共用方式為

條件式存取:使用者、群組和工作負載身分識別

  • 發行項

條件式存取原則必須將使用者、群組或工作負載身分識別指派包含為決策流程中的其中一個訊號。 這些身分識別都可包含在條件式存取原則中或從中排除。 Microsoft Entra ID 會評估所有的原則,並確保在授與存取權之前符合所有的需求。

包含使用者

這份使用者清單通常包含組織在條件式存取原則中作為目標的所有使用者。

當建立條件式存取原則時,可包含下列選項。

  • None
    • 未選取使用者
  • 所有使用者
    • 目錄中有所有使用者,包括 B2B 來賓。
  • 選取使用者和群組
    • 來賓或外部使用者
      • 此選取項目提供數個選項,可用來將條件式存取原則設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租用戶。 有數種不同類型的來賓或外部使用者可以選取,而且可以選取多個項目:
        • B2B 共同作業來賓使用者
        • B2B 共同作業成員使用者
        • B2B 直接連接使用者
        • 本地來賓使用者,例如屬於主租用戶且使用者類型屬性設為來賓的任何使用者
        • 服務提供者使用者,例如雲端解決方案提供者 (CSP)
        • 其他外部使用者,或未由其他使用者類型選取項目表示的使用者
      • 可以針對選取的使用者類型指定一或多個租用戶,或者您可以指定所有租用戶。
    • 目錄角色
      • 允許系統管理員選取用於決定原則指派的特定內建目錄角色。 例如,組織可能會針對主動指派特殊權限角色的使用者,建立更嚴格的原則。 不支援其他角色類型,包括系統管理單位範圍的角色和自訂角色。
        • 條件式存取可讓系統管理員選取一些列為已淘汰的角色。 這些角色仍會出現在基礎 API 中,且我們允許系統管理員對它們套用原則。
    • 使用者和群組
      • 允許以特定的一組使用者作為目標。 例如,當選取 HR 應用程式作為雲端應用程式時,組織可選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra ID 中任何類型的使用者群組,包括動態或已指派的安全性與通訊群組。 原則會套用到巢狀的使用者和群組。

重要

當選取條件式存取原則中包含的使用者和群組時,會限制直接新增至條件是存取原則的個別使用者數目。 如果必須將大量的個別使用者直接新增至條件是存取原則,建議您將使用者放置於群組,並改為將群組指派至條件是存取條件。

如果使用者或群組是由超過 2048 個群組成員所組成,則會封鎖其存取權。 這項限制適用於直接和巢狀群組成員資格。

警告

條件式存取原則不支援指派下列兩種目錄角色的使用者:管理單位範圍的目錄角色或物件直接範圍的目錄角色 (例如透過自訂角色)。

注意

將原則設為 B2B 直接連線外部使用者時,這些原則也會套用至存取 Teams 或 SharePoint Online 的 B2B 共同作業使用者,這些使用者也有資格進行 B2B 直接連線。 這同樣適用於以 B2B 共同作業外部用戶為目標的原則,這表示如果存取 Teams 共用頻道的使用者在租用戶中也有來賓使用者存在,則會套用 B2B 共同作業原則。

排除使用者

當組織同時包含和排除使用者或群組時,使用者或群組會從原則中排除。 排除動作會覆寫原則中的包含動作。 排除功能通常用於緊急存取或急用帳戶。 如需緊急存取帳戶和其重要性的詳細資訊,請參閱下列文章:

當建立條件式存取原則時,可排除下列選項。

  • 來賓或外部使用者
    • 此選取項目提供數個選項,可用來將條件式存取原則設為特定來賓或外部使用者類型,以及包含這些類型使用者的特定租用戶。 有數種不同類型的來賓或外部使用者可以選取,而且可以選取多個項目:
      • B2B 共同作業來賓使用者
      • B2B 共同作業成員使用者
      • B2B 直接連接使用者
      • 本地來賓使用者,例如屬於主租用戶且使用者類型屬性設為來賓的任何使用者
      • 服務提供者使用者,例如雲端解決方案提供者 (CSP)
      • 其他外部使用者,或未由其他使用者類型選取項目表示的使用者
    • 可以針對選取的使用者類型指定一或多個租用戶,或者您可以指定所有租用戶。
  • 目錄角色
  • 使用者和群組
    • 允許以特定的一組使用者作為目標。 例如,當選取 HR 應用程式作為雲端應用程式時,組織可選取包含 HR 部門所有成員的群組。 群組可以是 Microsoft Entra ID 中任何類型的群組,包括動態或已指派的安全性與通訊群組。 原則會套用到巢狀的使用者和群組。

避免系統管理員遭到鎖定

若要防止系統管理員鎖定,在建立套用至 [所有使用者] 和 [所有應用程式] 的原則時,會出現下列警告。

請避免將自己鎖定! 建議先將原則套用至一小組使用者,確認行為是否如預期。 我們也建議您至少將一位系統管理員從此原則中排除。 這確保在需要變更的情況下您仍有存取權並可更新原則。 請檢閱受影響的使用者和應用程式。

原則依預設會提供選項以將目前使用者從原則中排除,但系統管理員可以覆寫此預設,如下列圖片所示。

注意,請不要將自己鎖定!

如果您發現自己遭到鎖定,請參閱:如果遭到鎖定該怎麼辦?

外部合作夥伴存取

以外部使用者為目標的條件式存取原則可能會干擾服務提供者存取,例如細微的委派系統管理權限:細微的委派系統管理權限 (GDAP) 簡介。 針對目標為服務提供者租用戶的原則,請使用來賓或外部使用者選取項目中可用的服務提供者使用者外部使用者類型。

工作負載身分識別

工作負載身分識別是一種身分識別,可讓應用程式或服務主體存取資源,有時是在使用者的內容中。 條件式存取原則可以套用至租用戶中已註冊的單一租用戶服務主體。 協力廠商 SaaS 與多租用戶應用程式不在範圍內。 原則未涵蓋受控識別。

組織可以將特定工作負載身分識別設為要包含在原則中或從原則中排除的目標。

如需詳細資訊,請參閱下列文章:適用於工作負載身分識別的條件式存取

下一步