Azure Container Registry 的條件式存取原則
Azure Container Registry (ACR) 可讓您選擇建立和設定條件式存取原則。 條件式存取原則通常與 Azure Active Directory (Azure AD) 相關聯,可用來對各種 Azure 服務 (包括 ACR) 實施增強式驗證和存取控制。
條件式存取原則會在完成對 Azure Container Registry 第一個要素驗證之後適用。 ACR 的條件式存取用途僅供使用者驗證使用。 此原則可讓使用者選擇控制項,並根據原則決策進一步封鎖或授與存取權。
條件式存取原則旨在施行增強式驗證。 此原則讓安全性符合組織合規性要求,並維持資料和使用者帳戶的安全。
重要
若要設定登錄的條件式存取原則,您必須停用所需租用戶內所有登錄的 authentication-as-arm。
深入瞭解條件式存取原則,條件式存取原則即您將納入考量以做出原則決策的條件。
在本教學課程中,您會了解如何:
- 建立及設定 Azure Container Registry 的條件式存取原則。
- 對條件式存取原則進行疑難排解。
必要條件
- 安裝或升級 Azure CLI 2.40.0 版或更新版本。 若要尋找版本,請執行
az --version。 - 登入 Azure 入口網站。
建立及設定條件式存取原則 - Azure 入口網站
ACR 僅支援 Active Directory 使用者的條件式存取原則。 ACR 目前不支援服務主體的條件式存取原則。 若要設定登錄的條件式存取原則,您必須停用所需租用戶內所有登錄的 authentication-as-arm。 在本教學課程中,我們將透過 Azure 入口網站建立 Azure Container Registry 的基本條件式存取原則。
如下所示,建立條件式存取原則,並指派使用者測試群組:
使用具備「全域管理員」權限的帳戶登入 Azure 入口網站。
搜尋並選取 Microsoft Entra ID。 然後從左側功能表中選取 [安全性]。
選取 [條件式存取],選取 [+ 新增原則],然後選取 [建立新原則]。
輸入原則的名稱,例如「示範」。
在 [指派] 底下,選取 [使用者或工作負載身分識別] 下的目前值。
在 [此原則的適用範圍為何?] 下,確認並選取 [使用者和群組]。
在 [包含] 底下,選擇 [選取使用者和群組],然後選取 [所有使用者]。
在 [排除] 下,選擇 [選取使用者和群組],以排除任何選取選項。
在 [雲端應用程式或動作] 下,選擇 [雲端應用程式]。
在 [包含] 下,選擇 [選取應用程式]。
瀏覽並選取要套用條件式存取的應用程式 (在此案例中即 Azure Container Registry),然後選擇 [選取]。
在 [條件] 下,使用使用者風險層級、登入風險層級、登入風險偵測 (預覽)、裝置平台、位置、用戶端應用程式、時間 (預覽)、篩選裝置 等選項來設定控制存取層級。
在 [授與] 下,在 Azure 入口網站登入事件期間,篩選和選擇選項,來強制授與存取權或封鎖存取權。 在此案例中,使用 [需要多重要素驗證] 授與存取權,然後選擇 [選取]。
提示
若要設定和授與多重要素驗證,請參閱多重要素驗證的設定和條件。
在 [工作階段] 底下,篩選並選擇選項,以啟用對雲端應用程式工作階段層級體驗的任何控制項。
選取並確認之後,在 [啟用原則] 底下,選取 [開啟]。
若要套用並啟用原則,請選取 [建立]。
我們現在已完成 Azure Container Registry 條件式存取原則的建立。
對條件式存取原則進行疑難排解
有關條件式存取登入的問題,請參閱對條件式存取登入進行疑難排解。
有關條件式存取原則的問題,請參閱對條件式存取原則進行疑難排解。