Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Organizacje używają wielu usług platformy Azure i zarządzają nimi za pomocą narzędzi opartych na usłudze Azure Resource Manager, takich jak:
- Azure Portal
- Azure PowerShell
- Azure CLI
Te narzędzia mogą zapewnić wysoce uprzywilejowany dostęp do zasobów, które mogą wprowadzać następujące zmiany:
- Zmienianie konfiguracji dla całej subskrypcji
- Ustawienia usługi
- Rozliczanie subskrypcji
Aby chronić te uprzywilejowane zasoby, firma Microsoft zaleca wymaganie uwierzytelniania wieloskładnikowego dla każdego użytkownika, który uzyskuje dostęp do tych zasobów. W usłudze Microsoft Entra ID te narzędzia są grupowane razem w pakiecie o nazwie Windows Azure Service Management API. W przypadku platformy Azure Government ten pakiet powinien być aplikacją interfejsu API zarządzania chmurą Azure Government.
Wykluczenia użytkowników
Zasady dostępu warunkowego są zaawansowanymi narzędziami. Zalecamy wykluczenie następujących kont z zasad:
-
Dostęp awaryjny lub konta awaryjne, aby zapobiec zablokowaniu z powodu błędnej konfiguracji zasad. W mało prawdopodobnym scenariuszu wszyscy administratorzy są zablokowani, konto administracyjne dostępu awaryjnego może służyć do logowania się i podjęcia kroków w celu odzyskania dostępu.
- Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
-
Konta usług i jednostki usługi, takie jak konto synchronizacji programu Microsoft Entra Connect. Konta usług to konta nieinterakcyjne, które nie są powiązane z żadnym konkretnym użytkownikiem. Są one zwykle używane przez usługi zaplecza i umożliwiają programowy dostęp do aplikacji, ale są również używane do logowania się do systemów w celach administracyjnych. Wywołania wykonywane przez jednostki usługi nie będą blokowane przez zasady dostępu warunkowego ograniczone do użytkowników. Użyj dostępu warunkowego dla tożsamości roboczych, aby zdefiniować zasady przeznaczone dla pryncypałów usługowych.
- Jeśli twoja organizacja ma te konta używane w skryptach lub kodzie, rozważ zastąpienie ich tożsamościami zarządzanymi.
Wdrażanie na podstawie szablonu
Organizacje mogą zdecydować się na wdrożenie tych zasad, wykonując poniższe kroki lub korzystając z szablonów dostępu warunkowego.
Tworzenie zasady dostępu warunkowego
Poniższe kroki pomagają utworzyć zasady dostępu warunkowego, aby wymagać od użytkowników, którzy uzyskują dostęp do pakietu interfejsu API zarządzania usługami Platformy Windows Azure do uwierzytelniania wieloskładnikowego.
Uwaga
Przed skonfigurowaniem zasad w celu zarządzania dostępem do interfejsu API zarządzania usługami Platformy Windows Azure upewnij się, że wiesz, jak działa dostęp warunkowy. Upewnij się, że nie tworzysz warunków, które mogą blokować własny dostęp do portalu.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do Ochrona>Dostęp warunkowy>Zasady.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W sekcji Przypisania wybierz opcję Użytkownicy lub tożsamości obciążeń roboczych.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz konta awaryjne lub konta o krytycznym dostępie w organizacji.
- W obszarze Zasoby docelowe>Zasoby (dawniej aplikacje w chmurze)>Uwzględnij>Wybierz zasoby, wybierz Interfejs API zarządzania usługami Windows Azure i zaznacz Wybierz.
- W obszarze Kontrola dostępu>Udziel, wybierz Udziel dostępu, Wymagaj uwierzytelniania wieloskładnikowego i kliknij Wybierz.
- Potwierdź swoje ustawienia i ustaw opcję Włącz politykę na tylko do raportowania.
- Wybierz pozycję Utwórz, aby włączyć swoją politykę.
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportowania, mogą przenieść przełącznik Włącz politykę z raportowania do Włączone.
Następne kroki
Użyj trybu raportowania, aby określić wyniki nowych decyzji polityki dostępu warunkowego.