Freigeben über

Richtlinie für bedingten Zugriff für Azure Container Registry

  • Artikel

Azure Container Registry (ACR) verschafft Ihnen die Möglichkeit, die Richtlinie für bedingten Zugriff zu erstellen und zu konfigurieren. Richtlinien für bedingten Zugriff, die in der Regel Azure Active Directory (Azure AD) zugeordnet sind, dienen dazu, starke Authentifizierungs- und Zugriffssteuerungen für verschiedene Azure-Dienste (einschließlich ACR) zu erzwingen.

Die Richtlinie für bedingten Zugriff wird nach Abschluss der Authentifizierung mit der ersten Stufe bei der Azure Container Registry angewendet. Der bedingte Zugriff dient bei der ACR ausschließlich die Benutzerauthentifizierung. Die Richtlinie ermöglicht dem Benutzer die Auswahl der Kontrollen und weiteren Blöcke, oder sie gewährt Zugriff auf Grundlage der Richtlinienentscheidungen.

Die Richtlinie für bedingten Zugriff ist so konzipiert, dass eine starke Authentifizierung erzwungen wird. Durch die Richtlinie kann die Sicherheit die Complianceanforderungen der Organisationen erfüllen und den Schutz der Daten und Benutzerkonten aufrechterhalten.

Wichtig

Um die Richtlinie für bedingten Zugriff für die Registrierung zu konfigurieren, müssen Sie authentication-as-arm für alle Registrierungen innerhalb des gewünschten Mandanten deaktivieren.

Weitere Informationen zur Richtlinie für bedingten Zugriff, den Bedingungen, die Sie berücksichtigen sollten, um Richtlinienentscheidungen zu treffen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen und Konfigurieren der Richtlinie für bedingten Zugriff für Azure Container Registry.
  • Behandeln von Problemen mit Richtlinien für bedingten Zugriff

Voraussetzungen

Erstellen und Konfigurieren einer Richtlinie für bedingten Zugriff: Azure-Portal

ACR unterstützt Richtlinien für bedingten Zugriff nur für Active Directory-Benutzer. Sie unterstützt derzeit keine Richtlinien für bedingten Zugriff für Dienstprinzipale. Um die Richtlinie für bedingten Zugriff für die Registrierung zu konfigurieren, müssen Sie authentication-as-arm für alle Registrierungen innerhalb des gewünschten Mandanten deaktivieren. In diesem Tutorial erstellen wir eine einfache Richtlinie für bedingten Zugriff für die Azure Container Registry im Azure-Portal.

Erstellen Sie eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe wie folgt zu:

  1. Melden Sie sich beim Azure-Portal mit einem Konto mit Berechtigungen vom Typ Administrator für bedingten Zugriff an.

  2. Suchen Sie nach Microsoft Entra ID, und wählen Sie diese Lösung aus. Wählen Sie dann im Menü links die Option Sicherheit aus.

  3. Wählen Sie Bedingter Zugriff, + Neue Richtlinie und dann Neue Richtlinie erstellen aus.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie „Neue Richtlinie“ auswählen und dann „Neue Richtlinie erstellen“ auswählen.

  4. Geben Sie einen Namen für die Richtlinie ein, beispielsweise demo.

  5. Wählen Sie im Bereich Zuweisungen unter Benutzer oder Workloadidentitäten den aktuellen Wert aus.

    Screenshot der Seite „Bedingter Zugriff“, auf der Sie den aktuellen Wert unter „Benutzer oder Workloadidentitäten“ auswählen.

  6. Überprüfen Sie unter Wofür gilt diese Richtlinie? die Option Benutzer und Gruppen, und wählen Sie sie aus.

  7. Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählen und dann Alle Benutzer aus.

    Screenshot der Seite zum Erstellen einer neuen Richtlinie, auf der Sie Optionen zum Angeben von Benutzern auswählen.

  8. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen auswählen aus, um eine beliebige Auswahl auszuschließen.

  9. Wählen Sie unter Cloud-Apps oder -Aktionen die Option Cloud-Apps aus.

  10. Wählen Sie unter Einschließen die Option Apps auswählen aus.

    Screenshot der Seite zum Erstellen einer neuen Richtlinie, auf der Sie Optionen zum Angeben von Cloud-Apps auswählen.

  11. Suchen Sie nach Apps für die Anwendung des bedingten Zugriffs, in diesem Fall Azure Container Registry, wählen Sie die Apps aus, und wählen Sie dann Auswählen aus.

    Screenshot der Liste der Apps, mit gefilterten Ergebnissen und ausgewählter Option „Azure Container Registry“.

  12. Konfigurieren Sie unter Bedingungen die Steuerungszugriffsebene mit Optionen wie Benutzerrisikostufe, Anmelderisikostufe, Erkennung von Anmelderisiken (Vorschau), Geräteplattformen, Standorte, Client-Apps, Zeit (Vorschau) und Nach Geräten filtern.

  13. Filtern Sie unter Gewähren Optionen, und wählen Sie diese aus, um das Gewähren von Zugriff oder das Blockieren von Zugriff während eines Anmeldeereignisses beim Azure-Portal zu erzwingen. In diesem Fall gewähren Sie Zugriff mittels Multi-Faktor-Authentifizierung anfordern, und wählen Sie dann Auswählen aus.

    Tipp

    Informationen zum Konfigurieren und Gewähren der Multi-Faktor-Authentifizierung finden Sie unter Konfigurieren von und Bedingungen für die Multi-Faktor-Authentifizierung.

  14. Filtern Sie unter Sitzung Optionen, und wählen Sie diese aus, um Kontrollen auf Sitzungsebenenerfahrung der Cloud-Apps zu aktivieren.

  15. Wählen Sie nach Auswahl und Bestätigung unter Richtlinie aktivieren die Option Ein aus.

  16. Um die Richtlinie anzuwenden und zu aktivieren, wählen Sie Erstellen aus.

    Screenshot, der zeigt, wie Sie die Richtlinie für bedingten Zugriff aktivieren.

Wir haben nun das Erstellen der Richtlinie für bedingten Zugriff für die Azure Container Registry abgeschlossen.

Behandeln von Problemen mit Richtlinien für bedingten Zugriff

Nächste Schritte

Azure Policy-Definitionen und Auswirkungen Häufige Zugriffsbedenken, bei denen Richtlinien für bedingten Zugriff hilfreich sein können Komponenten der Richtlinie für bedingten Zugriff