通用條件式存取原則:封鎖舊版驗證
由於與舊版驗證通訊協定相關的風險增加,Microsoft 建議組織使用這些通訊協定封鎖驗證要求,並要求進行新式驗證。 如需為何封鎖舊式驗證很重要的詳細資訊,請參閱操作說明:使用條件式存取封鎖對 Microsoft Entra ID 的舊式驗證 (部分機器翻譯) 一文。
使用者排除
條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取,來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
範本部署
組織可以選擇使用下面所述的步驟來部署此原則,或使用條件式存取範本 (部分機器翻譯)。
建立條件式存取原則
下列步驟可協助建立條件式存取原則,以封鎖舊式驗證要求。 此原則會以報告專用模式啟動,讓管理員可以判斷對現有使用者的影響。 當管理員確信原則會如預期套用時,可以切換至 [開啟],或藉由新增特定群組和排除其他群組以進行階段部署。
- 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護] > [條件式存取] > [原則]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 底下,選取 [使用者和群組],並選擇必須維持使用舊版驗證功能的任何帳戶。 Microsoft 建議您至少排除一個帳戶,以防您自己遭到鎖定。
- 在 [目標資源]>[雲端應用程式]>[包含] 底下,選取 [所有雲端應用程式]。
- 在 [條件] > [用戶端應用程式 (預覽)] 下,將 [設定] 設定為 [是]。
- 只檢查 [Exchange ActiveSync 用戶端] 和 [其他用戶端] 的方塊。
- 選取完成。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
管理員使用報告專用模式確認設定之後,即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。
注意
完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。
下一步
條件式存取範本 (部分機器翻譯)