規劃條件式存取部署 (機器翻譯)
規劃條件式存取部署對於實現組織對應用程式和資源的存取策略非常重要。 條件式存取原則提供絕佳的設定彈性。 不過,這種彈性也表示您應該謹慎規劃,以避免不想要的結果。
Microsoft Entra 條件式存取 結合了使用者、裝置和位置等訊號,以自動化決策,並強制執行資源的組織存取原則。 這些條件式存取原則可協助您平衡安全性和生產力,在需要時強制執行安全性控制,並在不時遠離使用者的方式。
條件式存取是 Microsoft 零信任 安全策略引擎的基礎。
Microsoft 提供 安全性預設值 ,以確保在沒有 Microsoft Entra ID P1 或 P2 的租用戶中啟用基本層級的安全性。 透過條件式存取,您可以建立原則,以提供與安全性預設值相同的保護,但具有細微度。 條件式存取和安全性預設值不會合併為建立條件式存取原則,因此您無法啟用安全性預設值。
必要條件
- 已啟用 Microsoft Entra ID P1、P2 或試用版授權的工作 Microsoft Entra 租使用者。 如有需要, 請免費建立一個。
- 需要 Microsoft Entra ID P2,才能在條件式存取原則中包含 Microsoft Entra ID Protection 風險。
- 管理員 與條件式存取互動的人員,必須根據他們執行的工作,擁有下列其中一個角色指派。 若要遵循最低許可權 零信任 原則,請考慮使用 Privileged Identity Management (PIM) 來即時啟用特殊許可權角色指派。
- 讀取條件式存取原則和設定
- 建立或修改條件式存取原則
- 測試使用者(不是系統管理員),可讓您在部署到真實使用者之前,確認原則如預期般運作。 如果您需要建立使用者,請參閱 快速入門:將新使用者新增至 Microsoft Entra ID。
- 測試用戶所屬的群組。 如果您需要建立群組,請參閱 在 Microsoft Entra ID 中建立群組和新增成員。
通訊變更
通訊對於任何新功能的成功至關重要。 您應該主動與使用者溝通其體驗變更方式、變更時,以及如何在遇到問題時取得支援。
條件式存取原則元件
條件式存取原則會回答哪些人可以存取您的資源、可存取哪些資源,以及哪些情況下的問題。 原則的目的是為了授與存取權、限制工作階段控制的存取權,或封鎖存取權。 您可以 藉由定義 if-then 語句來建置條件式存取原則 ,例如:
| 如果符合指派 | 套用訪問控制 |
|---|---|
| 如果您是 Finance 中存取薪資應用程式的使用者 | 需要多重要素驗證和相容的裝置 |
| 如果您不是 Finance 存取薪資應用程式的成員 | 封鎖存取 |
| 如果您的用戶風險很高 | 需要多重要素驗證和安全密碼變更 |
使用者排除
條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
- 如需詳細資訊,請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶,以透過程式設計方式存取應用程式,但這些帳戶也可用來登入系統以便進行管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會被範圍設定為使用者的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
提問正確的問題
以下是有關工作分派和 存取控制的一些常見問題。 在建置每個原則的問題之前,請先記錄其解答。
使用者或工作負載身分識別
- 原則中包含或排除哪些使用者、群組、目錄角色或工作負載身分識別?
- 應從原則中排除哪些緊急存取帳戶或群組?
雲端應用程式或動作
此原則是否會套用至任何應用程式、用戶動作或驗證內容? 如果是:
- 原則會套用至哪些應用程式或服務?
- 哪些用戶動作受限於此原則?
- 此原則將套用至哪些驗證內容?
篩選應用程式
使用篩選來包含或排除應用程式,而不是個別指定應用程式 可協助組織:
- 輕鬆地調整並鎖定任意數目的應用程式。
- 使用類似的原則需求輕鬆管理應用程式。
- 減少個別原則的數目。
- 在編輯原則時減少錯誤:不需要手動從原則新增/移除應用程式。 只要管理屬性即可。
- 克服原則大小限制。
條件
- 原則中包含或排除哪些裝置平臺?
- 組織已知的網路位置為何?
- 原則中包含或排除哪些位置?
- 原則中包含或排除哪些用戶端應用程式類型?
- 您是否需要以特定裝置屬性為目標?
- 如果使用 Microsoft Entra ID Protection,您要納入登入或用戶風險嗎?
使用者與登入風險
對於具有 Microsoft Entra ID P2 授權的組織,他們可以在其條件式存取原則中包含使用者和登入風險。 這些新增功能只有在使用者或登入被視為有風險時,才需要多重要素驗證或安全密碼變更,以協助降低安全性措施的摩擦。
如需風險及其在原則中使用的詳細資訊,請參閱什麼是風險一文。
封鎖或授與控件
您想要藉由要求下列一或多個專案來授與資源的存取權嗎?
- 多重要素驗證
- 標示為符合規範的裝置
- 使用 Microsoft Entra 混合式已加入裝置
- 使用已核准的用戶端應用程式
- 已套用 應用程式防護 原則
- 密碼變更
- 已接受使用規定
封鎖存取是功能強大的控制項,運用時應具備適當的知識。 具有 block 陳述式的原則可能會產生非預期的副作用。 在大規模啟用控制項之前,適當的測試和驗證非常重要。 管理員 istrators 應該使用工具,例如條件式存取僅報告模式,以及在進行變更時,條件式存取中的 What If 工具。
工作階段控制項
您要在雲端應用程式上強制執行下列任何存取控制嗎?
- 使用應用程式強制執行限制
- 使用條件式存取應用程控
- 強制執行登入頻率
- 使用持續性瀏覽器會話
- 自訂連續存取評估
合併原則
建立和指派原則時,您必須考慮存取令牌的運作方式。 存取令牌 會根據提出要求的使用者是否已獲得授權和驗證,授與或拒絕存取權。 如果要求者可以證明他們是誰,他們可以存取受保護的資源或功能。
如果條件式存取原則條件未觸發訪問控制,存取令牌預設會發出。
此原則不會防止應用程式能夠封鎖存取。
例如,請考慮簡化的原則範例,其中:
使用者:FINANCE GROUP
存取:薪資應用程式
訪問控制:多重要素驗證
- 使用者 A 位於 FINANCE GROUP 中,他們必須執行多重要素驗證才能存取 薪資應用程式。
- 使用者 B 不在 FINANCE GROUP 中,會發出存取令牌,並允許存取薪資應用程式,而不需要執行多重要素驗證。
為了確保財務群組外部的使用者無法存取薪資應用程式,可以建立個別的原則來封鎖所有其他使用者,例如下列簡化的原則:
使用者:包含所有使用者/排除 FINANCE GROUP
存取:薪資應用程式
訪問控制:封鎖存取
現在當使用者 B 嘗試存取 其封鎖的薪資應用程式 時。
建議
考慮到我們在使用條件式存取和支援其他客戶的學習,以下是一些根據我們的學習建議。
將條件式存取原則套用至每個應用程式
請確定每個應用程式至少已套用一個條件式存取原則。 從安全性觀點來看,最好建立包含 所有雲端應用程式的原則,然後排除您不想要套用原則的應用程式。 此作法可確保每次上線新應用程式時,都不需要更新條件式存取原則。
提示
在單一原則中使用區塊和所有應用程式時,請非常小心。 這可能會鎖定系統管理員,而且無法針對 Microsoft Graph 等重要端點設定排除專案。
最小化條件式存取原則的數目
為每個應用程式建立原則並不有效,而且會導致管理困難。 條件式存取每個租使用者的限制為195個原則。 此 195 原則限制包含任何狀態的條件式存取原則,包括僅限報表模式、開啟或關閉。
建議您 分析您的應用程式,並將其分組為具有相同使用者相同資源需求的應用程式。 例如,如果所有 Microsoft 365 應用程式或所有 HR 應用程式對相同的使用者具有相同需求,請建立單一原則,並包含其套用的所有應用程式。
條件式存取原則包含在 JSON 檔案中,且該檔案系結至大小限制,我們不預期單一原則會成長超過。 如果您在原則中使用一長串 GUID,可能會達到此限制。 如果您遇到這些限制,建議您使用如下的替代方法:
設定僅限報表模式
根據預設,從範本建立的每個原則都會以僅限報表模式建立。 我們建議組織先測試及監視使用量,以確保預期的結果,再開啟每個原則。
在僅限報表模式中啟用原則。 一旦您以僅限報表模式儲存原則,即可在登入記錄中看到即時登入的效果。 從登入記錄中,選取事件並流覽至 [僅限 報表] 索引標籤,以查看每個僅限報表原則的結果。
您可以在 Insights 和 Reporting 活頁簿中檢視條件式存取原則的匯總影響。 若要存取活頁簿,您需要 Azure 監視器訂用帳戶,而且必須將 登入記錄串流至記錄分析工作區。
規劃中斷
若要降低在意外中斷期間鎖定的風險, 請規劃組織的復原策略 。
設定原則的命名標準
命名標準可協助您尋找原則並瞭解其用途,而不需在 Azure 管理入口網站中開啟原則。 建議您為原則命名以顯示:
- 序號
- 其適用的雲端應用程式
- 回應
- 神秘 適用於
- 套用時
範例:需要 MFA 才能從外部網路存取 Dynamics CRP 應用程式之行銷用戶的原則可能是:
描述性名稱可協助您保留條件式存取實作的概觀。 如果您需要在交談中參考原則,序號會很有説明。 例如,當您在電話中與系統管理員交談時,您可以要求他們開啟原則 CA01 來解決問題。
緊急訪問控制的命名標準
除了作用中的原則之外,請實作停用的原則,以作為中斷或緊急案例中的次要復原訪問控制。 應變原則的命名標準應包括:
- 在開頭啟用緊急狀態,讓名稱在其他原則中脫穎而出。
- 它應該套用至的中斷名稱。
- 排序序號,可協助系統管理員知道應啟用哪些順序原則。
範例:下列名稱指出,如果發生 MFA 中斷,此原則是啟用的四個原則中的第一個:
- EM01 - 啟用緊急狀態:MFA 中斷 [1/4] - Exchange SharePoint:需要 VIP 使用者的 Microsoft Entra 混合式加入。
封鎖您從未預期登入的國家/地區
Microsoft Entra ID 可讓您建立 具名位置。 建立允許的國家/地區清單,然後使用這些「允許的國家/地區」建立網路封鎖原則作為排除專案。 此選項會為以較小地理位置為基礎的客戶建立較少的額外負荷。 請務必免除此原則的緊急存取帳戶。
部署條件式存取原則
當您準備好時,請分階段部署條件式存取原則。
建置條件式存取原則
如需入門,請參閱 Microsoft 365 組織的條件式存取原則範本和常見安全策略。 這些範本是部署 Microsoft 建議的便利方式。 請確定您排除緊急存取帳戶。
評估原則影響
建議您使用下列工具來評估原則在變更前後的效果。 模擬回合可讓您了解條件式存取原則的效果,它不會取代正確設定的開發環境中的實際測試回合。
- 僅限報表模式 和條件式存取深入解析和報表活頁簿。
- What If 工具
測試您的原則
請確定您測試原則的排除準則。 例如,您可能會從需要 MFA 的原則中排除使用者或群組。 測試是否提示排除的使用者輸入 MFA,因為其他原則的組合可能需要這些使用者的 MFA。
使用測試使用者執行測試方案中的每個測試。 測試計畫非常重要,它可用來比較預期結果和實際結果。 下表概述一些範例測試案例。 根據條件式存取原則的設定方式調整案例和預期結果。
| 原則 | 案例 | 預期的結果 |
|---|---|---|
| 有風險的登入 | 使用者使用未經核准的瀏覽器登入應用程式 | 根據使用者未執行登入的機率計算風險分數。 要求使用者使用 MFA 進行自我補救 |
| 裝置管理 | 授權使用者嘗試從已授權的裝置登入 | 授與的存取權 |
| 裝置管理 | 授權使用者嘗試從未經授權的裝置登入 | 已封鎖存取 |
| 有風險用戶的密碼變更 | 授權使用者嘗試使用遭洩漏的認證登入 (高風險登入) | 使用者收到變更密碼的提示,或根據您的原則已封鎖存取 |
在生產環境中部署
使用僅限報表模式確認影響之後,系統管理員可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。
回復原則
如果您需要復原新實作的原則,請使用下列一或多個選項:
停用原則。 停用原則可確保當用戶嘗試登入時,它不會套用。 當您想要使用它時,一律可以返回並啟用原則。
從原則中排除使用者或群組。 如果使用者無法存取應用程式,您可以選擇從原則中排除使用者。
警告
排除項目應該謹慎使用,只有在使用者受到信任的情況下。 用戶應儘快新增回原則或群組。
如果原則已停用且不再需要,請 將其刪除。
針對條件式存取原則進行疑難解答
如果使用者有條件式存取原則的問題,請收集下列資訊以利進行疑難解答。
- 使用者主體名稱
- 用戶顯示名稱
- 作業系統名稱
- 時間戳 (近似值沒問題)
- 目標應用程式
- 用戶端應用程式類型 (瀏覽器與用戶端)
- 相互關聯識別碼 (此識別元對登入而言是唯一的)
如果使用者收到含有 [更多詳細數據] 鏈接的訊息,他們可以為您收集大部分的資訊。
收集資訊之後,請參閱下列資源:
- 條件式存取 的登入問題 – 瞭解使用錯誤訊息和 Microsoft Entra 登入記錄與條件式存取相關的非預期登入結果。
- 使用 What-If 工具 - 瞭解原則為何在特定情況下或未套用至使用者,或原則是否會套用至已知狀態。