Udostępnij za pośrednictwem


Zasady dostępu warunkowego dla usługi Azure Container Registry

Usługa Azure Container Registry (ACR) umożliwia tworzenie i konfigurowanie zasad dostępu warunkowego. Zasady dostępu warunkowego, które są zwykle skojarzone z usługą Azure Active Directory (Azure AD), są używane do wymuszania silnego uwierzytelniania i kontroli dostępu dla różnych usług platformy Azure, w tym usługi ACR.

Zasady dostępu warunkowego mają zastosowanie po zakończeniu uwierzytelniania pierwszego składnika w usłudze Azure Container Registry. Celem dostępu warunkowego dla usługi ACR jest tylko uwierzytelnianie użytkowników. Zasady umożliwiają użytkownikowi wybranie kontrolek i dalsze blokowanie lub udzielanie dostępu na podstawie decyzji dotyczących zasad.

Zasady dostępu warunkowego są przeznaczone do wymuszania silnego uwierzytelniania. Zasady umożliwiają bezpieczeństwo, aby spełnić wymagania dotyczące zgodności organizacji i zapewnić bezpieczeństwo danych i kont użytkowników.

Ważne

Aby skonfigurować zasady dostępu warunkowego dla rejestru, należy wyłączyć authentication-as-arm wszystkie rejestry w żądanej dzierżawie.

Dowiedz się więcej na temat zasad dostępu warunkowego, warunków , które należy wziąć pod uwagę w celu podejmowania decyzji dotyczących zasad.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie i konfigurowanie zasad dostępu warunkowego dla usługi Azure Container Registry.
  • Rozwiązywanie problemów z zasadami dostępu warunkowego.

Wymagania wstępne

Tworzenie i konfigurowanie zasad dostępu warunkowego — Azure Portal

Usługa ACR obsługuje zasady dostępu warunkowego tylko dla użytkowników usługi Active Directory. Obecnie nie obsługuje zasad dostępu warunkowego dla jednostki usługi. Aby skonfigurować zasady dostępu warunkowego dla rejestru, należy wyłączyć authentication-as-arm wszystkie rejestry w żądanej dzierżawie. W tym samouczku utworzymy podstawowe zasady dostępu warunkowego dla usługi Azure Container Registry w witrynie Azure Portal.

Utwórz zasady dostępu warunkowego i przypisz grupę testową użytkowników w następujący sposób:

  1. Zaloguj się do witryny Azure Portal przy użyciu konta z uprawnieniami administratora dostępu warunkowego.

  2. Wyszukaj i wybierz Tożsamość Microsoft Entra. Następnie wybierz pozycję Zabezpieczenia z menu po lewej stronie.

  3. Wybierz pozycję Dostęp warunkowy, wybierz pozycję + Nowe zasady, a następnie wybierz pozycję Utwórz nowe zasady.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybierasz pozycję „Nowe zasady”, a następnie pozycję „Utwórz nowe zasady”.

  4. Wprowadź nazwę zasad, taką jak pokaz.

  5. W obszarze Przypisania wybierz bieżącą wartość w obszarze Użytkownicy lub tożsamości obciążenia.

    Zrzut ekranu przedstawiający stronę Dostęp warunkowy, na której wybrana jest bieżąca wartość w obszarze

  6. W obszarze Co mają zastosowanie te zasady?, sprawdź i wybierz pozycję Użytkownicy i grupy.

  7. W obszarze Dołącz wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Wszyscy użytkownicy.

    Zrzut ekranu przedstawiający stronę tworzenia nowych zasad, na której wybierasz opcje określania użytkowników.

  8. W obszarze Wyklucz wybierz pozycję Wybierz użytkowników i grupy, aby wykluczyć dowolny wybór.

  9. W obszarze Aplikacje lub akcje w chmurze wybierz pozycję Aplikacje w chmurze.

  10. W obszarze Dołącz wybierz pozycję Wybierz aplikacje.

    Zrzut ekranu przedstawiający stronę tworzenia nowych zasad, gdzie wybierasz opcje określania aplikacji w chmurze.

  11. Wyszukaj i wybierz aplikacje, aby zastosować dostęp warunkowy, w tym przypadku Azure Container Registry, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający listę aplikacji z filtrami wyników i wybraną pozycją

  12. W obszarze Warunki skonfiguruj poziom dostępu kontroli z opcjami, takimi jak poziom ryzyka użytkownika, poziom ryzyka logowania, wykrywanie ryzyka logowania (wersja zapoznawcza), platformy urządzeń, lokalizacje, aplikacje klienckie, czas (wersja zapoznawcza), filtr dla urządzeń.

  13. W obszarze Udziel, filtruj i wybierz jedną z opcji, aby wymusić przyznanie dostępu lub zablokować dostęp podczas zdarzenia logowania do witryny Azure Portal. W takim przypadku udziel dostępu przy użyciu opcji Wymagaj uwierzytelniania wieloskładnikowego, a następnie wybierz pozycję Wybierz.

    Napiwek

    Aby skonfigurować i udzielić uwierzytelniania wieloskładnikowego, zobacz konfigurowanie i warunki uwierzytelniania wieloskładnikowego.

  14. W obszarze Sesja przefiltruj i wybierz jedną z opcji, aby włączyć dowolną kontrolę na poziomie sesji aplikacji w chmurze.

  15. Po wybraniu i potwierdzeniu w obszarze Włącz zasady wybierz pozycję Włączone.

  16. Aby zastosować i aktywować zasady, wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający sposób aktywowania zasad dostępu warunkowego.

Teraz utworzyliśmy zasady dostępu warunkowego dla usługi Azure Container Registry.

Rozwiązywanie problemów z zasadami dostępu warunkowego

Następne kroki

Definicje i efekty usługi Azure Policy. Typowe problemy z dostępem, z którymi mogą pomóc zasady dostępu warunkowego. Składniki zasad dostępu warunkowego.