執行中排除,包括:

  • 達到所需安全性狀態所需的服務。 例如,裝置註冊呼叫會從以所有雲端應用程式為目標的相容裝置原則中排除。

  • 呼叫 Azure AD Graph 和 Microsoft Graph,以存取從原則排除的應用程式常用的使用者配置檔、群組成員資格和關聯性資訊。 排除的範圍如下所示。 應用程式仍需要同意才能使用這些許可權。

    • 針對原生用戶端:
      • Azure AD Graph:電子郵件、offline_access、openid、配置檔、User.Read
      • Microsoft Graph:電子郵件、offline_access、openid、profile、User.Read、人員。讀
    • 針對機密/已驗證的用戶端:
      • Azure AD Graph:電子郵件、offline_access、openid、profile、User.Read、User.Read.All 和 User.ReadBasic.All
      • Microsoft Graph:電子郵件、offline_access、openid、profile、User.Read、User.Read.All、User.ReadBasic.All、人員。讀取、人員。Read.All、GroupMember.Read.All、Member.Read.Hidden

使用者動作

用戶動作是使用者執行的工作。 條件式存取目前支援兩個使用者動作:

  • 註冊安全性資訊:此使用者動作可讓條件式存取原則在啟用合併註冊的用戶嘗試註冊其安全性資訊時強制執行。 如需詳細資訊, 請參閱合併安全性資訊註冊一文。

注意

套用原則以註冊安全性資訊為目標的用戶動作時,如果使用者帳戶是來自 Microsoft 個人帳戶 (MSA) 的來賓,則使用 [需要多重要素驗證] 控件,將會要求 MSA 使用者向組織註冊安全性資訊。 如果來賓用戶來自其他提供者,例如 Google,則會封鎖存取。

  • 註冊或加入裝置:當用戶註冊將裝置加入 Microsoft Entra ID 時,此用戶動作可讓系統管理員強制執行條件式存取原則。 它提供設定多重要素驗證以註冊或加入裝置,而不是目前存在的全租用戶原則的粒度。 此使用者動作有三個主要考慮:
    • Require multifactor authentication 是此用戶動作唯一可用的訪問控制,而所有其他訪問控制都會停用。 這項限制可防止與相依於 Microsoft Entra 裝置註冊或不適用於 Microsoft Entra 裝置註冊的訪問控制發生衝突。
    • Client appsDevice stateFilters for devices 條件無法透過此用戶動作使用,因為它們相依於 Microsoft Entra 裝置註冊來強制執行條件式存取原則。
    • 使用此使用者動作啟用條件式存取原則時,您必須將 [身分識別>裝置概觀>裝置>] 設定Devices to be Microsoft Entra joined or Microsoft Entra registered require multifactor authentication - 設定[否]。 否則,不會正確強制執行具有此使用者動作的條件式存取原則。 如需此裝置設定的詳細資訊,請參閱設定 裝置設定

流量轉送配置檔

全域安全存取中的流量轉送配置檔可讓系統管理員定義和控制流量如何透過 Microsoft Entra 網際網路存取 和 Microsoft Entra 私人存取 路由傳送。 流量轉送配置檔可以指派給裝置和遠端網路。 如需如何將條件式存取原則套用至這些流量配置檔的範例,請參閱如何將條件式存取原則套用至 Microsoft 365 流量配置檔一文

如需這些配置檔的詳細資訊,請參閱全域安全存取流量轉送配置檔一文

驗證內容

驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式,或 Microsoft Defender for Cloud Apps 所保護的應用程式。

例如,組織可能會將檔案保留在 SharePoint 網站中,例如午餐功能表或其秘密燒烤醬食譜。 每個人都可以存取午餐功能表網站,但有權存取秘密燒烤醬食譜網站的使用者可能需要從受管理裝置存取,並同意特定使用規定。

驗證內容適用於使用者或 工作負載身分識別,但不適用於相同的條件式存取原則。

設定驗證內容

驗證內容是在 [保護>條件式存取>驗證] 內容管理。

Screenshot showing the management of authentication contexts.

選取 [新增驗證內容] 來建立新的驗證內容定義。 組織限制為總共25個驗證內容定義。 設定下列屬性:

  • 顯示名稱 是用來識別 Microsoft Entra 識別碼中的驗證內容,以及取用驗證內容之應用程式的名稱。 我們建議跨資源使用的名稱,例如「受信任的裝置」,以減少所需的驗證內容數目。 降低集合會限制重新導向的數目,並提供更佳的用戶體驗。
  • 描述 提供有關 Microsoft Entra 系統管理員所使用之原則的詳細資訊,以及將驗證內容套用至資源的原則。
  • 核取時發佈至應用程式 複選框,將驗證內容公告給應用程式,並使其可供指派。 如果未檢查驗證內容,下游資源就無法使用。
  • 標識碼 是唯讀的,用於令牌和應用程式,以用於要求特定的驗證內容定義。 這裡列出疑難解答及開發使用案例。

新增至條件式存取原則

管理員 istrators 可以在其 [條件式存取原則] 底下選取已發佈的驗證內容指派雲端應用程式或動作,並從 [選取此原則套用至] 功能選取 [驗證內容]。>

Screenshot showing how to add a Conditional Access authentication context to a policy

刪除驗證內容

當您刪除驗證內容時,請確定沒有任何應用程式仍在使用它。 否則,不再保護應用程式數據的存取權。 您可以檢查套用驗證內容條件式存取原則時的情況登入記錄,以確認此必要條件。

若要刪除驗證內容,它不得有指派的條件式存取原則,不得發佈至應用程式。 這項需求有助於防止意外刪除仍在使用的驗證內容。

使用驗證內容標記資源

如需應用程式中驗證內容使用的詳細資訊,請參閱下列文章。

下一步