如何在 Azure Active Directory 中创建条件访问策略

在这篇文章中，我将讨论什么是条件访问策略以及它们如何保护您的组织。然后，我们将完成通过 Azure Active Directory 创建条件访问策略的过程。

如果你想了解如何使用 PowerShell 创建条件访问策略，以便自动化或简化该过程，请查看我的教程：使用 PowerShell 创建 Azure AD 条件访问策略。

我需要什么许可证才能使用条件访问？

要使用条件访问，所有用户都必须获得 Azure Active Directory Premium 计划 1 的许可。如果你现在拥有适当的许可，则应考虑在你的环境中启用安全默认值，因为它是免费的。请参阅：如何在 Azure Active Directory 中启用安全默认值

什么是 Azure Active Directory 中的条件访问？

条件访问策略是一组 if-then 语句，您可以使用它们根据您定义的条件允许用户访问租户内的某些资源。条件访问允许您在适合您作为管理员的精细级别上保护您的组织。

条件访问策略如何运作？

为了分解策略，当条件访问策略到位时，当用户尝试访问服务时，策略会收到该信号（用户、位置、正在使用的设备、正在访问的服务），然后应用条件（允许访问） ，需要 MFA 或阻止访问）。

示例：

条件访问策略已到位，该策略规定，如果用户是帐户组的成员并且他们尝试访问 OWA (Outlook Web App)，则每次登录时都会强制执行 MFA。正如其所述，每次帐户组的成员尝试访问 Outlook 网页版时，他们每次登录时都会受到 MFA 的挑战。如果组织中的现有成员通过记住其浏览器是安全的来定期使用 OWA，则情况也是如此，如果他们被添加到组中，那么他们每次登录时都会受到质疑。

如何创建条件访问策略

• 登录 Azure Active Directory 管理中心 https://aad.portal.azure.com/

• 从左侧菜单中选择Azure Active Directory

• 在“管理”下，选择安全 > 条件访问

• 选择创建新策略，您还可以选择从预定义模板创建策略

• 为策略创建一个有意义的名称，从名称中明确策略的作用

• 作业下有 3 个选项

  • 用户或工作负载身份：要求您决定此政策将应用于哪些用户、群组或服务原则。
• 云应用程序或操作允许您选择在访问时应用此策略的应用程序或操作。
• 条件可让您定义必须满足哪些条件才能应用此政策，例如位置或设备类型。

• 然后在访问控制下，您有 2 个选项：

  • 授予：允许您控制是否要阻止对已配置资源的访问或需要更高级别的身份验证才能访问。
• 会话：允许您控制当前会话中的用户体验，例如登录频率或覆盖登录时“保持登录”的选项。

• 最后，我们需要确定我们的策略是打开、关闭还是仅报告模式。就我而言，我将把我的策略设置为开启。

您现在已经配置了条件访问策略！请务必在 https://ourcloudnetwork.com/tutorials/ 查看更多教程