Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
Организации используют множество служб Azure и управляют ими из Azure Resource Manager таких средств, как:
- портал Azure
- Azure PowerShell
- Azure CLI
Эти средства могут предоставлять высокопривилегированный доступ к ресурсам, которые могут внести следующие изменения:
- Изменение конфигураций на уровне подписки
- Параметры службы
- Выставление счетов по подпискам
Для защиты этих привилегированных ресурсов корпорация Майкрософт рекомендует включить запрос на многофакторную проверку подлинности для любого пользователя, который обращается к этим ресурсам. В Microsoft Entra ID эти средства группируются в наборе с именем Windows Azure API управления службами. Для Azure Government этот набор должен быть приложением API управления облаком Azure Government.
Пользовательские исключения
Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:
-
Аварийный доступ или аварийные учетные записи для предотвращения блокировки из-за неправильной настройки политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
- Дополнительные сведения можно найти в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
- учетные записи сервисов и сервисных принципалов, например: учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые субъектами-службами, не блокируются политиками условного доступа для пользователей. Используйте условный доступ для идентификаторов рабочих нагрузок, чтобы определить политики, предназначенные для служебных принципов.
- Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.
Развертывание шаблона
Организации могут развернуть эту политику, выполнив описанные ниже действия или используя шаблоны условного доступа.
Создание политики условного доступа
Ниже описаны шаги, помогающие создать политику условного доступа, требующую, чтобы пользователи, осуществляющие доступ к пакету API управления службами Windows Azure, прошли многофакторную аутентификацию.
Внимание
Убедитесь, что вы понимаете, как работает условный доступ, прежде чем настраивать политику для управления доступом к API управления службами Windows Azure. Убедитесь в отсутствии условий, которые могут заблокировать вам доступ к порталу.
- Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора условного доступа.
- Перейдите к Entra ID>условному доступу>политикам.
- Выберите Новая политика.
- Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
- В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
- В разделе Включить выберите Все пользователи.
- В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
- В разделе Target resources>Resources (ранее облачные приложения)>Include>Select resources, выберите Windows Azure API управления службами и выберите Select.
- В разделе Управление доступом>Предоставление разрешения выберите Предоставить доступ, Запрос на многофакторную проверку подлинности, а затем нажмите Выбрать.
- Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
- Щелкните Создать, чтобы включить эту политику.
После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".