共用方式為

使用存取權檢閱來管理已從條件式存取原則中排除的使用者

  • 發行項

在理想的世界中,所有使用者都會遵循存取原則來安全地存取您組織的資源。 不過,有時候會有需要您視為例外狀況的商務案例。 本文會介紹一些可能需要排除項目的範例。 身為 IT 系統管理員的您可以管理這項工作,避免疏忽原則例外狀況,以及向稽核員提供使用 Microsoft Entra 存取權檢閱定期檢閱這些例外狀況的證明。

注意

需要有效的 Microsoft Entra ID P2 或 Microsoft Entra ID 控管、Enterprise Mobility + Security E5 付費或試用版授權,才能使用 Microsoft Entra 存取權檢閱。 如需詳細資訊,請參閱 Microsoft Entra 版本

您為何要從原則中排除使用者?

假設身為管理員,您決定使用 Microsoft Entra 條件式存取來要求多重要素驗證 (MFA),並限制對特定網路或裝置的驗證要求。 在部署規劃期間,您發現並非所有的使用者都可以符合這些需求。 例如,您可能有從遠端辦公室工作的使用者,其不屬於您的內部網路。 您可能也必須配合使用不受支援裝置進行連線但同時等待這些裝置被取代的使用者。 簡言之,企業需要這些使用者登入並執行其工作,因此您會將其從條件式存取原則中排除。

另一個範例是,您可能會使用 條件式存取中的具名位置 來指定一組您不想允許使用者存取其租用戶的國家/地區。

可惜的是,有些使用者可能仍有正當理由要從這些遭到封鎖的國家/區域進行登入。 例如,使用者可能出差當中而且需要存取公司資源。 在此情況下,用來封鎖這些國家/區域的條件式存取原則,可能使用從原則中排除的使用者所適用的雲端安全性群組。 旅行時需要存取的使用者可以使用 Microsoft Entra 自助式群組管理以將自己新增至群組。

另一個範例可能是您有條件式存取原則 會封鎖大部分使用者的舊版驗證。 不過,如果有些使用者需要使用舊版驗證方法才能存取特定資源,則您可以從封鎖舊版驗證方法的原則中排除這些使用者。

注意

Microsoft 強烈建議您在租用戶中封鎖使用舊版通訊協定,以改善安全性狀態。

為何排除項目具有挑戰性?

在 Microsoft Entra ID 中,您可以將條件式存取原則的範圍設定為一組使用者。 您也可以選取 Microsoft Entra 角色、個別使用者或來賓來設定排除項目。 您應該記住,設定排除項目後,就無法對遭到排除的使用者強制原則意圖。 如果使用使用者清單或使用舊版內部部署安全性群組來設定排除項目,則您可看到的排除項目有所限制。 因此:

  • 使用者可能不知道自己已被排除。

  • 使用者可加入安全性群組以略過此原則。

  • 已排除的使用者之前可能符合排除資格,但不再符合此資格。

第一次設定排除時,通常會有一份略過原則的候選使用者名單。 經過一段時間,會將更多的使用者新增至排除,因此清單會成長。 在某些時候,您需要檢閱這份清單,並確認其中每個使用者仍符合排除資格。 從技術觀點來管理排除項目清單相當容易,但是由誰進行商務決策,以及如何確定全都可稽核? 不過,如果您使用 Microsoft Entra 群組來設定排除項目,則可以使用存取權檢閱作為補償控制項,以提高可見度並減少已排除使用者的數目。

如何在條件式存取原則中建立排除群組

遵循下列步驟,以建立新的 Microsoft Entra 群組以及未套用至該群組的條件式存取原則。

建立排除群組

  1. 以至少是使用者管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[群組]>[所有群組]

  3. 選取新增群組

  4. 在 [群組類型] 清單中,選取 [安全性]。 指定名稱和描述。

  5. 務必將 [成員資格] 類型設定為 [已指派]

  6. 選取應成為此排除項目群組成員的使用者,然後選取 [建立]

Microsoft Entra ID 中的新增群組窗格

建立可排除群組的條件式存取原則

您現在可以建立使用此排除群組的條件式存取原則。

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[條件式存取]

  3. 選取 [建立新原則]

  4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。

  5. 在 [指派] 下方,選取 [使用者和群組]

  6. 在 [包含] 索引標籤上,選取 [所有使用者]

  7. 在 [排除] 下方,選取 [使用者和群組],然後選擇您已建立的排除項目群組。

    注意

    最佳做法:建議在測試時從原則中排除至少一個系統管理員帳戶,以確保您不會被鎖定在您的租用戶外。

  8. 繼續根據貴組織的需求來設定條件式存取原則。

在條件式存取中選取已排除的使用者窗格

我們會討論您可以使用存取權檢閱來管理條件式存取原則中排除項目的兩個範例。

範例 1:可供使用者從已封鎖的國家/地區存取的存取權檢閱

假設您有可封鎖從特定國家/區域存取的條件式存取原則。 其中包含從原則中排除的群組。 以下是會檢閱群組成員的建議存取權檢閱。

範例 1 的建立存取權檢閱窗格

注意

至少需要身分識別治理系統管理員或使用者系統管理員角色,才能建立存取權檢閱。 如需建立存取權檢閱的逐步指南,請參閱:建立群組和應用程式的存取權檢閱

  1. 每週都會進行檢閱。

  2. 檢閱永遠不會結束,以確保您將此排除群組保持在最新狀態。

  3. 此群組的所有成員都在檢閱範圍內。

  4. 每個使用者都需要自我表明仍然需要從這些已封鎖的國家/區域進行存取,因此仍然需要為群組的成員。

  5. 如果使用者未回應檢閱要求,則會自動將其從群組中移除,因此前往這些國家/區域時,無法再存取租用戶。

  6. 啟電子用郵件通知,讓使用者得知存取權檢閱的開始和完成。

範例 2:可供使用者透過舊版驗證存取的存取權檢閱

假設您有一個條件式存取原則,可封鎖使用舊版驗證和較舊用戶端版本的使用者進行存取,而且包含已從原則中排除的群組。 以下是會檢閱群組成員的建議存取權檢閱。

範例 2 的建立存取權檢閱窗格

  1. 此檢閱必須是週期性檢閱。

  2. 群組中的每個人都必須經過檢閱。

  3. 您可以將該原則設定為列出商務單位擁有者作為選取的檢閱者。

  4. 自動套用結果,並移除未獲核准繼續使用舊版驗證方法的使用者。

  5. 這可能有助於啟用建議事項,讓大型群組的檢閱者得以輕鬆地進行其決策。

  6. 啟用郵件通知,讓使用者能收到開始和完成存取權檢閱的通知。

重要

如有許多排除群組,因此需要建立多個存取權檢閱,則 Microsoft Graph 可讓您以程式設計方式來建立和管理存取權檢閱。 若要開始使用,請參閱存取權檢閱 API 參考在 Microsoft Graph 中使用存取權檢閱 API 的教學課程

存取權檢閱結果和稽核記錄

既然您已備妥一切 (群組、條件式存取原則和存取權檢閱),就可以開始監視和追蹤這些檢閱的結果。

  1. 以至少作為 [身分識別治理系統管理員] 的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別治理] > [存取權檢閱]

  3. 選取您要與已建立排除原則的群組搭配使用的存取權檢閱。

  4. 選取 [結果],以查看有誰已獲核准留在清單上,以及誰已遭移除。

    存取權檢閱結果會顯示已獲得核准的人員

  5. 選取 [稽核記錄] 以查看已在此檢閱期間採取的動作。

IT 系統管理員知道管理您原則的排除群組有時是不可避免的。 不過,使用存取權檢閱,可以更輕鬆地維護這些群組、由商務擁有者或使用者自己定期檢閱,以及稽核這些變更。

下一步