何謂條件式存取?
現代安全邊界超越組織網路,包含使用者和裝置的身份識別。 組織可以使用身分識別驅動訊號作為其訪問控制決策的一部分。 您可以使用 Microsoft Entra 條件式存取 ,將訊號結合在一起、做出決策,以及強制執行組織原則。
條件式存取原則最簡單就像 if-then 語句。 如果使用者想要存取某個資源,則必須完成動作。 例如,數據工程師想要存取 Azure 資料總管,但需要執行多重要素驗證 (MFA) 才能存取它。
在下列範例中,您將瞭解如何設定條件式存取原則,以使用 Azure 數據總管 Web UI 為選取的使用者強制執行 MFA。 您可以使用相同的步驟來建立其他原則,以符合組織的安全性需求。
必要條件
使用此功能需要Microsoft Entra ID P1 或 P2 授權。 若要尋找您需求的正確授權,請參閱 比較Microsoft Entra標識符的可用功能。
注意
條件式存取原則只會套用至 Azure 數據總管的數據管理作業,且不會影響任何資源管理作業。
提示
條件式存取原則會在租用戶層級套用;因此,它會套用至租使用者中的所有叢集。
設定條件式存取
以至少條件式存取系統管理員角色登入 Azure 入口網站。
瀏覽至 Microsoft Entra ID>安全性>條件式存取。
選取 [新增政策]。
![[安全性] 頁面的螢幕快照,其中顯示 [條件式存取] 索引標籤。](media/conditional-access/configure-select-conditional-access.png)
為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 下,選取 [使用者和群組]。 在 [包含]
[選取使用者和群組] 中,選取 [使用者和群組] ,新增您想要針對 [條件式存取] 包含的使用者或群組,然後選取[選取] 。![[使用者和群組] 區段的螢幕快照,其中顯示使用者指派。](media/conditional-access/configure-assign-user.png)
在 [雲端應用程式或動作] 下,選取 [雲端應用程式]。 在 包含 底下,選取 選取應用程式,以查看所有可用於條件式存取的應用程式清單。 選取 Azure 數據總管>選取。
注意
在某些情況下,應用程式名稱可能會顯示為 KustoService。
提示
請務必選取具有下列 GUID 的 Azure 數據總管應用程式:2746ea77-4702-4b45-80ca-3c97e680e8b7。
在 [條件] 下,設定您想要套用至所有裝置平臺的條件,然後選取 [完成]。 如需詳細資訊,請參閱 Microsoft Entra 條件式存取 :條件。
![[條件] 區段的螢幕快照,其中顯示條件指派。](media/conditional-access/configure-select-conditions.png)
在 [訪問控制
] 下方,選取 [ 授予 ],選取 [需要多重要素驗證 ],然後選擇選取 。
將 啟用原則 設定為 開啟,然後選取 儲存。
要求指派的使用者存取 Azure 數據總管 Web UI,以驗證原則。 應該提示使用者輸入多重身份驗證(MFA)。
