Microsoft Entra 使用条款策略提供了一种简单方法,用于向最终用户呈现信息。 组织可以使用使用条款和条件访问策略,要求员工或客人在获得访问权限之前先接受使用条款策略。 这些使用条款声明可以是通用的或特定于组或用户,并以多种语言提供。 管理员可以通过提供的日志或 API 来确定已接受或未接受使用条款的人員。
注意
本文介绍如何删除设备或服务中的个人数据,并且可用于为 GDPR 下的义务提供支持。 有关 GDPR 的一般信息,请参阅 Microsoft 信任中心 的
先决条件
要使用和配置 Microsoft Entra 使用条款策略,必须具备以下先决条件:
- Microsoft Entra ID P1 许可证。
- 需要读取使用条款配置和条件访问策略的管理员至少需要分配 安全读取者 角色。
- 需要创建或修改使用条款和条件访问策略的管理员至少需要分配 条件访问管理员 角色。
- PDF 格式的“使用条款”文档。 PDF 文件可包含需要显示的任何内容。 若要支持移动设备上的用户,PDF 中建议的字号是 24 点。
服务限制
每个租户不能添加超过 40 个条款。
添加使用条款
完成使用条款策略文档后,请使用以下过程进行添加。
以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
选择“新建条款”。
在“名称”框中,输入使用条款策略的名称。
对于“使用条款文档”,请浏览到已完成的使用条款策略 (PDF),并将其选中。
选择使用条款策略文档的语言。 可以通过语言选项上传多个使用条款文档,每个文档使用不同的语言。 最终用户看到的使用条款策略版本基于其浏览器首选项。
在“显示名称”框中,输入用户登录时看到的标题。
如果要求最终用户先查看使用条款策略再接受,请将“要求用户展开使用条款策略”设置为“开启”。
如果要求最终用户在每台访问设备上接受使用条款策略,请将“要求用户在每台设备上同意”设置为“开启”。 如果启用此选项,用户可能需要安装其他应用程序。 有关详细信息,请参阅 每设备使用条款。
要按计划使使用条款策略同意状态过期,请将“使同意状态过期”设置为“打开”。 设置为“开启”时,系统将显示其他两个计划设置。
使用“过期开始日期”和“频率”设置来指定使用条款策略过期的计划。 下表显示了几项示例设置的结果:
过期开始日期 频率 结果 今天的日期 每月 从今天开始,用户必须接受使用条款策略,并且以后每个月都要接受。 将来的日期 每月 从今天开始,用户必须接受使用条款策略。 到达指定的将来日期时,同意会过期,以后用户必须每个月接受使用条款。 例如,如果将过期开始日期设置为“1 月 1 日”,将频率设置为“每月”,则两个用户的过期计划如下例所示:
用户 第一个接受日期 第一个过期日期 第二个过期日期 第三个过期日期 爱丽丝 1 月 1 日 2 月 1 日 3 月 1 日 4 月 1 日 鲍勃 1 月 15 日 2 月 1 日 3 月 1 日 4 月 1 日 使用“重新接受使用条款之前的必需时长(以天为单位)”设置来指定用户必须重新接受使用条款策略之前所要经过的天数。 此选项可让用户遵照自己的计划。 例如,如果将时长设置为 30 天,则两个用户的过期计划如下例所示:
用户 第一个接受日期 第一个过期日期 第二个过期日期 第三个过期日期 爱丽丝 1 月 1 日 1 月 31 日 3 月 2 日 4 月 1 日 鲍勃 1 月 15 日 2 月 14 日 3 月 16 日 4 月 15 日 可以结合使用“使同意状态过期”和“重新接受使用条款之前的必需时长(以天为单位)”设置,但一般只需其中一项即可。
重要
用户的许可已过期时,无论使用的设置是 过期许可 还是 重新接受前所需的持续时间(天),只有会话到期时才会提示他们重新接受条款。
在“条件访问”下,使用“使用条件访问策略模板强制实施”列表选择用于强制实施使用条款策略的模板。
模板 说明 自定义策略 选择应用使用条款策略的用户、组和应用程序。 稍后创建条件访问策略 此使用条款策略会显示在创建条件访问策略时弹出的授予控制权列表中。 重要
条件访问策略控制(包括使用条款策略)不支持对服务帐户强制实施。 我们建议从条件访问策略中排除所有服务帐户。
可以使用自定义条件访问策略将使用条款策略细化,向下细化到特定云应用程序或用户组。 有关详细信息,请参阅 快速入门:在访问云应用之前需要接受使用条款。
选择“创建”。
选择自定义条件访问模板后,会显示一个新的屏幕用于创建自定义的条件访问策略。 现在会看到新的使用条款策略。
按设备实施的使用条款
使用“要求用户在每台设备上同意”设置可以要求最终用户在每台访问设备上接受使用条款策略。 最终用户的设备必须在 Microsoft Entra ID 中注册。 注册设备后,使用设备 ID 在每台设备上强制实施使用条款策略。 它们的体验取决于加入设备的权限,以及使用的平台或软件。 有关详细信息,请参阅 Microsoft Entra ID 中的设备标识。
按设备实施的使用条款具有以下约束:
- 不支持 Microsoft Intune 注册应用
Application ID: d4ebce55-015a-49b5-a083-c84d1797ae8c。 确保将其从任何需要使用条款的条件性访问策略中排除。 - 不支持 Microsoft Entra B2B 用户。
策略更改
条件访问策略会立即生效。 实施此操作时,管理员可能会在 Microsoft Entra 管理中心看到错误。 管理员必须注销然后重新登录才能符合新策略的要求。
重要
在以下情况下,处于范围的用户必须在注销后登录才能符合新策略的要求:
- 在使用条款策略上启用了条件访问策略
- 或者创建了第二个使用条款策略
编辑使用条款详细信息
可以编辑使用条款策略的某些详细信息,但不能修改现有文档。 以下过程介绍如何编辑详细信息。
以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
选择要编辑的使用条款策略。
选择“编辑条款”。
在“编辑使用条款”窗格中,可以更改以下选项:
- 名称 - 使用条款的内部名称,不会与最终用户共享。
- 显示名称 - 最终用户查看使用条款时可以看到的名称。
- 要求用户展开使用条款 – 将此选项设置为 “开 ”会强制最终用户在接受使用条款策略文档之前展开使用条款策略文档。
- 以更新现有的使用条款文档。
- 可以向现有使用条款中添加语言。
完成后,选择“保存”以保存更改。
如果要更改其他设置,需要创建新的使用条款策略。
更新现有使用条款的版本或 PDF
以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
选择要编辑的使用条款策略。
选择“编辑条款”。
对于要更新新版本的语言,请选择“操作”列下的“更新”
在右侧窗格中,上传新版本的 pdf
如果希望要求用户在下次登录时接受这一新版本,也可以使用此处的“需要重新接受”切换选项。
- 如果你需要用户重新接受,则在用户下次尝试访问你的条件访问策略中定义的资源时,系统将提示他们接受这一新版本。
- 如果不要求用户重新接受,则用户之前的同意将有效,并且只有尚未同意的新用户或者同意已经过期的旧用户才会看到新版本。 在会话过期前,要求重新接受不会要求用户接受新的使用条款。 对于这种情况,如果要确保重新接受,请删除并重新创建或创建新的使用条款。
上传新 PDF 并决定是否需要重新接受之后,请选择窗格底部的“添加”。
现在,可在“文档”列下面看到最新版本。
添加语言
以下过程介绍如何向使用条款添加语言。
以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
选择要编辑的使用条款策略。
选择“编辑条款”。
选择页面底部的“添加语言”。
在“添加使用条款语言”窗格中,上传已本地化的 PDF 并选择语言。
选择“添加语言”。
选择“保存”
选择“添加”以添加语言。
查看之前的使用条款版本
- 以至少安全读取者身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问>使用条款。
- 选择要查看其版本历史记录的使用条款策略。
- 选择“语言和版本历史记录”。
- 选择“查看以前的版本”。
- 你可以选择文档名称以下载该版本。
查看接受用户和拒绝用户的报告
“使用条款”边栏选项卡会显示接受的用户和拒绝的用户的计数。 在使用条款策略有效期内,会存储这些计数以及接受用户/拒绝用户。
以至少安全读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
对于某个使用条款策略,选择“已接受”或“已拒绝”下的数字,以查看用户的当前状态。
- 默认情况下,下一页将显示接受使用条款的每个用户的当前状态。
- 如果你想要查看以前的许可事件,你可以从“当前状态”下拉菜单中选择“全部”。 现在,你可以详细查看有关每个版本的每个用户事件,以及发生的情况。
- 或者,可以从“版本”下拉菜单选择特定的版本,以查看哪些用户接受了该特定版本。
若要查看单个用户的历史记录,请依次选择省略号 (...)、“查看历史记录”。 在“查看历史记录”窗格中,可以看到所有接受、拒绝和过期操作状态的历史记录。
用户接受记录删除
在下列情况下将删除用户接受记录:
- 管理员显式删除使用条款。
- 发生此更改时,也将删除与该特定使用条款关联的所有接受记录。
- 租户丢失其 Microsoft Entra ID P1 或 P2 许可证。
- 删除了租户。
查看 Microsoft Entra 审核日志
要查看更多活动,Microsoft Entra 使用条款策略包括审核日志。 每个用户同意都会在存储 30 天的审核日志中触发事件。 可以在门户中查看这些日志,或者将其下载为 .csv 文件。
若要开始使用 Microsoft Entra 审核日志,请执行以下过程:
至少以报表读取者身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>条件访问>使用条款。
选择一个使用条款策略。
选择“查看审核日志”。
在 Microsoft Entra 审核日志屏幕上,可以使用提供的列表筛选信息,将特定审核日志信息作为目标。
还可以选择“下载”,将信息下载到可以在本地使用的 .csv 文件中。
如果选择某个日志,则会出现一个窗格,其中包含更多活动详细信息。
使用条款呈现给用户的外观
创建并强制执行使用条款策略后,处于使用条款范围内的用户会在登录过程中看到以下屏幕。
用户可以查看使用条款策略,如有必要,可使用按钮缩放。用户只需接受使用条款政策一次,在以后登录时,他们不会再看到使用条款策略。
用户如何查看其使用条款
用户可以使用以下过程检视和查阅他们已接受的使用条款策略。
- 登录 https://myaccount.microsoft.com/ 。
- 选择“设置和隐私”。
- 选择“隐私”。
- 在“组织的通知”下,选择要查看的使用条款声明旁边的“查看” 。
删除使用条款
可以通过以下过程删除旧的使用条款策略。
- 以至少条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>条件访问>使用条款。
- 选择要删除的使用条款策略。
- 选择“删除条款”。
- 在出现的询问是否需要继续的消息中,选择“是”。
- 将再也看不到你的使用条款策略。
平台和浏览器支持
Microsoft Entra 使用条款旨在以最佳方式在以下平台和浏览器上运行。
支持的桌面和移动作系统(最新稳定版本):
- Windows操作系统
- macOS
- Linux
- 安卓
- iOS
支持的新式 Web 浏览器(最新稳定版本):
- Microsoft Edge
- Mozilla Firefox
- 谷歌浏览器
- Safari
其他配置的功能
上面未列出的作系统或浏览器上的用户,或者那些使用较旧版本的受支持作系统或浏览器的用户,仍可以在登录过程中接受使用条款。 但是,请注意,某些功能、视觉呈现或性能可能会降低。 我们不会主动测试或为未明确列出的作系统和浏览器提供支持。 这不仅限于基于旧引擎的浏览器,例如可在旧版 Edge 中找到的 EdgeHTML 和可在 Internet Explorer 中找到的 Trident/MSHTML。
具有 Web 视图的桌面和移动应用程序
基于最新稳定版本的现代 HTML5 兼容浏览器引擎(如 Blink、Gecko 或 WebKit)利用 Web 视图的应用程序通常允许用户在登录期间接受使用条款。 不过,可能会发生某些功能、视觉呈现或性能下降。 我们不会主动测试或提供对所有特定 Web 视图实现的支持。
遇到问题?
如果在应用程序中接受特定作系统、浏览器、浏览器引擎或 Web 视图实现上的使用条款时遇到问题,请提出支持案例。 我们将逐个评估可支持性。
B2B 来宾
使用条件访问和使用条款策略,可以直接对 B2B 来宾用户强制实施策略。 在邀请兑换流程中,用户会看到使用条款策略。
仅当用户在 Microsoft Entra ID 中具有来宾帐户时,才显示使用条款策略。 SharePoint Online 当前具有 外部共享收件人体验 来共享文档或不需要用户具有来宾帐户的文件夹。 在这种情况下,将不会显示使用条款政策。
Azure 信息保护
可以针对 Azure 信息保护应用配置条件访问策略,并要求用户在访问受保护的文档时接受使用条款策略。 此配置会在用户首次访问受保护的文档之前触发使用条款政策。
Microsoft Intune 注册
可以针对 Microsoft Intune 注册应用配置条件访问策略,并要求在 Intune 中注册设备之前接受使用条款策略。 有关详细信息,请阅读选择适合您组织的条款解决方案 博客文章。
注意
Intune 注册应用不适用于每个设备使用条款。
对于 iOS/iPadOS 自动设备注册,如果将自定义 URL 添加到 Microsoft Entra 使用条款策略,则不允许用户从设置助理中的 URL 打开策略进行读取。 在公司门户网站或公司门户应用中完成设置助理后,用户可以读取该策略。
常见问题解答
问:为什么我的用户显示两次登录? 一次中断,一次成功。
答:当用户尚未接受使用条款策略时,管理员可能会看到两次登录,此方案是设计时就包含的。 这些条目共享一个相关 ID。
由于用户无法在其令牌中提供接受了使用条款策略的证明,因此有一次登录中断。 登录日志中的“其他详细信息”字段包含以下消息:
用户还需要满足其他要求才能完成身份验证,于是被重定向到另一页(例如使用条款或第三方 MFA 提供程序)。 仅此代码中断并不表示用户登录失败。 登录日志可指示此质询已成功通过或失败。
如果用户接受使用条款策略,则另一次登录会成功。
问:启用了使用条款时,我无法使用 PowerShell 登录。
答:只能在交互身份验证时接受使用条款。
问:如何查看用户何时/是否接受了使用条款?
答:在“使用条款”边栏选项卡中选择“已接受”下的数字。 也可在 Microsoft Entra 审核日志中查看或搜索接受的活动。 有关详细信息,请参阅“查看接受和拒绝情况的报告”,以及 查看 Microsoft Entra 审核日志。
问:信息存储多长时间?
答:使用条款报告中的用户计数以及接受用户/拒绝用户的存储时间为使用条款有效期。 Microsoft Entra 审核日志的存储时间为 30 天。
问:为什么我在使用条款详细信息概述与 Microsoft Entra 审核日志中看到的同意数量不同?
答:将存储使用条款详细信息概述数据,时长为使用条款策略生存期。 Microsoft Entra 审核日志的存储时间为 30 天。
问:为什么我在使用条款详细信息概述与导出的 CSV 报表中看到的同意数量不同?
答:使用条款详细信息概述反映了当前版本策略的聚合验收情况(每天更新一次)。 如果启用了过期或更新了使用条款协议(需要重新验收),则会重置详细信息概述的计数(因为这些验收已过期),从而显示当前版本的计数。 CSV 报表中仍会捕获所有验收历史记录。
问:如果使用条款策略 PDF 文档中有超链接,最终用户能否单击这些超链接?
答:是的,最终用户可以选择指向其他页面的超链接,但不支持指向文档内各节的链接。 此外,在从 Microsoft Entra My Apps/MyAccount 门户进行访问时,使用条款策略 PDF 中的超链接不起作用。
问:使用条款策略是否支持多种语言?
答:是的。 管理员可以上传多个 PDF 文档,并使用相应的语言标记这些文档。 当最终用户登录时,我们会查看其浏览器语言首选项,并显示匹配的文档。 如果没有匹配项,我们将显示默认文档,即上传的第一个文档。 使用 Web 帐户管理器(如 Microsoft Teams)的 Windows 桌面应用程序将使用作系统语言作为术语,而不是特定于应用程序的语言设置。
问:什么时候会触发使用条款策略?
答:使用条款策略在登录期间触发。
问:我可以将哪些应用程序作为使用条款策略的目标?
答:可以使用新式验证对企业应用程序创建条件访问策略。 有关详细信息,请参阅 企业应用程序。
问:是否可以向给定用户或应用添加多个使用条款策略?
答:可以,方法是创建多个以这些组或应用程序为目标的条件访问策略。 如果用户处于多个使用条款策略的范围内,他们必须一次接受一个策略。
问:用户拒绝使用条款策略后会发生什么?
答:将阻止此用户访问该应用程序。 用户需要重新登录并接受条款才能获取访问权限。
问:是否可以取消接受以前接受的使用条款策略?
答:可以查看 以前接受的使用条款策略,但目前没有办法取消接受。
问:如果同时使用 Intune 条款和条件,会发生什么情况?
答:如果同时配置Microsoft Entra 使用条款和 Intune 条款和条件,则用户必须接受这两者。 有关详细信息,请参阅 为组织博客文章选择正确的条款解决方案。
问:使用条款服务使用哪些终结点进行身份验证?
答:使用条款利用以下终结点进行身份验证:https://tokenprovider.termsofuse.identitygovernance.azure.com、https://myaccount.microsoft.com 和 https://account.activedirectory.windowsazure.com。 如果组织有用于注册的 URL 允许列表,则需要将这些终结点连同用于登录的 Microsoft Entra 终结点一起添加到允许列表。