組織會使用許多 Azure 服務,並從 Azure Resource Manager 型工具進行管理,例如:
- Azure 入口網站
- Azure PowerShell
- Azure CLI
這些工具可提供高特殊權限的資源存取,以進行下列變更:
- 改變全訂用帳戶設定
- 服務設定
- 訂閱計費
為了保護這些特殊權限資源,Microsoft 建議您針對存取這些資源的使用者要求多重要素驗證。 在 Microsoft Entra ID 中,會將這些工具分組到稱為 Windows Azure 服務管理 API 的套件。 針對 Azure Government,此套件應該是 Azure Government 雲端管理 API 應用程式。
使用者排除設定
條件式存取原則是強大的工具。 建議您從政策中排除下列帳戶:
-
緊急存取 或 緊急解鎖帳戶 以防止由於政策設定錯誤而導致鎖定。 在所有系統管理員都被鎖定的不太可能的情況下,您的緊急存取系統管理帳戶可用來登入和復原存取權。
- 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
-
服務帳戶 和 服務主體,例如 Microsoft Entra Connect Sync 帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們來允許以程式設計方式存取應用程式,但也用於登入系統以進行系統管理。 服務主體所進行的呼叫不會受到範圍為使用者的條件式存取原則所封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請將其取代 為受控識別。
範本部署
組織可以遵循下列步驟,或使用 條件式存取範本來部署此原則。
建立條件式存取原則
下列步驟會協助您建立條件式存取原則,以要求可存取 Windows Azure 服務管理 API 套件的使用者執行多重要素驗證。
警告
在設定原則來管理 Windows Azure 服務管理 API 的存取權之前,務必了解條件式存取的運作方式。 請確定您未建立可能會封鎖您自己存取入口網站的條件。
- 至少以條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>策略。
- 選取 [新增政策]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或破窗帳戶。
- 在 目標資源>包含> 下,選擇 Windows Azure 服務管理 API,然後選取 >。
- 在 [存取控制] 下的 [授權] 欄位中,選擇 [授予存取權] 和 [要求多重驗證],然後按 [選擇]。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。