Требовать MFA для управления Azure
Организации используют различные службы Azure, управляемые через инструменты на базе диспетчера ресурсов Azure, включая следующие:
- Портал Azure
- Azure PowerShell
- Azure CLI
Эти средства могут предоставлять высокопривилегированный доступ к ресурсам, которые могут внести следующие изменения:
- Изменение конфигураций на уровне подписки
- Параметры службы
- Выставление счетов по подпискам
Для защиты этих привилегированных ресурсов корпорация Майкрософт рекомендует включить запрос на многофакторную проверку подлинности для любого пользователя, который обращается к этим ресурсам. В идентификаторе Microsoft Entra эти средства группируются в наборе с именем API управления службами Windows Azure. Для Azure для государственных организаций это должно быть приложение API управления облаком Azure для государственных организаций.
Пользовательские исключения
Политики условного доступа являются мощными средствами, мы рекомендуем исключить следующие учетные записи из политик:
- Аварийный доступ или учетные записи с разрывом, чтобы предотвратить блокировку из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администратора для аварийного доступа может использоваться для входа и выполнения действий по восстановлению доступа.
- Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.
- Учетные записи служб и субъекты-службы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб представляют собой автономные учетные записи, которые не привязаны к какому-либо конкретному пользователю. Они обычно используются службами сервера для предоставления программного доступа к приложениям, но также могут применяться для входа в системы в целях администрирования. Вызовы, сделанные субъектами-службами, не будут блокироваться политиками условного доступа, применяемыми к пользователям. Используйте условный доступ для удостоверений рабочей нагрузки, чтобы определить политики, нацеленные на субъекты-службы.
- Если в вашей организации эти учетные записи используются в сценариях или в коде, попробуйте заменить их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику с помощью описанных ниже шагов или шаблонов условного доступа.
Создание политики условного доступа
Ниже описано, как создать политику условного доступа, чтобы пользователи, обращающиеся к набору API управления службами Windows Azure, выполняют многофакторную проверку подлинности.
Внимание
Перед настройкой политики управления доступом к API управления службами Windows Azure убедитесь, что вы узнаете, как работает условный доступ. Убедитесь в отсутствии условий, которые могут заблокировать вам доступ к порталу.
- Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
- Перейдите к политикам условного доступа>защиты>.
- Выберите Новая политика.
- Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
- В разделе "Целевые ресурсы>" (ранее облачные приложения)>Включить>ресурсы выберите ресурсы, выберите API управления службами Windows Azure и нажмите кнопку "Выбрать".
- В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Нажмите Создать, чтобы создать и включить политику.
После подтверждения параметров в режиме "только отчет" администратор может перевести переключатель Включить политику из положения Только отчет в положение Вкл.