Kebijakan Akses Bersyarat Umum: Memerlukan MFA untuk manajemen Azure
Organisasi menggunakan banyak layanan Azure dan mengelola layanan dari alat berbasis Azure Resource Manager seperti:
- portal Microsoft Azure
- Azure PowerShell
- Azure CLI
Alat-alat ini dapat menyediakan akses yang sangat istimewa ke sumber daya yang dapat membuat perubahan berikut:
- Mengubah konfigurasi seluruh langganan
- Pengaturan layanan
- Tagihan langganan
Untuk melindungi sumber daya istimewa tersebut, Microsoft merekomendasikan agar mewajibkan autentikasi multifaktor untuk setiap pengguna yang mengakses sumber daya tersebut. Di ID Microsoft Entra, alat-alat ini dikelompokkan bersama dalam rangkaian yang disebut Windows Azure Service Management API. Untuk Azure Government, rangkaian ini harus berupa aplikasi Azure Government Cloud Management API.
Pengecualian pengguna
Kebijakan Akses Bersyarah adalah alat yang canggih, sebaiknya kecualikan akun berikut dari kebijakan Anda:
- Akses darurat atau akun pemecah kaca untuk mencegah penguncian akun di seluruh penyewa. Dalam skenario yang tidak mungkin saat semua administrator dikunci dari penyewa Anda, akun administratif akses darurat Anda dapat digunakan untuk masuk ke penyewa dan mengambil langkah-langkah pemulihan akses.
- Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
- Akun layanan dan perwakilan layanan, seperti Akun Microsoft Entra Koneksi Sync. Akun layanan adalah akun non-interaktif yang tidak terikat dengan pengguna tertentu. Akun tersebut biasanya digunakan oleh layanan back-end yang memungkinkan akses terprogram ke aplikasi, tetapi juga digunakan untuk masuk ke sistem guna tujuan administratif. Akun layanan seperti ini harus dikecualikan karena MFA tidak dapat diselesaikan secara terprogram. Panggilan yang dilakukan oleh perwakilan layanan tidak akan diblokir oleh kebijakan Akses Bersyar yang dilingkupkan kepada pengguna. Gunakan Akses Bersyarah untuk identitas beban kerja untuk menentukan kebijakan yang menargetkan perwakilan layanan.
- Jika organisasi Anda memiliki akun ini yang digunakan dalam skrip atau kode, pertimbangkan untuk menggantinya dengan identitas terkelola. Sebagai solusi sementara, Anda dapat mengecualikan akun tertentu seperti ini dari kebijakan dasar.
Penyebaran templat
Organisasi dapat memilih untuk menyebarkan kebijakan ini menggunakan langkah-langkah yang diuraikan di bawah ini atau menggunakan templat Akses Bersyar.
Membuat Kebijakan Akses Bersyarat
Langkah-langkah berikut akan membantu membuat kebijakan Akses Bersyarat untuk mengharuskan pengguna yang mengakses rangkaian API Manajemen Layanan Windows Azure melakukan autentikasi multifaktor.
Perhatian
Pastikan Anda memahami cara kerja Akses Bersyarah sebelum menyiapkan kebijakan untuk mengelola akses ke Windows Azure Service Management API. Pastikan Anda tidak membuat kondisi yang dapat memblokir akses Anda sendiri ke portal.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Akses Bersyarat.
- Telusuri Ke Akses Bersyar perlindungan>.
- Pilih Buat kebijakan baru.
- Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di Sertakan, pilih Semua pengguna.
- Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
- Di bawah Sumber daya>target Aplikasi>cloud Sertakan>Pilih aplikasi, pilih Windows Azure Service Management API, dan pilih Pilih.
- Pada Kontrol akses>Berikan, pilih Berikan akses, Memerlukan autentikasi multifaktor, lalu pilih Pilih.
- Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Khusus Laporan.
- Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.
Setelah administrator mengonfirmasi pengaturan menggunakan mode hanya laporan, mereka dapat memindahkan tombol Aktifkan kebijakan dari Hanya laporan ke Aktif.