条件访问:条件

在条件访问策略中,管理员可以使用一个或多个信号来增强其策略决策。

Microsoft Entra 管理中心中条件访问策略可用条件的屏幕截图。

可以结合多个条件来创建精细且具体的条件访问策略。

当用户访问敏感应用程序时,管理员可能在访问决策中将多个条件考虑在内,例如:

  • ID 保护中的登录风险信息
  • 网络位置
  • 设备信息

用户风险

有权访问ID 保护的管理员可以将用户风险作为条件访问策略的一部分进行评估。 用户风险表示给定标识或帐户遭入侵的概率。 有关用户风险的详细信息,请参阅以下文章:什么是风险操作说明:配置和启用风险策略

登录风险

有权访问ID 保护的管理员可以将登录风险作为条件访问策略的一部分进行评估。 登录风险表示给定身份验证请求不是由标识所有者发出的概率。 有关登录风险的详细信息,请参阅以下文章:什么是风险操作说明:配置和启用风险策略

内部风险

有权访问Microsoft Purview 自适应保护的管理员可以将 Microsoft Purview 的风险信号纳入条件访问策略决策。 内部风险考虑到 Microsoft Purview 中的数据治理、数据安全性和合规性配置。 这些信号基于上下文因素,例如:

  • 用户行为
  • 历史模式
  • 异常情况检测

此条件允许管理员使用条件访问策略执行阻止访问、要求更强的身份验证方法或要求接受使用条款等操作。

此功能涉及合并参数,这些参数专门解决组织内部的潜在风险。 通过将条件访问配置为考虑内部风险,管理员可以根据上下文因素(例如,用户行为、历史模式和异常情况检测)定制访问权限。

有关详细信息,请参阅配置和启用基于内部风险的策略一文。

设备平台

条件访问使用设备(例如用户代理字符串)提供的信息来标识设备平台。 由于用户代理字符串可修改,因此此信息未经验证。 设备平台应与 Microsoft Intune 设备合规策略配合使用,或者作为块语句的一部分使用。 默认设置是将策略应用到所有设备平台。

条件访问支持以下设备平台:

  • Android
  • iOS
  • Windows
  • macOS
  • Linux

如果使用其他客户端条件来阻止旧身份验证,还可以设置设备平台条件。

选择“需要已批准的客户端应用”或“需要应用保护策略”作为唯一授权控制,或者选择“需要所有选定的控制”时,我们不支持选择 macOS 或 Linux 设备平台。

重要

Microsoft 建议你对不受支持的设备平台使用条件访问策略。 例如,如果要阻止从 Chrome OS 或任何其他不受支持的客户端访问公司资源,则应使用“设备平台条件”配置策略,该条件包括任何设备(不包括受支持的设备平台),并将控制设置授权为“阻止访问”。

位置

位置条件已移动。

客户端应用

默认情况下,即使未配置客户端应用条件,所有新创建的条件访问策略也将应用于所有客户端应用类型。

注意

已于 2020 年 8 月更新了客户端应用条件的行为。 如果你有现有的条件访问策略,这些策略将保持不变。 但是,如果单击某个现有策略,会发现配置开关已被删除,且该策略所应用到的客户端应用处于选中状态。

重要

旧身份验证客户端的登录不支持多重身份验证 (MFA),不会传递设备状态信息,因此会被条件访问授权控制(例如需要 MFA 或合规设备)阻止。 如果你的帐户必须使用旧身份验证,则必须从策略中排除这些帐户,或将策略配置为仅应用于新式身份验证客户端。

在设置为“是”时,“配置”开关适用于勾选的项;在设置为“否”时,该开关适用于所有客户端应用,包括新式的和旧式的身份验证客户端。 此开关不显示在 2020 年 8 月之前创建的策略中。

  • 新式身份验证客户端
    • 浏览者
      • 这包括使用 SAML、WS 联合身份验证、OpenID Connect 等协议的基于 Web 的应用程序,或注册为 OAuth 机密客户端的服务。
    • 移动应用和桌面客户端
      • 此选项包括 Office 桌面和手机应用程序等应用程序。
  • 旧式身份验证客户端
    • Exchange ActiveSync 客户端
      • 此选择包括所有使用 Exchange ActiveSync (EAS) 协议的情况。
      • 当策略阻止使用 Exchange ActiveSync 时,受影响的用户将收到一封隔离电子邮件。 此电子邮件将提供受阻原因,并提供修正说明(如果可以修正)。
      • 管理员可以通过条件访问 Microsoft Graph API 将策略仅应用到受支持的平台(例如 iOS、Android 和 Windows)。
    • 其他客户端
      • 此选项包括使用不支持新式身份验证的基本/旧式身份验证协议的客户端。
        • SMTP - 由 POP 和 IMAP 客户端用来发送电子邮件。
        • 自动发现 - 由 Outlook 和 EAS 客户端用来查找和连接 Exchange Online 中的邮箱。
        • Exchange Online PowerShell - 用于通过远程 PowerShell 连接到 Exchange Online。 如果阻止 Exchange Online PowerShell 的基本身份验证,则需使用 Exchange Online PowerShell 模块进行连接。 有关说明,请参阅使用多重身份验证连接到 Exchange Online PowerShell
        • Exchange Web 服务 (EWS) - Outlook、Outlook for Mac 和第三方应用使用的编程接口。
        • IMAP4 - 由 IMAP 电子邮件客户端使用。
        • 基于 HTTP 的 MAPI (MAPI/HTTP) - 由 Outlook 2010 及更高版本使用。
        • 脱机通讯簿 (OAB) - 通过 Outlook 下载并使用的地址列表集合的副本。
        • Outlook Anywhere(基于 HTTP 的 RPC)- 由 Outlook 2016 及更低版本使用。
        • Outlook 服务 - 由 Windows 10 的邮件和日历应用使用。
        • POP3 - 由 POP 电子邮件客户端使用。
        • Reporting Web Services - 用于在 Exchange Online 中检索报表数据。

这些条件通常用于:

  • 申请托管设备
  • 阻止传统身份验证
  • 阻止 Web 应用程序,但允许移动或桌面应用

支持的浏览器

此设置适用于所有浏览器。 但是,若要符合设备策略(如兼容设备要求),支持以下操作系统和浏览器。 此列表中未显示不在主流支持范围内的操作系统和浏览器:

操作系统 浏览器
Windows 10 + Microsoft Edge、ChromeFirefox 91+
Windows Server 2022 Microsoft Edge、Chrome
Windows Server 2019 Microsoft Edge、Chrome
iOS Microsoft Edge、Safari(请查看备注)
Android Microsoft Edge、Chrome
macOS Microsoft Edge、Chrome、Safari
Linux 桌面 Microsoft Edge

这些浏览器支持设备身份验证,允许根据策略对设备进行识别和验证。 如果浏览器以专用模式运行,或禁用了 cookie,设备检查将失败。

注意

Edge 85+ 要求用户登录到浏览器,以正确传递设备标识。 否则,其行为类似于没有 Microsoft 单一登录扩展的 Chrome。 在混合设备联接方案中,此登录可能不会自动发生。

在托管设备上,Safari 支持基于设备的条件访问,但它不能满足“需要批准的客户端应用”或“需要应用保护策略”条件。 类似 Microsoft Edge 的托管浏览器将满足“批准的客户端应用”和“应用保护策略”要求。 在具有第三方 MDM 解决方案的 iOS 上,只有 Microsoft Edge 浏览器支持设备策略。

Firefox 91+ 支持基于设备的条件访问,但需启用“允许 Microsoft、工作和学校帐户进行 Windows 单一登录”。

基于设备的条件访问支持 Chrome 111+,但需要启用“CloudApAuthEnabled”。

使用企业 SSO 插件的 macOS 设备需要 Microsoft 单一登录扩展来支持 Google Chrome 中的 SSO 和基于设备的条件访问。

为何我在浏览器中看到证书提示

在 Windows 7 上,使用客户端证书标识 iOS、Android 和 macOS 设备。 注册设备时会预配此证书。 用户首次通过浏览器登录时,系统会提示用户选择此证书。 用户必须在使用浏览器之前选择此证书。

Chrome 支持

Windows

如需在 Windows 10 创建者更新(版本 1703)或更高版本中获取 Chrome 支持,请安装 Microsoft 单一登录扩展或启用 Chrome 的 CloudAPAuthEnabled。 当条件访问策略需要特定于设备的详细信息时(尤其是对于 Windows 平台),需要这些配置。

若要在 Chrome 中自动启用 CloudAPAuthEnabled 策略,请创建以下注册表项:

  • 路径:HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
  • 名称:CloudAPAuthEnabled
  • 值:0x00000001
  • propertyType:DWORD

若要自动将 Microsoft 单一登录扩展部署到 Chrome 浏览器,请使用 Chrome 中的 ExtensionInstallForcelist 策略创建以下注册表项:

  • 路径:HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist
  • 名称:1
  • 类型:REG_SZ (String)
  • 数据:ppnbnpeolgkicgegkbkbjmhlideopiji;https://clients2.google.com/service/update2/crx

对于 Windows 8.1 和 7 中的 Chrome 支持,请创建以下注册表项:

  • 路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls
  • 名称:1
  • 类型:REG_SZ (String)
  • 数据:{"pattern":"https://device.login.microsoftonline.com","filter":{"ISSUER":{"CN":"MS-Organization-Access"}}}
macOS

使用企业 SSO 插件的 macOS 设备需要 Microsoft 单一登录扩展来支持 Google Chrome 中的 SSO 和基于设备的条件访问。

有关基于 MDM 的 Google Chrome 和扩展管理的部署,请参阅《在 Mac 上设置 Chrome 浏览器》《ExtensionInstallForcelist》

支持的移动应用程序和桌面客户端

管理员可以选择“移动应用和桌面客户端”作为客户端应用。

此设置会影响通过以下移动应用和桌面客户端做出的访问尝试:

客户端应用 目标服务 平台
Dynamics CRM 应用 Dynamics CRM Windows 10、Windows 8.1、iOS 和 Android
“邮件/日历/联系人”应用、Outlook 2016、Outlook 2013(使用新式身份验证) Exchange Online Windows 10
用于应用的 MFA 和位置策略。 不支持基于设备的策略。 任何“我的应用”应用服务 Android 和 iOS
Microsoft Teams 服务 - 此客户端应用控制支持 Microsoft Teams 及其所有客户端应用(Windows 桌面、iOS、Android、WP 和 Web 客户端)的所有服务 Microsoft Teams Windows 10、Windows 8.1、Windows 7、iOS、Android 和 macOS
Office 2016 应用、Office 2013(采用新式身份验证)、OneDrive 同步客户端 SharePoint Windows 8.1、Windows 7
Office 2016 应用、通用 Office 应用、Office 2013(采用新式身份验证)、OneDrive 同步客户端 SharePoint Online Windows 10
Office 2016(仅限 Word、Excel、PowerPoint、OneNote)。 SharePoint macOS
Office 2019 SharePoint Windows 10、macOS
Office 移动应用 SharePoint Android、iOS
Office Yammer 应用 Yammer Windows 10、iOS、Android
Outlook 2019 SharePoint Windows 10、macOS
Outlook 2016 (Office for macOS) Exchange Online macOS
Outlook 2016、Outlook 2013(采用新式身份验证)、Skype for Business(采用新式身份验证) Exchange Online Windows 8.1、Windows 7
Outlook 移动应用 Exchange Online Android、iOS
Power BI 应用 Power BI 服务 Windows 10、Windows 8.1、Windows 7、Android 和 iOS
Skype for Business Exchange Online Android、iOS
Azure DevOps Services(以前称为 Visual Studio Team Services 或 VSTS)应用 Azure DevOps Services(以前称为 Visual Studio Team Services 或 VSTS) Windows 10、Windows 8.1、Windows 7、iOS 和 Android

Exchange ActiveSync 客户端

  • 管理员在将策略分配给用户或组时,只能选择 Exchange ActiveSync 客户端。 选择“所有用户”、“所有来宾和外部用户”或“目录角色”会使所有用户成为策略的使用者。
  • 管理员创建分配给 Exchange ActiveSync 客户端的策略时,Exchange Online 应为唯一分配给该策略的云应用程序。
  • 管理员可以使用“设备平台”条件将此策略的范围缩小为特定的平台。

如果分配给策略的访问控制使用“需要已批准的客户端应用”,则会将用户定向到相应的位置让他们安装并使用 Outlook 移动客户端。 在需要多重身份验证、使用条款或自定义控件的情况下,受影响的用户会遭到阻止,因为基本身份验证不支持这些控件。

有关详细信息,请参阅以下文章:

其他客户端

通过选择“其他客户端”,可以指定一个条件,该条件会影响通过邮件协议(如 IMAP、MAPI、POP、SMTP)使用基本身份验证的应用和不使用新式身份验证的旧版 Office 应用。

设备状态(已弃用)

此条件已弃用。 客户应在条件访问策略中使用“设备筛选器”条件,以满足以前使用设备状态条件实现的各种场景。

重要

设备状态和设备筛选器不能在条件访问策略中一起使用。 设备筛选器提供更精细的目标控制,包括支持通过 trustTypeisCompliant 属性将设备状态信息指定为目标。

设备筛选器

在将“设备筛选器”配置为条件时,管理员可以使用针对设备属性的规则表达式来根据筛选器选择包含或排除设备。 可以使用规则生成器或规则语法来创作“设备筛选器”的规则表达式。 这种体验类似于用于组的动态成员资格规则的体验。 有关详细信息,请参阅条件访问:设备筛选器一文。

身份验证流(预览版)

身份验证流控制组织如何使用某些身份验证和授权协议及授权。 这些流可能会为可能缺少本地输入设备(如共享设备或数字标牌)的设备提供无缝体验。 使用此控件配置传输方法,例如设备代码流或身份验证传输

后续步骤