Általános feltételes hozzáférési szabályzat: MFA megkövetelése az Azure-felügyelethez

A szervezetek számos Azure-szolgáltatást használnak, és az Azure Resource Manager-alapú eszközökről felügyelik őket, például:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Ezek az eszközök magas jogosultsági szintű hozzáférést biztosíthatnak azokhoz az erőforrásokhoz, amelyek a következő módosításokat hajthatják végre:

  • Előfizetés-szintű konfigurációk módosítása
  • Szolgáltatásbeállítások
  • Előfizetés számlázása

Ezeknek a kiemelt erőforrásoknak a védelme érdekében a Microsoft azt javasolja, hogy az erőforrásokhoz hozzáférő felhasználók többtényezős hitelesítést igényeljenek. A Azure AD ezek az eszközök a Microsoft Azure Management nevű csomagban vannak csoportosítva. A Azure Government esetében ennek a csomagnak a cloud management API-alkalmazásnak kell lennie Azure Government.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzataiból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáférés vagy biztonsági mentési fiókok. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiókjával bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Azure AD Szinkronizálási fiók csatlakoztatása. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem hajtható végre. A szolgáltatásnevek által kezdeményezett hívásokat a feltételes hozzáférés nem tiltja le.
    • Ha szervezete használja ezeket a fiókokat szkriptekben vagy kódban, érdemes lehet felügyelt identitásokra cserélni őket. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok (előzetes verzió) használatával telepíthetik ezt a szabályzatot.

Feltételes hozzáférési szabályzat létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a Microsoft Azure Management csomaghoz hozzáférő felhasználók többtényezős hitelesítést végezzenek.

Figyelemfelhívás

A Microsoft Azure Managementhez való hozzáférés kezelésére vonatkozó szabályzat beállítása előtt győződjön meg arról, hogy tisztában van a feltételes hozzáférés működésével. Győződjön meg arról, hogy nem hoz létre olyan feltételeket, amelyek blokkolhatják a portálhoz való hozzáférést.

  1. Jelentkezzen be a Azure Portal feltételes hozzáférési rendszergazdaként, biztonsági rendszergazdaként vagy globális rendszergazdaként.
  2. Keresse meg az Azure Active Directory>biztonsági>feltételes hozzáférését.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a szabályzatnak. Azt javasoljuk, hogy a szervezetek hozzon létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések területen válassza a Felhasználók vagy a számítási feladat identitásai lehetőséget.
    1. A Belefoglalás területen válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza a Felhasználók és csoportok elemet , és válassza ki a szervezet vészhelyzeti hozzáférését vagy törésüveg-fiókjait.
  6. A Felhőalkalmazások vagy műveletek>Belefoglalva területen válassza az Alkalmazások kiválasztása, a Microsoft Azure Management, majd a Kiválasztás lehetőséget.
  7. A Hozzáférés-vezérlések>Megadása területen válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezésecsak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután megerősítette a beállításokat a csak jelentésalapú módban, a rendszergazda áthelyezheti a Házirend engedélyezése kapcsolót a Csak jelentés módról a Be értékre.

Következő lépések

Feltételes hozzáférés – gyakori szabályzatok

Bejelentkezési viselkedés szimulálása a feltételes hozzáférés what if eszközzel