实验室:Microsoft Entra 条件访问

此实验室与下列 Learn 内容保持一致:

  • 学习路径:描述 Microsoft Entra 的功能
  • 模块:介绍 Microsoft Entra 的访问管理功能
  • 单元:描述条件访问

实验室场景

在本实验室中,你将从管理员和用户的角度探索条件访问 MFA。 作为管理员,您将创建一个策略,要求用户在访问任何 Microsoft Admin 门户时通过多重身份验证。 从用户的角度来看,你将看到条件访问策略的影响,包括注册 MFA 的过程。

预计用时:30 分钟

任务 1

在此任务中,你将以管理员身份重置用户 Debra Berger 的密码。 此步骤需要完成,以便首次以后续任务中的用户身份登录。

  1. 打开 Microsoft Edge。 在地址栏中输入 https://entra.microsoft.com 并使用管理员凭据登录。
    1. 在“登录”窗口中,输入 admin@WWLxZZZZZZ.onmicrosoft.com(其中 ZZZZZZ 是实验室托管提供商提供的唯一租户 ID),然后选择“下一步”。
    2. 输入管理员密码,该密码应由实验室托管提供商提供。 选择“登录”。
    3. 如果以前以管理员身份登录过,系统可能会提示你完成辅助身份验证,作为 MFA 的一部分。 如果以前未以管理员身份登录过,系统可能会提示你完成 MFA 注册过程。 按照屏幕上的提示设置 MFA。
    4. 在提示保持登录状态时,选择“”。

  2. 在左侧导航窗格中,展开“标识”,展开“用户”,然后选择“所有用户”。

  3. 从用户列表中选择“Debra Berger”。

  4. 从页面顶部选择“重置密码”。 由于之前没有以 Debra Berger 的身份登录,因此你不知道他的密码,需要重置密码。

  5. 当密码重置窗口打开时,请选择“重置密码”。 重要说明:请记下新密码,因为你在下一个任务中需要使用该密码才能登录为用户。

  6. 通过选择页面右上角的 X 关闭密码重置窗口,然后通过选择页面右上角的 X 关闭 Debra Berger 窗口。

  7. 从左侧导航面板选择“主页”以返回 Microsoft Entra 管理中心。

  8. 让此窗口保持打开状态。

任务 2

在此任务中,你将完成在 Microsoft Entra ID 中创建条件访问策略的过程。

  1. 打开浏览器选项卡,转到 Microsoft Entra 管理中心的主页。 如果之前关闭了该浏览器选项卡,请打开 Microsoft Edge,在地址栏中输入 https://entra.microsoft.com,使用 ALH 提供的 Microsoft 365 管理员凭据进行登录。

  2. 从左侧导航窗格中,展开“保护”,然后选择“条件访问”。

  3. 随即显示“条件访问概述”页。 在这里,你会看到显示“策略摘要”和常规警报的磁贴。 从左侧导航面板中,选择“策略”。

  4. 从左侧导航面板中,选择“策略”。 此处将列出所有现有的条件访问策略。 选择“+ 新建策略”。

  5. 在“名称”字段中,输入“阻止管理门户”。

  6. 在“用户”下,选择“选择了 0 个用户和组”。

  7. 你将看到用于包含或排除用户或组的选项。 确保选择了“包括”(带有下划线)。

  8. 选择“选择用户和组”选项,然后选择“用户和组”。 此时将打开“选择用户和组”窗口。

  9. 在搜索栏中,输入“Debra”。 从搜索栏下方选择“Debra Berger”,然后按页面底部的“选择”按钮。 请注意,通常的做法是将策略分配给组中的用户。 为方便完成本实验室,我们将策略分配给特定用户。

  10. 在“目标资源”下,选择“未选择目标资源”。

  11. 在下方显示“选择此策略的应用对象”的字段中,选择向下箭头并记下可用选项。 保留默认设置,云应用。 确保“包含”选项卡带有下划线。 选择“选择应用”,然后在显示“选择”处的下方选择“”。 此时将打开“选择云应用”窗口。

  12. 选择“Microsoft 管理门户”,然后按页面底部的“选择”。 注意警告。

  13. 在“网络”下,选择“任何网络或位置”。 查看选项,但不选择任何选项。

  14. 在“条件”下,选择“选择了 0 个条件”。 请注意可配置的各种选项。 通过该策略,可以根据来自各种条件(如用户风险、登录风险、设备平台、位置、客户端应用或设备筛选器)的信号来控制用户访问。 浏览这些可配置的选项,但不要设置任何条件。

  15. 现在将设置访问控制。 在“授权”下,选择“选择了 0 个控件”。

  16. 此时将打开“授权”窗口。 选择“阻止访问”。 按页面底部的“选择”。

  17. 在页面底部的“启用策略”下,选择“打开”,然后选择“创建”。

  18. 从左侧导航窗格中,选择“策略”。 MFA 试点策略应出现在条件访问策略列表中(如果需要,请选择页面顶部命令栏中的“刷新”图标)。

  19. 选择屏幕右上角电子邮件地址旁边的用户图标,并选择“退出”以退出。然后关闭所有浏览器窗口。

任务 3

在此任务中,你将从用户 Debra Berger 的角度了解条件访问策略的影响。 首先会登录一个未包含在条件访问策略中的应用程序(Microsoft 365 门户:https://login.microsoftonline.com)。 然后将使用包含在条件访问策略中的应用程序重复该过程(Azure 门户:https://portal.azure.com)。 回顾一下,该策略阻止访问任何 Microsoft 管理门户(包括 Azure 门户)。 备注:出于安全原因,访问任何门户的所有用户帐户都需要使用 MFA。 MFA 要求独立于本实验室练习。

  1. 打开 Microsoft Edge。 在地址栏中输入https://login.microsoftonline.com
    1. DebraB@WWLxZZZZZZ.onmicrosoft.com 身份登录(其中 ZZZZZZ 是实验室托管提供程序提供的唯一租户 ID),然后选择“下一步”。
    2. 输入你在之前的任务中记下的密码。 选择“登录”。
    3. 由于你以管理员身份重置密码时提供的密码具有临时性,因此需要更新密码。 输入当前密码,然后输入新密码,然后确认新密码。 记下新密码,因为需要它才能完成任务。
    4. 由于这是第一次以 Debra Berger 身份登录,系统可能会提示你设置 MFA。 按照屏幕上的提示设置 MFA。
    5. 在提示保持登录状态时,选择“”。 你应成功登录 Microsoft 365 帐户。

  2. 现在,你将尝试登录满足“条件访问策略”条件的应用程序。 打开新的浏览器标签页并输入 https://portal.azure.com,这是 Azure 的管理门户。 此时会显示一个弹出窗口,指示“你无权访问此窗口”。 这是阻止你访问所有 Microsoft 管理门户的条件访问策略的结果。

  3. 选择屏幕右上角电子邮件地址旁边的用户图标,并选择“退出”以退出。然后关闭所有浏览器窗口。

审阅

在本实验室中,你将完成设置条件访问策略的过程,该策略可阻止策略中包含的所有用户访问 Microsoft 管理门户。 然后,作为用户,你在访问 Azure 门户时体验到了条件访问策略的影响。