實驗室:Microsoft Entra 條件式存取

此實驗室對應至下列 Learn 內容:

  • 學習路徑:描述 Microsoft Entra 的功能
  • 課程模組:描述 Microsoft Entra 的存取管理功能
  • 單元:描述條件式存取

實驗案例

在本實驗中,您將會以管理員與使用者的檢視方塊探索條件式存取 MFA。 您將以管理員的身分建立原則,此原則要求使用者在存取 Microsoft 管理員入口網站時進行多重要素驗證。 從使用者檢視方塊中,您將會看到條件式存取原則的影響,包括登錄 MFA 的流程。

預估時間:30 分鐘

工作 1

在此工作中,您將會以管理員身分重設使用者 Debra Berger 的密碼。 您必須進行此步驟,才能在後續工作中初次以使用者身分登入。

  1. 開啟 Microsoft Edge。 在網址列輸入 https://entra.microsoft.com 並使用管理員認證登入。
    1. 在登入視窗中輸入 admin@WWLxZZZZZZ.onmicrosoft.com (其中的 ZZZZZZ 是實驗室託管提供者所提供的唯一租用戶識別碼),然後選取 [下一步]**
    2. 輸入應由您的實驗室託管提供者提供的管理員密碼。 選取 [登入]**
    3. 視您的實驗室主機管理員而定,如果這是您第一次登入租用戶,系統可能會提示您完成 MFA 註冊程式。 如果是,請依照畫面上的提示來設定 MFA。
    4. 登入之後,系統會帶您前往 [Microsoft 365 系統管理中心] 頁面。

  2. 從左側導覽窗格中,依序展開 [身分識別]**、[使用者],然後選取 [所有使用者]**。

  3. 在使用者清單中選取 Debra Berger

  4. 請選取頁面上方的重設密碼。 因為您先前未以 Debra Berger 的身分登入,您不知道密碼為何,且需要重設密碼。

  5. 當密碼重設視窗開啟時,請選取重設密碼。 請務必記得記下新密碼,因為您需要在後續工作中以使用者身分登入。

  6. 選取頁面右上角的 X 以關閉密碼重設視窗,然後選取頁面右上角的 X 以關閉 Debra Berger 視窗。

  7. 在左側導覽面板中,選取 [首頁]** 以返回 Microsoft Entra 管理員中心。

  8. 讓此視窗保持開啟。

工作 2

在這項工作中,您將會了解在 Microsoft Entra ID 中建立條件式存取原則的流程。

  1. 開啟 Microsoft Entra 管理員中心首頁的瀏覽器索引標籤。 如果先前關閉過此瀏覽器索引標籤,請開啟 Microsoft Edge 並在網址列輸入 https://entra.microsoft.com ,然後以ALH 提供的 Microsoft 365 管理員認證登入。

  2. 在左側導覽窗格中,展開 [保護]**,然後選取 [條件式存取]**。

  3. 隨即顯示 [條件式存取概觀] 頁面。 當您登陸概觀頁面時,會 選取 [開始使用] 索引 標籤(加底線)。 選取 [概觀]** 索引標籤。在這裡,您會看到顯示原則摘要和一般警示的圖格。 在左側導覽面板中,選取 [原則]**。

  4. 在左側導覽面板中,選取 [原則]**。 此處列出現有的任何 [條件式存取原則]。 選取 [+ 新增原則]**。

  5. 在 [名稱] 欄位中,輸入 [封鎖管理入口網站]。

  6. 在 [使用者] 底下,選取 [已選取 0 個使用者和群組]**

  7. 現在您會看到選項,可以 [納入] 或 [排除] 使用者或群組。 請確保選取 納入 (已畫底線)。

  8. 請選取選取使用者與群組選項,並選取使用者與群組。 將開啟 [選取使用者與群組] 視窗。

  9. 在 [搜尋列] 輸入Debra。 請在搜尋列下方選取 Debra Berger,接著在頁面下方按一下選取按鈕。 請注意,一般情況下會指派原則到群組中的使用者。 為了本實驗的便利起見,我們將指派原則給特定的使用者。

  10. 在 [目標資源] 底下,選取 [未選取目標資源]**

  11. 在下方的欄位中,選取 [選取此原則適用內容]**,選取向下箭號並記下可用的選項。 保留預設設定 **Cloud 應用程式。 請確保包括索引標籤已畫底線。 選取 [選取應用程式]**,然後在其下方顯示 [選取],選取 [無]**。 將開啟 [選取雲端 App] 視窗。

  12. 選取 [Microsoft系統管理入口網站],然後按 頁面底部的 [選取 ]。 請注意警告。

  13. 在 [網络] 底下,選取 [ 任何網络或位置]。 檢閱選項,但不選取任何選項。

  14. 在 [條件] 下方,請選取選取 0 個條件。 請注意您可以設定的不同選項。 透過原則,您可以依照條件的訊號來控制使用者的存取權,包括內部風險、登入風險、裝置平台、位置、用戶端應用程式或裝置狀態。 探索這些可設定的選項,但不要設定任何條件。

  15. 現在您將設定存取控制。 在 [授與] 下方,請選取選取 0 個條件

  16. 將開啟 [授與] 視窗。 選取 [封鎖存取]**。 請按一下頁面底部的選取**。

  17. 在頁面底部的 [啟用原則] 下方,選取 [開啟]**,然後選取 [建立]**。

  18. 在左側導覽窗格中,選取 [原則]**。 **您剛才建立的 [封鎖管理入口網站] 原則應該會出現在條件式存取原則清單中(如有需要,請選取頁面頂端命令行中的 [重新整理] 圖示)。

  19. 若要登出,請選取畫面右上角電子郵件地址旁的使用者圖示,並選取 [登出]**。接著關閉所有瀏覽器視窗

工作 3

在這項工作中,您將會透過使用者 Debra Berger 的檢視方塊看到條件式存取原則的影響。 針對未包含在條件式存取原則中的應用程式,您一開始要先登入應用程式 (Microsoft 365 入口網站網址為 https://login.microsoftonline.com))。 接著,針對包含在條件式存取原則中的應用程式,重複上述流程 (Azure 入口網站網址為 https://portal.azure.com))。 回想一下,原則會封鎖存取任何Microsoft管理入口網站,包括 Azure 入口網站。 注意:基於安全性考慮,所有存取任何入口網站的用戶帳戶都必須使用 MFA。 MFA 需求與本實驗室練習無關。

  1. 開啟 Microsoft Edge。 在網址列中輸入 https://login.microsoftonline.com
    1. DebraB@WWLxZZZZZZ.onmicrosoft.com 的身分登入 (其中 ZZZZZZ 是實驗室託管提供者所提供的唯一租用戶識別碼),然後選取 [下一步]**
    2. 輸入您在先前工作中記下的密碼。 選取 [登入]**
    3. 因為當您以系統管理員身分提供的密碼時,重設密碼是暫時的,您必須更新密碼。 輸入目前的密碼,接著輸入新的密碼,然後確認新的密碼。 請記下新密碼,因為需要用來完成工作。
    4. 因為這是您第一次以 Debra Berger 身分登入,因此系統可能會提示您設定 MFA。 依照畫面上的提示來設定 MFA。
    5. 當提示保持登入狀態時,請選取。 您現在應可以成功登入 Microsoft 365 帳戶。

  2. 現在,您將嘗試登入符合條件式存取原則準則的應用程式。 開啟新的瀏覽器索引標籤,然後輸入 https://portal.azure.com,這是 Azure 的管理入口網站。 彈出視窗隨即出現,指出「您無法存取此專案」。 這是條件式存取原則的結果,會封鎖您對所有Microsoft系統管理入口網站的存取。

  3. 若要登出,請選取畫面右上角電子郵件地址旁的使用者圖示,並選取 [登出]。接著關閉所有瀏覽器視窗。

檢閱

在此實驗室中,您已完成設定條件式存取原則的程式,以封鎖存取原則中包含的所有使用者Microsoft管理入口網站。 然後,身為使用者,您在存取 Azure 入口網站 時遇到條件式存取原則的影響。