Megosztás a következőn keresztül:

MFA megkövetelése az Azure-beli felügyelethez

  • Cikk

A szervezetek számos Azure-szolgáltatást használnak, és azure Resource Manager-alapú eszközökről felügyelik őket, például:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Ezek az eszközök magas jogosultsági szintű hozzáférést biztosíthatnak azokhoz az erőforrásokhoz, amelyek a következő módosításokat hajthatják végre:

  • Előfizetés-szintű konfigurációk módosítása
  • Szolgáltatásbeállítások
  • Előfizetéses számlázás

Ezeknek a kiemelt erőforrásoknak a védelme érdekében a Microsoft azt javasolja, hogy az erőforrásokhoz hozzáférő felhasználók többtényezős hitelesítést igényeljenek. A Microsoft Entra ID-ban ezek az eszközök egy Windows Azure Service Management API nevű csomagban vannak csoportosítva. Az Azure Government esetében ennek a csomagnak az Azure Government Cloud Management API-alkalmazásnak kell lennie.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • Vészelérési vagy üvegtörési fiókok a házirend helytelen konfigurációja miatti zárolás megakadályozása érdekében. Abban a valószínűtlen esetben, ha minden rendszergazda ki van zárva, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet, és lépéseket tehet a hozzáférés helyreállításához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a Windows Azure Service Management API-csomaghoz hozzáférő felhasználók többtényezős hitelesítést végezzenek.

Figyelemfelhívás

A Windows Azure Service Management API-hoz való hozzáférés kezelésére vonatkozó szabályzat beállítása előtt győződjön meg arról, hogy tisztában van a feltételes hozzáférés működésével. Győződjön meg arról, hogy nem hoz létre olyan feltételeket, amelyek blokkolhatják saját hozzáférését a portálhoz.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba feltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás területen válassza ki a Felhasználók és csoportok lehetőséget, és válassza ki a szervezet vészhelyzeti hozzáférését vagy törés-üvegfiókját.
  6. A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások)> területen adja meg>az erőforrások kiválasztását, a Windows Azure Service Management API-t, és válassza a Kiválasztás lehetőséget.>
  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.
  8. Erősítse meg a beállításokat, és állítsa a Házirend engedélyezése csak jelentésre beállítást.
  9. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Következő lépések

Feltételes hozzáférési sablonok

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.