Gyakori feltételes hozzáférési szabályzat: MFA megkövetelése az Azure-felügyelethez

  • Cikk

A szervezetek számos Azure-szolgáltatást használnak, és azure Resource Manager-alapú eszközökről felügyelik őket, például:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Ezek az eszközök magas jogosultsági szintű hozzáférést biztosíthatnak azokhoz az erőforrásokhoz, amelyek a következő módosításokat hajthatják végre:

  • Előfizetés-szintű konfigurációk módosítása
  • Szolgáltatásbeállítások
  • Előfizetéses számlázás

Ezeknek a kiemelt erőforrásoknak a védelme érdekében a Microsoft azt javasolja, hogy az erőforrásokhoz hozzáférő felhasználók többtényezős hitelesítést igényeljenek. A Microsoft Entra ID-ban ezek az eszközök egy Windows Azure Service Management API nevű csomagban vannak csoportosítva. Az Azure Government esetében ennek a csomagnak az Azure Government Cloud Management API-alkalmazásnak kell lennie.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a Windows Azure Service Management API-csomaghoz hozzáférő felhasználók többtényezős hitelesítést végezzenek.

Figyelem

A Windows Azure Service Management API-hoz való hozzáférés kezelésére vonatkozó szabályzat beállítása előtt győződjön meg arról, hogy tisztában van a feltételes hozzáférés működésével. Győződjön meg arról, hogy nem hoz létre olyan feltételeket, amelyek blokkolhatják saját hozzáférését a portálhoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a védelmi>feltételes hozzáférést.
  3. Válassza az Új szabályzat létrehozása lehetőséget.
  4. Adjon nevet a szabályzatnak. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások területen a Felhőalkalmazások>– Alkalmazások kiválasztása>lehetőség mellett válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.>
  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

További lépések

Feltételes hozzáférési sablonok

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.