在 Microsoft Entra 中配置条件访问策略

当您拥有 Microsoft Entra ID P1 或 P2 许可证时，Microsoft 建议使用条件访问策略设置 MFA。这意味着您需要首先禁用安全默认设置和每用户 MFA，这样就不会出现问题。在本文中，您将了解如何在 Microsoft Entra 管理中心和使用 PowerShell 配置条件访问策略。

什么是条件访问策略

条件访问允许您在发生特定条件时强制执行访问要求。

条件访问策略是分配和访问控制的if-then语句。例如，如果用户想要访问 Microsoft 365 等应用程序或服务，那么他们必须执行多重身份验证才能获得访问权限。

请参阅下表了解一些条件访问策略示例：

状况：

• 如果用户位于公司网络 IP 地址之外。
• 如果“销售”组中的用户登录。

控制：

• 用户需要使用多重身份验证 (MFA) 登录。
• 用户必须符合 Intune 标准。

条件访问策略允许您构建管理安全控制的条件，这些安全控制可以阻止访问并需要多重身份验证。

使用条件访问策略在需要时应用正确的访问控制，以确保组织的安全。

许可证要求

您需要满足以下要求之一才能配置条件访问：

• 商业高级许可证
• Microsoft Entra ID P1 许可证
• Microsoft Entra ID P2 许可证

禁用安全默认值

在组织中实施条件访问策略之前，您必须禁用安全默认设置。

Microsoft 保护每个租户并启用安全默认设置。如果您想要配置条件访问策略，这是一个问题，因为一旦您想要创建 CA 策略，您将收到以下错误。

错误： 无法创建“需要管理员多重身份验证”
发生意外错误，请稍后重试

为了防止出现此错误，您需要在配置条件访问策略之前禁用组织的安全默认设置。

禁用 Microsoft Entra ID 中的安全默认设置

按照以下步骤禁用您的组织的安全默认设置：

1. 登录 Microsoft Entra 管理中心
2. 点击身份>概述
3. 单击属性选项卡
4. 向下滚动 > 点击管理安全默认值
5. 选择禁用
6. 选择我的组织正在使用条件访问
7. 点击保存

1. 点击禁用

您已成功禁用安全默认值。

使用 Microsoft Graph PowerShell 禁用安全默认设置

您还可以按照以下步骤使用 Microsoft Graph PowerShell 为您的组织禁用安全默认设置：

1. 首先，您需要安装 Microsoft Graph 模块。

Install-Module Microsoft.Graph -Force

1. 使用以下范围连接到 Microsoft Graph。

Connect-MgGraph -Scopes "Policy.Read.All", "Policy.ReadWrite.ConditionalAccess"

1. 使用以下 PowerShell 命令禁用安全默认值。

Update-MgPolicyIdentitySecurityDefaultEnforcementPolicy -IsEnabled:$false

1. 运行以下 PowerShell 命令来检查您是否禁用了安全默认值

Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | ft DisplayName, IsEnabled

1. PowerShell 输出显示安全默认值设置为 False。

DisplayName       IsEnabled
-----------       ---------
Security Defaults     False

在 Microsoft Entra 中创建条件访问策略

有两种方法可以创建条件访问策略：

• 从模板创建新策略
• 手动创建新策略

从模板创建新的条件访问策略

要从模板创建新的 CA 策略，请执行以下步骤：

1. 登录 Microsoft Entra 管理中心
2. 单击保护>条件访问
3. 转到概览
4. 点击从模板创建新政策

1. 转到选择模板
2. 转到安全基础
3. 选择模板要求所有用户进行多重身份验证
4. 点击查看+创建

1. 选择策略状态开启
2. 点击创建

将出现一条通知，表明已成功创建 CA 策略：需要对管理员进行多重身份验证。如果策略状态设置为开启，该策略将在几分钟内启用。

手动创建新的条件访问策略

要手动创建新的 CA 策略，请按照以下步骤操作：

1. 登录 Microsoft Entra 管理中心
2. 单击保护>条件访问
3. 转到概览
4. 点击创建新政策

1. 输入名称MFA 所有用户
2. 点击用户
3. 点击包含
4. 选择所有用户

1. 点击排除
2. 选择用户和组
3. 选择用户和组

1. 点击目标资源
2. 选择云应用
3. 点击包含
4. 选择所有云应用

1. 点击条件
2. 点击位置
3. 配置 > 选择是
4. 点击包含
5. 选择任意位置

1. 点击授予
2. 选择授予访问权限
3. 选择需要多重身份验证
4. 点击选择

1. 启用策略 > 单击开启
2. 选择我了解我的帐户将受到此政策的影响。仍要继续。
3. 点击创建

显示已成功创建 CA 策略的通知：MFA 所有用户。该策略将在几分钟后启用。

验证 Microsoft Entra 中的条件访问策略

检查您在 Microsoft Entra 管理中心创建的 CA 策略：

1. 单击保护>条件访问
2. 点击政策

我们创建的两个策略显示在条件访问策略列表中。

使用 PowerShell 配置条件访问策略

按照以下步骤使用 PowerShell 配置条件访问策略。

安装 Microsoft Graph PowerShell

在开始之前，您必须安装 Microsoft Graph 模块和 Microsoft Graph Beta 模块。

运行以下命令来安装 Microsoft Graph 模块。

Install-Module Microsoft.Graph -Force
Install-Module Microsoft.Graph.Beta -AllowClobber -Force

连接 Microsoft Graph PowerShell

您需要使用以下范围连接到 Microsoft Graph PowerShell。

Connect-MgGraph -Scopes "Policy.Read.All", "Policy.ReadWrite.ConditionalAccess"

现在，您已准备好使用 Microsoft Graph PowerShell 命令。

获取条件访问策略模板的列表

要获取条件访问策略模板的列表，我们将使用 New-MgBetaIdentityConditionalAccessPolicy PowerShell cmdlet。

运行以下 PowerShell 命令。

Get-MgBetaIdentityConditionalAccessTemplate | select Id, Name, Description

PowerShell输出结果如下所示。

Id                                   Name                                                                                           Description
--                                   ----                                                                                           -----------
c7503427-338e-4c5e-902d-abe252abfb43 Require multifactor authentication for admins                                                  Require multifactor authentication for privileged administrative accounts to reduce risk of compromise. This p… 
b8bda7f8-6584-4446-bce9-d871480e53fa Securing security info registration                                                            Secure when and how users register for Azure AD multifactor authentication and self-service password reset.     
0b2282f9-2862-4178-88b5-d79340b36cb8 Block legacy authentication                                                                    Block legacy authentication endpoints that can be used to bypass multifactor authentication.
a3d0a415-b068-4326-9251-f9cdf9feeb64 Require multifactor authentication for all users                                               Require multifactor authentication for all user accounts to reduce risk of compromise.
a4072ac0-722b-4991-981b-7f9755daef14 Require multifactor authentication for guest access                                            Require guest users perform multifactor authentication when accessing your company resources.
d8c51a9a-e6b1-454d-86af-554e7872e2c1 Require multifactor authentication for Azure management                                        Require multifactor authentication to protect privileged access to Azure management.
6b619f55-792e-45dc-9711-d83ec9d7ae90 Require multifactor authentication for risky sign-ins                                          Require multifactor authentication if the sign-in risk is detected to be medium or high. (Requires an Azure AD… 
634b6de7-c38d-4357-a2c7-3842706eedd7 Require password change for high-risk users                                                    Require the user to change their password if the user risk is detected to be high. (Requires an Azure AD Premi… 
c26a510a-3b8b-4023-8c44-d4f4c854e9f9 Require compliant or hybrid Azure AD joined device for admins                                  Require privileged administrators to only access resources when using a compliant or hybrid Azure AD joined de… 
4e39a309-931e-4cb1-a371-e2beea168002 Block access for unknown or unsupported device platform                                        Users will be blocked from accessing company resources when the device type is unknown or unsupported.
62e51ccc-c9c3-4554-ac70-066172c81007 No persistent browser session                                                                  Protect user access on unmanaged devices by preventing browser sessions from remaining signed in after the bro… 
6acdf4c3-6815-485c-a57d-2c349d517ba0 Require approved client apps or app protection policies                                        To prevent data loss, organizations can restrict access to approved modern auth client apps with Intune app pr… 
927c884e-7888-4e81-abc4-bd56ded28985 Require compliant or hybrid Azure AD joined device or multifactor authentication for all users Protect access to company resources by requiring users to use a managed device or perform multifactor authenti… 
81fd2072-4876-42b6-8157-c6000693046b Use application enforced restrictions for O365 apps                                            Block or limit access to O365 apps, including SharePoint Online, OneDrive, and Exchange Online content. This p… 
76c03f19-ea37-4656-a772-a183b4ddb81d Require phishing-resistant multifactor authentication for admins                               Require phishing-resistant multifactor authentication for privileged administrative accounts to reduce risk of… 
6364131e-bc4a-47c4-a20b-33492d1fff6c Require multifactor authentication for Microsoft admin portals                                 Use this template to protect sign-ins to admin portals if you are unable to use the "Require MFA for admins" t… 
16aaa400-bfdf-4756-a420-ad2245d4cde8 Block access for users with Insider Risk (Preview)                                             Configure insider risk as a condition to identify potential risky behavior (Requires an Azure AD premium P2 li… 

它显示所有条件访问策略模板的列表。

从模板创建条件访问策略

您可以从模板创建条件访问策略。查看上面所有模板的列表并选择其中之一。

1. 在第编号 1 行中输入模板 ID 编号
2. 运行以下 PowerShell 脚本

$CAtemplate = Get-MgBetaIdentityConditionalAccessTemplate -ConditionalAccessTemplateId "a3d0a415-b068-4326-9251-f9cdf9feeb64"

$policyParams = @{
    TemplateId  = $CAtemplate.Id
    DisplayName = $CAtemplate.Name
    State       = "enabled"
}

New-MgIdentityConditionalAccessPolicy @policyParams

请参阅下面的 PowerShell 输出结果。

Id                                   CreatedDateTime     Description DisplayName                                      ModifiedDateTime State   TemplateId
--                                   ---------------     ----------- -----------                                      ---------------- -----   ----------
a09f03f4-235c-4dfc-ab7e-f05b50e8206f 31/10/2023 12.02.42             Require multifactor authentication for all users                  enabled a3d0a415-b068-4326-9251-f9cdf9feeb64

它使用您选择的模板创建条件访问策略。

创建条件访问策略

要创建条件访问策略，我们将使用 New-MgIdentityConditionalAccessPolicy PowerShell cmdlet。

运行以下 PowerShell 脚本。

Connect-MgGraph -Scopes "Policy.Read.All", "Policy.ReadWrite.ConditionalAccess"

$params = @{
    displayName   = "MFA all users"
    state         = "enabled"
    conditions    = @{
        clientAppTypes = @(
            "All"
        )
        applications   = @{
            includeApplications = @(
                "All"
            )
        }
        users          = @{
            includeUsers  = @(
                "All"
            )
            excludeUsers  = @(
                "f034e5cd-4abb-47ca-895a-48560ec30787"
            )
            excludeGroups = @(
                "99db26ab-a3c8-4eba-a853-de022efa0021"
            )
        }
        locations      = @{
            includeLocations = @(
                "All"
            )
        }
    }
    grantControls = @{
        operator        = "OR"
        builtInControls = @(
            "mfa"
        )
    }
}

New-MgIdentityConditionalAccessPolicy -BodyParameter $params

它创建新的条件访问策略。

获取所有条件访问策略

您可以获取使用 Get-MgIdentityConditionalAccessPolicy PowerShell cmdlet 创建的所有条件访问策略的列表。

运行以下 PowerShell 命令。

Get-MgIdentityConditionalAccessPolicy | ft

请参阅下面的 PowerShell 输出。

Id                                   CreatedDateTime     Description DisplayName                                      ModifiedDateTime State   TemplateId
--                                   ---------------     ----------- -----------                                      ---------------- -----   ----------
5abe02d2-ff3f-4d31-8b20-7e7c58903462 31/10/2023 10.58.08             MFA all users                                                     enabled
a09f03f4-235c-4dfc-ab7e-f05b50e8206f 31/10/2023 12.02.42             Require multifactor authentication for all users                  enabled a3d0a415-b068-4326-9251-f9cdf9feeb64

就是这样！

了解更多：如何导出条件访问策略 »

结论

您了解了如何在 Microsoft Entra 管理中心和使用 PowerShell 为您的组织配置条件访问策略。首先，您需要禁用组织的安全默认设置。然后，您可以继续并配置条件访问策略。

您喜欢这篇文章吗？您可能还喜欢导出 Microsoft 365 用户许可证。不要忘记关注我们并分享这篇文章。