Share via

Deaktivieren der Authentifizierung als ARM-Vorlage

  • Artikel

Azure AD-Token werden verwendet, wenn Registrierungsbenutzer sich bei ACR authentifizieren. Standardmäßig akzeptiert Azure Container Registry (ACR) Azure AD-Token mit einem Zielgruppenbereich, der für Azure Resource Manager (ARM) festgelegt ist, eine Verwaltungsebene für die Steuerungsebene für die Verwaltung von Azure-Ressourcen.

Indem Sie ARM-Zielgruppentoken deaktivieren und ACR-Zielgruppentoken erzwingen, können Sie die Sicherheit Ihrer Containerregistrierungen während des Authentifizierungsprozesses verbessern, indem Sie den Umfang der akzeptierten Token einschränken.

Bei der Erzwingung von ACR-Zielgruppentoken werden nur Azure AD-Token mit einem zielgruppenspezifischen ACR-Bereich während der Registrierungsauthentifizierung und des Anmeldevorgangs akzeptiert. Dies bedeutet, dass die zuvor akzeptierten ARM-Benutzergruppentoken nicht mehr für die Registrierungsauthentifizierung gültig sind, wodurch die Sicherheit Ihrer Containerregistrierungen verbessert wird.

In diesem Tutorial lernen Sie Folgendes:

  • Deaktivieren von „authentication-as-arm“ in ACR: Azure CLI.
  • Deaktivieren von „authentication-as-arm“ in ACR: Azure-Portal.

Voraussetzungen

Deaktivieren von „authentication-as-arm“ in ACR: Azure CLI

Das Deaktivieren von azureADAuthenticationAsArmPolicy zwingt die Registrierung, das ACR-Zielgruppentoken zu verwenden. Sie können Azure CLI, Version 2.40.0 oder höher, verwenden. Führen Sie az --version aus, um die Version zu ermitteln.

  1. Führen Sie den Befehl aus, um die aktuelle Konfiguration der Registrierungsrichtlinie für die Authentifizierung mit ARM-Token bei der Registrierung anzuzeigen. Wenn der Status enabled lautet, können Zielgruppentoken sowohl der ACR als auch von ARM für die Authentifizierung verwendet werden. Wenn der Status disabled lautet, bedeutet dies, dass nur Zielgruppentoken der ACR für die Authentifizierung verwendet werden können.

    az acr config authentication-as-arm show -r <registry>

  2. Führen Sie den Befehl aus, um den Status der Richtlinie der Registrierung zu aktualisieren.

    az acr config authentication-as-arm update -r <registry> --status [enabled/disabled]

Deaktivieren von „authentication-as-arm“ in ACR: Azure-Portal

Wenn Sie die Eigenschaft authentication-as-arm durch Zuweisen einer integrierten Richtlinie deaktivieren, wird die Registrierungseigenschaft für die aktuelle sowie die zukünftigen Registrierungen automatisch deaktiviert. Dieses automatische Verhalten gilt für Registrierungen, die innerhalb des Richtlinienbereichs erstellt wurden. Die möglichen Richtlinienbereiche umfassen entweder den Bereich auf Ressourcengruppenebene oder den Bereich auf Abonnement-ID-Ebene innerhalb des Mandanten.

Sie können „authentication-as-arm“ in der ACR deaktivieren, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Azure-Portal an.

  2. Sehen Sie sich die integrierten Richtliniendefinitionen der ACR in azure-container-registry-built-in-policy definition an.

  3. Zuweisen einer integrierten Richtlinie, um die Definition von „authentication-as-arm“ zu deaktivieren: Azure-Portal.

Zuweisen einer integrierten Richtliniendefinition zum Deaktivieren der Authentifizierung mit ARM-Zielgruppentoken: Azure-Portal.

Sie können die Richtlinie der Registrierung für den bedingten Zugriff im Azure-Portal aktivieren.

Azure Container Registry verfügt über zwei integrierte Richtliniendefinitionen zum Deaktivieren von „authentication-as-arm“ wie folgt:

  • Container registries should have ARM audience token authentication disabled.: Diese Richtlinie meldet und blockiert alle nicht konformen Ressourcen und sendet außerdem eine Anforderung zum Aktualisieren von nicht konformen Ressourcen zu konformen Ressourcen.

  • Configure container registries to disable ARM audience token authentication.: Diese Richtlinie bietet Korrekturen und aktualisiert nicht konforme Ressourcen zu konformen Ressourcen.

    1. Melden Sie sich beim Azure-Portal an.

    2. Navigieren Sie zu Ihrer Azure Container Registry>Ressourcengruppe>Einstellungen>Richtlinien.

      Screenshot showing how to navigate Azure policies.

    3. Navigieren Sie zu Azure Policy, und wählen Sie unter Zuweisungen die Option Richtlinie zuweisen aus.

      Screenshot showing how to assign a policy.

    4. Verwenden Sie unter Richtlinie zuweisen Filter zum Suchen und Auffinden des Bereichs, der Richtliniendefinition und des Zuweisungsnamens.

      Screenshot of the assign policy tab.

    5. Wählen Sie Bereich aus, um nach dem Abonnement und der Ressourcengruppe zu filtern und zu suchen, und wählen Sie Auswählen aus.

      Screenshot of the Scope tab.

    6. Wählen Sie Richtliniendefinition aus, um die integrierten Richtliniendefinitionen der Richtlinie für bedingten Zugriff zu filtern und zu durchsuchen.

      Screenshot of built-in-policy-definitions.

    7. Verwenden Sie Filter, um den Bereich, die Richtliniendefinition und den Zuweisungsnamen auszuwählen und zu bestätigen.

    8. Verwenden Sie die Filter, um die Konformitätszustände einzuschränken oder nach Richtlinien zu suchen.

    9. Bestätigen Sie Ihre Einstellungen, und legen Sie die Richtlinienerzwingung auf aktiviert fest.

    10. Wählen Sie Bewerten + erstellen aus.

      Screenshot to activate a Conditional Access policy.

Nächste Schritte

Erstellen und Konfigurieren einer Richtlinie für bedingten Zugriff