Ortak Koşullu Erişim ilkesi: Azure yönetimi için MFA gerektirme

Kuruluşlar birçok Azure hizmetini kullanır ve bunları Aşağıdakiler gibi Azure Resource Manager tabanlı araçlardan yönetir:

• Azure portal
• Azure PowerShell
• Azure CLI

Bu araçlar, aşağıdaki değişiklikleri yapabilen kaynaklara yüksek ayrıcalıklı erişim sağlayabilir:

• Abonelik genelindeki yapılandırmaları değiştirme
• Hizmet ayarları
• Abonelik faturalaması

Microsoft, bu ayrıcalıklı kaynakları korumak için bu kaynaklara erişen tüm kullanıcılar için çok faktörlü kimlik doğrulaması gerektirmenizi önerir. Microsoft Entra Id'de bu araçlar Windows Azure Hizmet Yönetimi API'si adlı bir pakette birlikte gruplandırılır. Azure Kamu için bu paketin Azure Kamu Cloud Management API uygulaması olması gerekir.

Kullanıcı dışlamaları

Koşullu Erişim ilkeleri güçlü araçlardır, aşağıdaki hesapları ilkelerinizden dışlamanızı öneririz:

• Kiracı genelinde hesap kilitlenmesini önlemek için acil durum erişimi veya kıran hesaplar. Olası olmayan senaryoda tüm yöneticiler kiracınızın dışındadır, acil durum erişimi yönetim hesabınız kiracıda oturum açmak için kullanılabilir ve erişimi kurtarma adımlarını atabilir.
  • Daha fazla bilgi için Bkz . Microsoft Entra Id'de acil durum erişim hesaplarını yönetme.
• Microsoft Entra Bağlan Eşitleme Hesabı gibi hizmet hesapları ve hizmet sorumluları. Hizmet hesapları, belirli bir kullanıcıya bağlı olmayan etkileşimli olmayan hesaplardır. Bunlar normalde uygulamalara programlı erişim sağlayan arka uç hizmetleri tarafından kullanılır, ancak yönetim amacıyla sistemlerde oturum açmak için de kullanılır. MFA program aracılığıyla tamamlanmadığından bu gibi hizmet hesapları dışlanmalıdır. Hizmet sorumluları tarafından yapılan çağrılar, kapsamı kullanıcılar olan Koşullu Erişim ilkeleri tarafından engellenmez. Hizmet sorumlularını hedefleyen ilkeler tanımlamak için iş yükü kimlikleri için Koşullu Erişim'i kullanın.
  • Kuruluşunuzda bu hesaplar betiklerde veya kodlarda kullanılıyorsa bunları yönetilen kimliklerle değiştirmeyi göz önünde bulundurun. Geçici bir geçici çözüm olarak, bu belirli hesapları temel ilkenin dışında tutabilirsiniz.

Şablon dağıtımı

Kuruluşlar, aşağıda açıklanan adımları kullanarak veya Koşullu Erişim şablonlarını kullanarak bu ilkeyi dağıtmayı seçebilir.

Koşullu Erişim ilkesi oluşturma

Aşağıdaki adımlar, Windows Azure Service Management API paketine erişen kullanıcıların çok faktörlü kimlik doğrulaması gerçekleştirmesini gerektiren bir Koşullu Erişim ilkesi oluşturmaya yardımcı olur.

Dikkat

Windows Azure Hizmet Yönetimi API'sine erişimi yönetmek için bir ilke ayarlamadan önce Koşullu Erişim'in nasıl çalıştığını anladığınızdan emin olun. Portala kendi erişiminizi engelleyebilecek koşullar oluşturmadığınızdan emin olun.

1. Microsoft Entra yönetim merkezinde en az Koşullu Erişim Yönetici istratörü olarak oturum açın.
2. Koruma>Koşullu Erişim'e göz atın.
3. Yeni ilke oluştur'u seçin.
4. İlkenize bir ad verin. Kuruluşların ilkelerinin adları için anlamlı bir standart oluşturmalarını öneririz.
5. Atamalar'ın altında Kullanıcılar'ı veya iş yükü kimliklerini seçin.
   1. Ekle'nin altında Tüm kullanıcılar'ı seçin.
   2. Dışla'nın altında Kullanıcılar ve gruplar'ı seçin ve kuruluşunuzun acil durum erişimini veya kıran hesapları seçin.
6. Hedef kaynaklar>Bulut uygulamaları>Dahil Uygulamalar seç'in> altında Windows Azure Hizmet Yönetimi API'sini ve ardından Seç'i seçin.
7. Erişim denetimleri>Ver'in altında Erişim ver, Çok faktörlü kimlik doğrulaması gerektir'i ve Seç'i seçin.
8. Ayarlarınızı onaylayın ve İlkeyi etkinleştir'i Yalnızca rapor olarak ayarlayın.
9. İlkenizi etkinleştirmek için oluşturmak için Oluştur'u seçin.

Yöneticiler ayarları yalnızca rapor modunu kullanarak onayladıktan sonra, İlkeyi etkinleştir iki durumlu düğmesini Yalnızca Rapor'dan Açık'a taşıyabilir.

Sonraki adımlar

Koşullu Erişim şablonları

Yeni ilke kararlarının sonuçlarını belirlemek için Koşullu Erişim için yalnızca rapor modunu kullanın.