Política comum de acesso condicional: Requerer MFA para gestão do Azure

As organizações usam muitos serviços Azure e gerem-nos a partir de ferramentas baseadas em Azure Resource Manager como:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Estas ferramentas podem fornecer acesso altamente privilegiado a recursos que podem fazer as seguintes alterações:

  • Alterar configurações de subscrição
  • Definições de serviço
  • Faturação de assinatura

Para proteger estes recursos privilegiados, a Microsoft recomenda que exija a autenticação multifactor para qualquer utilizador que aceda a estes recursos. Em Azure AD, estas ferramentas são agrupadas numa suite chamada Microsoft Azure Management. Para Azure Government, esta suíte deve ser a Azure Government aplicação API cloud management.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas da sua política:

  • Acesso de emergência ou contas de break-glass para evitar o bloqueio de conta em todo o inquilino. No cenário improvável de todos os administradores estarem bloqueados fora do seu inquilino, a sua conta administrativa de acesso de emergência pode ser usada para entrar no inquilino para tomar medidas para recuperar o acesso.
  • Contas de serviço e principais de serviço, como a conta de Azure AD Connect Sync. As contas de serviço são contas não interativas que não estão ligadas a nenhum utilizador em particular. Normalmente são usados por serviços back-end que permitem o acesso programático a aplicações, mas também são usados para iniciar seducação em sistemas para fins administrativos. Contas de serviço como estas devem ser excluídas, uma vez que o MFA não pode ser concluído programáticamente. As chamadas efetuadas pelos diretores de serviço não são bloqueadas pelo Acesso Condicional.
    • Se a sua organização tiver estas contas em uso em scripts ou código, considere substituí-las por identidades geridas. Como solução temporária, pode excluir estas contas específicas da política de base.

Implementação de modelos

As organizações podem optar por implementar esta política utilizando os passos descritos abaixo ou utilizando os modelos de Acesso Condicional (Pré-visualização).

Criar uma política de acesso condicional

Os seguintes passos ajudarão a criar uma política de acesso condicional para exigir que os utilizadores que acedam ao suite Microsoft Azure Management façam a autenticação multifactor.

Atenção

Certifique-se de que compreende como funciona o Conditional Access antes de criar uma política para gerir o acesso à Microsoft Azure Management. Certifique-se de que não cria condições que possam bloquear o seu próprio acesso ao portal.

  1. Inscreva-se no portal do Azure como Administrador de Acesso Condicional, Administrador de Segurança ou Administrador Global.
  2. Navegue para o Azure Ative Directory>Security>Conditional Access.
  3. Selecione Nova política.
  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.
  5. Em Atribuições, selecione Utilizadores ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os utilizadores.
    2. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
  6. Em aplicativos ou ações> cloudInclua, selecione selecione apps, escolha a Gestão do Azure do Microsoft e selecione Select.
  7. Sob controlos de> acessoGrant, selecione o acesso ao Grant, exija a autenticação multifactor e selecione Select.
  8. Confirme as suas definições e defina Ativar a políticaapenas para reportar.
  9. Selecione Criar para criar para ativar a sua política.

Depois de confirmar as suas definições utilizando o modo apenas de relatório, um administrador pode mover a política Enable para alternar de Relatório apenas para On.

Passos seguintes

Políticas comuns de acesso condicional

Simular sinal no comportamento usando o acesso condicional E se a ferramenta