使用 Azure Data Explorer的條件式存取
何謂條件式存取?
新式安全性周邊會延伸到組織網路之外,以包含使用者和裝置身分識別。 組織可以利用身分識別導向的訊號作為其存取控制決策的一部分。 您可以使用Microsoft Entra條件式存取,將訊號結合在一起、做出決策,以及強制執行組織原則。
條件式存取原則最簡單,就像 if-then 語句一樣。 如果使用者想要存取資源,則必須完成動作。 例如,資料工程師想要存取 Azure Data Explorer,但需要執行多重要素驗證 (MFA) 才能存取它。
在下列範例中,您將瞭解如何設定條件式存取原則,以使用 Azure Data Explorer Web UI 為選取的使用者強制執行 MFA。 您可以使用相同的步驟來建立其他原則,以符合貴組織的安全性需求。
必要條件
使用此功能需要Microsoft Entra識別碼 P1 或 P2 授權。 若要尋找您需求的正確授權,請參閱比較Microsoft Entra識別碼的可用功能。
注意
條件式存取原則只會套用至 Azure Data Explorer的資料管理作業,且不會影響任何資源管理作業。
提示
條件式存取原則會在租使用者層級套用;因此,它會套用至租使用者中的所有叢集。
設定條件式存取
以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站。
流覽至Microsoft Entra識別碼>安全性>條件式存取。
選取 [新增原則]。
![[安全性] 頁面的螢幕擷取畫面,其中顯示 [條件式存取] 索引標籤。](media/conditional-access/configure-select-conditional-access.png)
為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
在 [指派] 底下,選取 [使用者和群組] 。 在[包含>選取使用者和群組] 底下,選取 [使用者和群組],新增您想要針對 [條件式存取] 包含的使用者或群組,然後選取 [選取]。
![顯示使用者指派的 [使用者和群組] 區段螢幕擷取畫面。](media/conditional-access/configure-assign-user.png)
在 [雲端應用程式或動作] 下,選取 [ 雲端應用程式]。 在 [包含]底下,選取 [ 選取應用程式 ] 以查看可供條件式存取使用的所有應用程式清單。 選取[Azure Data Explorer>選取]。
提示
請確定您選取具有下列 GUID 的 Azure Data Explorer應用程式:2746ea77-4702-4b45-80ca-3c97e680e8b7。
![[雲端應用程式] 區段的螢幕擷取畫面,其中顯示 Azure Data Explorer 應用程式的選取範圍。](media/conditional-access/configure-select-apps.png)
在 [ 條件]下,設定您想要套用至所有裝置平臺的條件,然後選取 [ 完成]。 如需詳細資訊,請參閱Microsoft Entra條件式存取 :條件。
![[條件] 區段的螢幕擷取畫面,其中顯示條件指派。](media/conditional-access/configure-select-conditions.png)
在 [存取控制] 底下,選取 [ 授與],選取 [需要多重要素驗證],然後選取 [ 選取]。
![[存取控制] 區段的螢幕擷取畫面,其中顯示授與存取需求。](media/conditional-access/configure-grant-access.png)
將 [啟用原則] 設定為 [ 開啟],然後選取 [ 儲存]。
![[啟用原則] 區段的螢幕擷取畫面,其中顯示正在開啟的原則。](media/conditional-access/configure-enforce-mfa.png)
要求指派的使用者存取Azure Data Explorer Web UI來驗證原則。 應該提示使用者輸入 MFA。
相關內容
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應