条件访问：应用程序筛选器

目前，条件访问策略可应用于所有应用或个人应用。有大量应用的组织可能会发现此过程难以跨多个条件访问策略进行管理。

应用程序筛选器适用于条件访问，组织通过该功能可以使用自定义属性标记服务主体。然后将这些自定义属性添加到其条件访问策略。应用程序筛选器在令牌颁发的运行时进行评估，而不是在配置时。

在本文中，你将创建自定义属性集，为应用程序分配自定义安全属性，并创建条件访问策略来保护应用程序。

分配角色

自定义安全属性对安全比较敏感，只能由委托的用户进行管理。应将以下一个或多个角色分配给管理或报告这些属性的用户。

角色名称	说明
属性分配管理员	将自定义安全属性键和值分配给受支持的 Microsoft Entra 对象。
属性分配读取器	读取受支持的 Microsoft Entra 对象的自定义安全属性键和值。
属性定义管理员	定义和管理自定义安全属性的定义。
属性定义读取器	读取自定义安全属性的定义。

将适当的角色分配给在目录范围内管理或报告这些属性的用户。有关详细步骤，请参阅分配Microsoft Entra 角色。

重要说明

默认情况下，全局管理员和其他管理员角色无权读取、定义或分配自定义安全属性。

按照文章中的说明作，在 Microsoft Entra ID 中添加或停用自定义安全属性，以添加以下 属性集 和新属性。

注意

应用程序的条件访问筛选器仅适用于类型的 string自定义安全属性。自定义安全属性支持创建布尔数据类型，但条件访问策略仅支持 string。

至少以 "条件访问管理员" 和 "属性定义读取者" 的身份登录到 "Microsoft Entra 管理中心"。
浏览到 Entra ID>条件访问。
选择“新策略”。
为策略指定一个名称。建议组织创建一个有意义的策略名称标准。
在“分配”下，选择“用户或工作负载标识”。
1. 在“包括”下，选择“所有用户”。
2. 在“排除”下，选择“用户和组”，并选择组织的紧急访问或不受限帐户。
3. 选择“完成”。
在“目标资源”下，选择以下选项：
1. 选择此策略适用于哪些云应用。
2. 包括“选择资源”。
3. 选择“编辑筛选器”。
4. 将“配置”设置为“是”。
5. 选择我们之前创建的名为 policyRequirement 的属性。
6. 将“运算符” 设置为“包含”。
7. 将“值”设置为“requireMFA”。
8. 选择“完成”。
在访问控制>授予下，依次选择“授予访问权限”、“需要多重身份验证”和“选择”。
确认设置，然后将“启用策略”设置为“仅限报告”。
选择“创建”以创建并启用策略。

管理员使用策略影响或仅报告模式评估策略设置后，可以将 “启用策略 ”切换从 “仅报告 ”移动到 “打开”。

如果已有一个使用服务主体的测试应用程序，则可以跳过此步骤。

设置示例应用程序，演示作业或 Windows 服务如何使用应用程序标识而不是用户标识运行。按照快速入门文章中的说明：获取令牌，并使用控制台应用的标识创建此应用程序来调用 Microsoft 图形 API 。

如果租户中未列出服务主体，则不能将其作为目标。 Office 365 套件是此类服务主体的示例。

以至少是条件访问管理员~/identity/role-based-access-control/permissions-reference.md#conditional-access-administrator) 和属性分配管理员的身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>企业应用。
选择要对其应用自定义安全属性的服务主体。
在管理>自定义安全属性下，选择“添加分配”。
在“属性集”下，选择 ConditionalAccessTest。
在“属性名称”下，选择 policyRequirement。
在“已分配值”下，选择“添加值”，从列表中选择 requireMFA，然后选择“完成”。
选择“保存”。

以应用该策略的用户身份登录，并测试以查看访问应用程序时是否需要 MFA。