Zasady dostępu warunkowego dla usługi Azure Container Registry

  • Artykuł

Usługa Azure Container Registry (ACR) umożliwia tworzenie i konfigurowanie zasad dostępu warunkowego. Zasady dostępu warunkowego, które są zwykle skojarzone z usługą Azure Active Directory (Azure AD), są używane do wymuszania silnego uwierzytelniania i kontroli dostępu dla różnych usług platformy Azure, w tym usługi ACR.

Zasady dostępu warunkowego mają zastosowanie po zakończeniu uwierzytelniania pierwszego składnika w usłudze Azure Container Registry. Celem dostępu warunkowego dla usługi ACR jest tylko uwierzytelnianie użytkowników. Zasady umożliwiają użytkownikowi wybranie kontrolek i dalsze blokowanie lub udzielanie dostępu na podstawie decyzji dotyczących zasad.

Zasady dostępu warunkowego są przeznaczone do wymuszania silnego uwierzytelniania. Zasady umożliwiają bezpieczeństwo, aby spełnić wymagania dotyczące zgodności organizacji i zapewnić bezpieczeństwo danych i kont użytkowników.

Ważne

Aby skonfigurować zasady dostępu warunkowego dla rejestru, należy wyłączyć authentication-as-arm wszystkie rejestry w żądanej dzierżawie.

Dowiedz się więcej na temat zasad dostępu warunkowego, warunków , które należy wziąć pod uwagę w celu podejmowania decyzji dotyczących zasad.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie i konfigurowanie zasad dostępu warunkowego dla usługi Azure Container Registry.
  • Rozwiązywanie problemów z zasadami dostępu warunkowego.

Wymagania wstępne

Tworzenie i konfigurowanie zasad dostępu warunkowego — Azure Portal

Usługa ACR obsługuje zasady dostępu warunkowego tylko dla użytkowników usługi Active Directory. Obecnie nie obsługuje zasad dostępu warunkowego dla jednostki usługi. Aby skonfigurować zasady dostępu warunkowego dla rejestru, należy wyłączyć authentication-as-arm wszystkie rejestry w żądanej dzierżawie. W tym samouczku utworzymy podstawowe zasady dostępu warunkowego dla usługi Azure Container Registry w witrynie Azure Portal.

Utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta z uprawnieniami administratora globalnego.

  2. Wyszukaj i wybierz pozycję Microsoft Entra ID. Następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. Wprowadź nazwę zasad, taką jak pokaz.

  5. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. W obszarze Co mają zastosowanie te zasady?, sprawdź i wybierz pozycję Użytkownicy i grupy.

  7. W obszarze Dołącz wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Wszyscy użytkownicy.

    A screenshot of the page for creating a new policy, where you select options to specify users.

  8. W obszarze Wyklucz wybierz pozycję Wybierz użytkowników i grupy, aby wykluczyć dowolny wybór.

  9. W obszarze Aplikacje lub akcje w chmurze wybierz pozycję Aplikacje w chmurze.

  10. W obszarze Dołącz wybierz pozycję Wybierz aplikacje.

    A screenshot of the page for creating a new policy, where you select options to specify cloud apps.

  11. Wyszukaj i wybierz aplikacje, aby zastosować dostęp warunkowy, w tym przypadku Azure Container Registry, a następnie wybierz pozycję Wybierz.

    A screenshot of the list of apps, with results filtered, and 'Azure Container Registry' selected.

  12. W obszarze Warunki skonfiguruj poziom dostępu kontroli z opcjami, takimi jak poziom ryzyka użytkownika, poziom ryzyka logowania, wykrywanie ryzyka logowania (wersja zapoznawcza), platformy urządzeń, lokalizacje, aplikacje klienckie, czas (wersja zapoznawcza), filtr dla urządzeń.

  13. W obszarze Udziel, filtruj i wybierz jedną z opcji, aby wymusić przyznanie dostępu lub zablokować dostęp podczas zdarzenia logowania do witryny Azure Portal. W takim przypadku udziel dostępu przy użyciu opcji Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Napiwek

    Aby skonfigurować i udzielić uwierzytelniania wieloskładnikowego, zobacz konfigurowanie i warunki uwierzytelniania wieloskładnikowego.

  14. W obszarze Sesja przefiltruj i wybierz jedną z opcji, aby włączyć dowolną kontrolę na poziomie sesji aplikacji w chmurze.

  15. Po wybraniu i potwierdzeniu w obszarze Włącz zasady wybierz pozycję Włączone.

  16. Aby zastosować i aktywować zasady, wybierz pozycję Utwórz.

    A screenshot showing how to activate the Conditional Access policy.

Teraz utworzyliśmy zasady dostępu warunkowego dla usługi Azure Container Registry.

Rozwiązywanie problemów z zasadami dostępu warunkowego

Następne kroki

Definicje i efekty usługi Azure Policy. Typowe problemy z dostępem, z którymi mogą pomóc zasady dostępu warunkowego. Składniki zasad dostępu warunkowego.