Microsoft Entra ID 中的条件访问功能提供了企业客户保护租户中的应用的多种方式,包括:
- 多重身份验证
- 仅允许已注册 Intune 的设备访问特定服务
- 限制用户位置和 IP 范围
有关条件访问的全部功能的详细信息,请参阅 Microsoft Entra 条件访问文档。
为 Fabric 配置条件访问
为了确保跨 Microsoft Fabric 及其连接服务提供流畅且安全的体验,建议设置一个常见的条件访问策略。 这有助于:
减少下游服务上不同策略导致的意外登录提示。
在所有工具中保持一致的安全设置。
改进整体用户体验。
策略中包含的产品包括:
- Power BI 服务
- Azure 数据资源管理器
- Azure SQL 数据库
- Azure 存储
- Azure Cosmos DB
如果策略限制过大(例如,如果它阻止除 Power BI 以外的所有应用),则某些功能(如数据流)可能不起作用。
注意
如果已为 Power BI 配置了条件访问策略,请确保在现有 Power BI 策略中包含上面列出的产品,否则条件访问可能无法按预期在 Fabric 中运行。
以下步骤演示了如何为 Microsoft Fabric 配置条件访问策略。
- 至少以条件访问管理员身份登录到 Azure 门户。
- 选择“Microsoft Entra ID”。
- 在“概述”页面,从菜单中选择“安全性”。
- 在“安全性 | 入门”页面,选择“条件访问”。
- 在“条件访问 | 概述”页面,选择“ +新建策略”。
- 输入策略的名称。
- 在“分配”下,选择“用户”字段。 然后,在“包括”选项卡上,选择“选择用户和组”,然后选中“用户和组”复选框。 此时将打开 “选择用户和组” 窗格,你可以搜索并选择 Microsoft Entra 用户或组用于条件访问,然后选择它。
- 将光标置于“目标资源”字段,然后从下拉菜单中选择“云应用”。 然后,在“包括”选项卡上,选择“选择应用”并将光标置于“选择”字段。 在显示的 “选择 ”侧窗格中,找到并选择 Power BI 服务、 Azure 数据资源管理器、 Azure SQL 数据库、 Azure 存储和Azure Cosmos DB。 选择所有五个项目后,单击“ 选择”关闭侧窗格。
- 在“访问控制”下,将光标置于“授予”字段。 在显示的 “授予” 侧窗格中,配置您想应用的策略,然后点击 “选择”。
- 将“启用策略”开关设置为“开”,然后选择“创建”。