Zablokuj federację tożsamości dla obciążeń w tożsamościach zarządzanych za pomocą zasad.

W tym artykule opisano, jak za pomocą usługi Azure Policy zablokować tworzenie poświadczeń tożsamości federacyjnej w ramach tożsamości zarządzanych przypisanych przez użytkownika. Blokując tworzenie poświadczeń tożsamości federacyjnej, można zablokować wszystkich przed korzystaniem z federacji tożsamości obciążenia roboczego w celu uzyskania dostępu do chronionych zasobów Microsoft Entra. usługi Azure Policy pomaga wymusić pewne reguły biznesowe na zasobach platformy Azure i ocenić zgodność tych zasobów.

Zasady wbudowane dotyczące niedozwolonych typów zasobów mogą być używane do blokowania tworzenia poświadczeń tożsamości federacyjnej w zarządzanych tożsamościach przypisanych przez użytkownika.

Utwórz przypisanie zasad

Aby utworzyć przypisanie zasad dla niedozwolonych typów zasobów, które uniemożliwiają tworzenie poświadczeń tożsamości federacyjnej w subskrypcji lub grupie zasobów:

1. Zaloguj się do witryny Azure Portal.
2. Przejdź do Polityki w portalu Azure.
3. Przejdź do okienka definicji.
4. W polu Wyszukaj wpisz "Niedozwolone typy zasobów" i wybierz z listy zwracanych elementów zasadę Niedozwolone typy zasobów.
5. Po wybraniu zasady możesz teraz wyświetlić kartę Definicja.
6. Kliknij przycisk Przypisz, aby utworzyć zadanie.
7. Na karcie Podstawowe wypełnij Zakres, ustawiając subskrypcji i opcjonalnie ustaw grupę zasobów.
8. Na karcie Parametry wybierz pozycję userAssignedIdentities/federatedIdentityCredentials z listy Niedozwolone typy zasobów. Wybierz Przejrzyj i utwórz.
9. Aby zastosować przypisanie, wybierz pozycję Utwórz.
10. Wyświetl przypisanie w zakładce Przypisania obok pozycji Definicja.

Następne kroki

Dowiedz się, jak zarządzać poświadczeniami tożsamości federacyjnej na tożsamości zarządzanej przypisanej przez użytkownika w usłudze Microsoft Entra ID.