首页
酷软
游戏
媒体
- 电影
- 剧集
- 动画
- 记录
- 综艺
- MV
- 有声世界
云资源
源码
更多
- 文库
- 系统
- web
- 站长帮
- 玩电脑
- 玩游戏
- 玩手机
- 涨姿势
- 玩软件
- 云图志
- 看漫画
- 微读书
- PS玩家
- 网文网语
- 硬件数码
- 编程开发
- 神秘之旅
- 福利线报
- 商业资源
- 网赚相关
- 健康加油站
赞助专区
云盘专区
资源阁
缘聚岛
BT种子库

[玩转系统] 使用 PowerShell 管理条件访问 (CA) 策略

作者：精品下载站日期：2024-12-14 04:01:59 浏览：14 分类：玩电脑

使用 PowerShell 管理条件访问 (CA) 策略

Microsoft 提供了多种方法来管理租户的数据和用户。 PowerShell 是一个强大的工具，用于管理资源，包括使用 AzureAD 模块中的一组 cmdlet 的条件访问策略。在本文中，我们回顾了八个 PowerShell cmdlet 以及如何使用它们。

**请注意，AzureAD 和 AzureADPreview PowerShell 模块都包含这些 cmdlet。

PowerShell 和 CA 策略

首先，使用 AzureAD 或 AzureADPreview 模块连接到 Azure Active Directory：
Connect-AzureAD

连接后，我们可以使用这两个单行代码获取可用的 PowerShell cmdlet 列表：
Get-Command *conditional*
Get-Command *named*

结合起来，我们总共得到处理条件访问策略和名称位置策略的八个 cmdlet：
Get-AzureADMSConditionalAccessPolicy
新建 AzureADMSConditionalAccessPolicy
删除-AzureADMSConditionalAccessPolicy
设置-AzureADMSConditionalAccessPolicy

获取-AzureADMSNamedLocationPolicy
新-AzureADMSNamedLocationPolicy删除-AzureADMSNamedLocationPolicy
设置-AzureADMSNamedLocationPolicy

条件访问策略设置条件以确定用户接收应用程序访问权限的条件。这些条件可以包括位置、一个或多个用户、应用程序、平台等。

在以下示例中，我们将检查这些条件，看看可以使用 PowerShell 配置哪些内容。

创建新的条件访问策略

绿地或新租户没有条件访问策略。为了利用条件访问，我们需要构建它的条件。如果需要命名位置，我们需要首先创建命名位置。让我们使用示例场景来演示此过程。

指定地点

条件访问策略可以包含与组织环境中的物理位置相对应的命名位置。命名位置可以是具有相应 IP 子网/范围的物理位置，也可以是单个国家/地区/一组国家/地区。我们可以使用命名位置来提供一个条件，控制在何处提示（或不提示）用户进行 MFA 或其他可选操作。在 Azure AD 模块中，我们看到有四个 PowerShell cmdlet 用于管理命名位置并运行典型的 Get、New、Remove 和 Set PowerShell 动词。

在新的或新建的 Azure AD 中，没有可供条件访问使用的命名位置，我们需要在 Azure AD 中或使用 PowerShell 创建这些位置。要创建新的命名位置策略，我们需要使用 New-AzureADMSNamedLocationPolicy cmdlet。

创建新的命名位置时，我们需要记住以下几点：

显示名称为必填项
需要选择 IP 范围或国家/地区列表，因为这决定了我们要创建的指定位置的类型。

对于第一个指定位置，我们可以使用一些基本标准 - 芝加哥办公室，IP 范围为 10.25.0.0，子网掩码为 16 位，我们将将此位置标记为受信任位置。还可以为纽约办事处创建第二个位置，其 IP 范围为 10.26.0.0，并且具有相同的 16 位子网掩码。创建命名位置需要 PowerShell。请注意，在下面的示例中，办公室的 IP 子网有一个 MS Graph 对象。

示例：
IT 希望条件访问策略强制对所有云应用程序进行多重身份验证 (MFA)，除非用户从两个位置访问应用程序。这些位置都是芝加哥和纽约的物理办公室，子网分别为 10.25.0.0/16 和 10.26.0.0/16。我们将首先使用 New-AzureADMSNamedLocationPolicy 创建两个命名位置，然后使用 New-AzureADMSConditionalAccessPolicy 创建一个新的 CA 策略来引用这些位置：
$CHISubnet=New-Object -TypeName Microsoft.Open.MSGraph.Model.IpRange
$CHISubnet.cidrAddress='10.25.0.0/16'
New-AzureADMSNamedLocationPolicy -OdataType “#microsoft.graph.ipNamedLocation” -DisplayName '芝加哥办公室' -IsTrusted $True -IpRanges $CHISubnet
$NYSubnet=New-Object -TypeName Microsoft.Open.MSGraph.Model.IpRange