如何在 Microsoft 365 中使用条件访问身份验证上下文

在当前的条件访问策略下，对我们组织的敏感信息定义更精细的控制一直很困难。

为了解决此限制，引入了新的条件访问身份验证上下文。

条件访问身份验证上下文是一项最新功能，目前处于公共预览版。它可以与现有的条件访问策略相补充。

在继续讨论条件访问身份验证上下文之前，让我们简要浏览一下条件访问策略。

什么是条件访问策略？

条件访问策略用于为组织的资源提供额外的保护。在多重身份验证场景中，只有在满足第一个身份验证因素后，才会实施 CA 策略。

条件访问策略旨在根据访问请求的信号做出决策。共同的决定是：

• 阻止访问 - 最严格的决定
• 授予访问权限 - 限制最少的决定

条件访问策略中用于做出决策的常见信号有：

1. 用户或组
2. IP位置信息
3. 设备
4. 应用
5. 实时和计算的风险检测
6. Microsoft 云应用安全 (MCAS)

让我们尝试通过一个示例来了解整个事情 - 常见的条件访问策略：要求对具有管理角色的用户进行多重身份验证

在此策略中，如果具有管理员权限的用户请求访问资源，则需要多重身份验证。因此，如果信号与访问请求中的“具有管理角色的用户”相匹配，则会做出“授予需要多重身份验证的访问权限”的决定。

此外，管理员可以使用 Azure AD 中新发布的 MFA 注册详细信息报告来确保 MFA 执行。

现有条件访问政策缺少什么？

现有的条件访问策略主要是应用程序级别的，并没有提供我们需要的资源粒度。

让我们尝试通过一个示例场景来理解这一点。

假设某个组织有一个特定的 SharePoint 网站，其中保存了一些机密数据。因此，公司必须为该特定 SharePoint 网站提供增强的安全层。

根据现有的条件访问策略，我们只能在应用程序或服务级别提供保护。此外，我们只能根据用户和目录角色分配来控制访问。即，我们只能使该策略适用于我们在此处选择的用户的活动。

对于我们主要关心的问题，我们只能选择激活整个应用程序的策略。即在预先定义的条件下，只要指定的应用程序被访问，就会触发该策略。

但我们需要的是条件访问策略中不提供的细粒度保护。

什么是条件访问身份验证上下文？

条件访问身份验证上下文类似于敏感度标签的概念。该功能可以与条件访问策略一起使用。通过身份验证上下文，我们可以标记需要保护的资源，并根据特定条件授予对这些标记资源的访问权限。是不是很酷？

让我们检查一下实现条件访问身份验证上下文所涉及的步骤：

1. 创建身份验证上下文并发布它。
2. 添加具有现有条件访问策略的身份验证上下文。
3. 最后，使用配置的 CA 身份验证上下文标记我们需要保护的资源。

这里的目标是在访问应用或服务的特定内容（用 CA 身份验证上下文标记的资源）时强制执行条件访问策略。这样我们就可以保护我们组织的敏感和重要数据免遭不必要的利用。假设非管理员用户尝试访问已使用身份验证上下文标记的特定 SharePoint 网站。与该身份验证上下文关联的 CA 策略已配置为要求非管理员进行 MFA。

因此，非管理员用户现在需要完成 MFA 才能获得访问权限。条件访问限制可以通过要求多重身份验证、兼容设备甚至基于 GPS 的位置来触发。

让我们深入了解使用条件访问策略实施条件访问身份验证上下文所涉及的步骤：

第 1 步：配置身份验证上下文

在 Azure AD 门户中，转到“条件访问 -> 身份验证上下文（预览版）”。选择新身份验证上下文。

为身份验证上下文提供相关的名称和描述。

请记住勾选“发布到应用程序”复选框，因为这将使身份验证上下文可供组织中的所有兼容应用程序使用。

注意：由于该功能处于预览状态，因此无法删除已生成的认证上下文。此外，它仅限于 25 个身份验证上下文定义。

第 2 步：使用身份验证上下文标记资源

我们需要标记我们想要保留的资源。在这里，让我们使用身份验证上下文标记 SharePoint 网站。

这可以通过两种方式完成：

1. 使用敏感度标签
2. 使用 SharePoint 管理外壳。

使用敏感度标签：

创建敏感度标签时，我们可以使用敏感度标签的“外部共享和设备访问”配置来配置身份验证上下文。请参阅下图。

现在，我们要使用此敏感度标签标记的资源将自动使用身份验证上下文进行标记。

使用 SharePoint Management Shell：

为此，请在 SP 管理 shell 中运行以下命令：

Set-SPOSite -Identity <site url> -ConditionalAccessPolicy AuthenticationContext -AuthenticationContextName "Name of authentication context"

是您要标记身份验证上下文的 SharePoint 网站的 URL。并且身份验证上下文的名称将在 cmdlet 中提供

注意：如果站点带有敏感度标签，则应在使用身份验证上下文标记站点之前删除该标签。

步骤 3：使用条件访问策略中的身份验证上下文作为决策信号

现在我们将在 CA 策略中使用身份验证上下文。

为此，您可以创建 CA 策略并将其分配给身份验证上下文，而不是将 CA 策略分配给云应用程序。

否则，您可以修改现有的条件访问策略，以便可以为带有身份验证上下文标记的资源触发该策略。

现在，如果访问带有身份验证上下文标记的资源，就会触发该策略。

确认应用的身份验证上下文：

我们可以通过查看应用的条件访问策略的结果来确认触发的身份验证上下文。

导航到 Azure Active Directory > 监控 > 登录并验证登录信息，并将其与配置的条件访问策略的身份验证上下文进行比较。

结论...

新的条件访问身份验证上下文为组织的资源提供了广泛的技术控制。除了成为应用程序内部细化控制的一项出色功能之外，为正确的资源选择正确的条件访问身份验证上下文也成为这里的关键部分。