Typowe zasady dostępu warunkowego: wymaganie uwierzytelniania wieloskładnikowego na potrzeby zarządzania platformą Azure
Organizacje używają wielu usług platformy Azure i zarządzają nimi za pomocą narzędzi opartych na usłudze Azure Resource Manager, takich jak:
- Azure Portal
- Azure PowerShell
- Interfejs wiersza polecenia platformy Azure
Te narzędzia mogą zapewnić wysoce uprzywilejowany dostęp do zasobów, które mogą wprowadzać następujące zmiany:
- Zmienianie konfiguracji dla całej subskrypcji
- Ustawienia usługi
- Rozliczanie subskrypcji
Aby chronić te uprzywilejowane zasoby, firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego dla każdego użytkownika, który uzyskuje dostęp do tych zasobów. W usłudze Microsoft Entra ID te narzędzia są grupowane razem w pakiecie o nazwie Windows Azure Service Management API. W przypadku platformy Azure Government ten pakiet powinien być aplikacją interfejsu API zarządzania chmurą platformy Azure Dla instytucji rządowych.
Wykluczenia użytkowników
Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:
- Dostęp awaryjny lub konta typu break-glass, aby zapobiec blokadzie konta dla całej dzierżawy. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani z dzierżawy, konto administracyjne dostępu awaryjnego może służyć do logowania się do dzierżawy w celu podjęcia kroków w celu odzyskania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
- Konta usług i jednostki usług, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Konta usług tego typu powinny zostać wykluczone, ponieważ nie da się programowo ukończyć asystenta folderów zarządzanych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości obciążeń, aby zdefiniować zasady przeznaczone dla jednostek usług.
- Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi. Jako tymczasowe obejście można wykluczyć te określone konta z zasad punktu odniesienia.
Wdrażanie na podstawie szablonu
Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.
Tworzenie zasady dostępu warunkowego
Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od użytkowników, którzy uzyskują dostęp do pakietu interfejsu API zarządzania usługami Platformy Windows Azure do uwierzytelniania wieloskładnikowego.
Uwaga
Przed skonfigurowaniem zasad w celu zarządzania dostępem do interfejsu API zarządzania usługami Platformy Windows Azure upewnij się, że wiesz, jak działa dostęp warunkowy. Upewnij się, że nie tworzysz warunków, które mogą blokować własny dostęp do portalu.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>zasad dostępu>warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
- W obszarze Docelowe zasoby>Aplikacje>w chmurze uwzględnij>pozycję Wybierz aplikacje, wybierz pozycję Interfejs API zarządzania usługami platformy Windows Azure, a następnie wybierz pozycję Wybierz.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na tylko raport.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla