如何使用 Graph PowerShell 部署条件访问模板

条件访问模板是将最佳实践设置快速部署到您的环境的好方法。它们还可以帮助您在使用 PowerShell 部署条件访问策略时简化流程并减少工作量。

在本教程中，我将向您展示如何使用 Microsoft Graph PowerShell 从模板部署条件访问策略。

有关使用 Microsoft Graph PowerShell 部署自定义条件访问策略的完整指南，请查看我的教程：如何使用 Microsoft Graph PowerShell 创建条件访问策略

什么是条件访问模板？

条件访问模板是预定义的条件访问策略，其中包含常见的最佳实践条件和控制，使您能够在租户中快速轻松地部署 Microsoft 推荐的安全性。模板分为 5 类，所有类别的详细信息如下：

• 安全基础
• 零信任
• 远程工作
• 保护管理员
• 新出现的威胁

以下是所有可用条件访问模板的列表：

• 需要管理员进行多重身份验证：secureFoundation、zeroTrust、protectAdmins
• 确保安全信息注册安全：secureFoundation、zeroTrust、remoteWork
• 阻止旧式身份验证：secureFoundation、zeroTrust、remoteWork、protectAdmins
• 要求所有用户进行多重身份验证：secureFoundation、zeroTrust、remoteWork
• 访客访问需要多重身份验证：zeroTrust、remoteWork
• Azure 管理需要多重身份验证：secureFoundation、zeroTrust、protectAdmins
• 有风险的登录需要多重身份验证：zeroTrust、remoteWork
• 要求高风险用户更改密码：zeroTrust、remoteWork
• 管理员需要兼容或混合 Azure AD 加入设备：remoteWork、protectAdmins
• 阻止对未知或不支持的设备平台的访问：zeroTrust、remoteWork
• 无持久浏览器会话：zeroTrust、remoteWork
• 需要批准的客户端应用程序或应用程序保护策略：zeroTrust、remoteWork
• 要求所有用户使用合规或混合 Azure AD 加入设备或多因素身份验证：secureFoundation、zeroTrust
• 对 O365 应用程序使用应用程序强制限制：remoteWork
• 需要管理员进行防网络钓鱼的多因素身份验证：protectAdmins、emergingThreats
• Microsoft 管理门户需要多重身份验证（预览版）：zeroTrust、protectAdmins

先决条件和权限

要使用 PowerShell 从模板创建条件访问策略，我们需要确保具备以下条件：

1. 需要安装 Microsoft Graph 当前模块和 Microsoft Graph Beta 模块。请按照我的教程了解安装模块的详细步骤：https://ourcloudnetwork.com/how-to-install-the-microsoft-graph-powershell-sdk/

2. 您需要使用租户中的全局管理员帐户同意以下权限：Policy.Read.All 和 Policy.ReadWrite.ConditionalAccess。

使用 Microsoft Graph PowerShell 部署条件访问模板

要使用 Microsoft Graph PowerShell 从模板在 Microsoft Entra 中部署条件访问策略，您首先需要使用上面详述的所需权限连接到您的环境：

Connect-MgGraph -scope Policy.Read.All, Policy.ReadWrite.ConditionalAccess

连接后，您可以使用 Get-MgBetaIdentityConditionalAccessTemplate cmdlet 根据描述识别您希望使用的模板：

Get-MgBetaIdentityConditionalAccessTemplate 

您的输出将如下所示：

如果这没有为您提供足够的详细信息，那么下一个最好的查看位置是 Microsoft Entra 管理门户中的模板。请按照以下步骤分析门户中的模板：

1. 登录Microsoft Entra
2. 展开保护并选择条件访问
3. 点击从模板创建新政策
4. 单击查看评估每个模板中的策略设置

确定正确的策略后，再次使用 Get-MgBetaIdentityConditionalAccessTemplate 查找策略的 ID，然后将该策略保存到变量中，如下所示：

$catemplate = Get-MgBetaIdentityConditionalAccessTemplate `
-ConditionalAccessTemplateId c7503427-338e-4c5e-902d-abe252abfb43

要使用此变量创建策略，请使用 New-MgIdentityConditionalAccessPolicy cmdlet。以下命令将使用我们上面指定的模板创建新策略，并确保该策略是在仅报告模式下创建的：

New-MgIdentityConditionalAccessPolicy `
-TemplateId $catemplate.Id `
-DisplayName $catemplate.Name `
-State enabledForReportingButNotEnforced