Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Организации используют множество служб Azure и управляют ими из Azure Resource Manager таких средств, как:
- портал Azure
- Azure PowerShell
- Azure CLI
Эти средства могут предоставлять высокопривилегированный доступ к ресурсам, которые могут внести следующие изменения:
- Изменение конфигураций на уровне подписки
- Параметры службы
- Выставление счетов по подпискам
Чтобы защитить эти привилегированные ресурсы, Майкрософт рекомендует требовать многофакторную проверку подлинности для любого пользователя, обращаюющегося к этим ресурсам. В Microsoft Entra ID эти средства группируются в наборе с именем Windows Azure API управления службами. Для Azure для государственных организаций этот набор должен быть приложением API управления облаком Azure для государственных организаций.
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
- Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.
Создание политики условного доступа
Ниже описано, как создать политику условного доступа, чтобы пользователи, обращающиеся к системе API управления службами Windows Azure, были обязаны выполнить многофакторную проверку подлинности.
Внимание
Убедитесь, что вы понимаете, как работает условный доступ, прежде чем настраивать политику для управления доступом к API управления службами Windows Azure. Убедитесь в отсутствии условий, которые могут заблокировать вам доступ к порталу.
- Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
- Перейдите к Entra ID>Условный доступ>Политики.
- Выберите Новая политика.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
- В разделе Target resources>Resources (ранее облачные приложения)>Include>Select resources, выберите Windows Azure API управления службами и выберите Select.
- В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".