Условный доступ с использованием Azure Data Explorer
Что такое условный доступ?
Современный периметр безопасности выходит за пределы сети организации, чтобы включить удостоверение пользователя и устройства. Организации могут использовать сигналы идентификации как часть решений по управлению доступом. Условный доступ Microsoft Entra можно использовать для объединения сигналов, принятия решений и применения политик организации.
Политики условного доступа проще всего использовать в инструкциях if-then (если-то). Если пользователь хочет получить доступ к ресурсу, то он должен выполнить действие. Например, специалисту по инжинирингу данных нужно получить доступ к Azure Data Explorer, но для этого требуется пройти многофакторную идентификацию (MFA).
В следующем примере показано, как настроить политику условного доступа, согласно которой для выбранных пользователей с помощью пользовательского веб-интерфейса Azure Data Explorer применяется MFA. Те же действия можно выполнить для создания других политик в соответствии с требованиями безопасности вашей организации.
Необходимые компоненты
Для использования этой функции требуется лицензия Microsoft Entra ID P1 или P2. Чтобы найти нужную лицензию для ваших требований, см. статью "Сравнение доступных функций идентификатора Microsoft Entra".
Примечание.
Политики условного доступа применяются только к операциям администрирования данных Azure Data Explorer и не влияют на какие-либо операции администрирования ресурсов.
Совет
Политики условного доступа применяются на уровне арендатора. Поэтому они применяется ко всем кластерам в арендаторе.
Настройка условного доступа
Войдите в портал Azure как минимум администратор условного доступа.
Перейдите к условному доступу к идентификаторам Microsoft Entra ID>>.
Выберите Новая политика.
Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
В разделе Назначения выберите Пользователи и группы. В разделе Включить>Выбрать пользователей и группы выберите элемент Пользователи и группы, добавьте пользователя или группу, которую нужно включить для условного доступа, а затем нажмите кнопку Выбрать.
В разделе Облачные приложения или действия выберите элемент Облачные приложения. В разделе Включить выберите команду Выбрать приложения, чтобы просмотреть список всех приложений, доступных для условного доступа. Выберите элементы Azure Data Explorer>Выбор.
Совет
Убедитесь, что выбрано приложение Azure Data Explorer со следующим GUID: 2746ea77-4702-4b45-80ca-3c97e680e8b7.
В разделе Условия задайте условия, которые необходимо применить ко всем платформам устройств. Затем нажмите кнопку Готово. Дополнительные сведения см. в статье об условном доступе Microsoft Entra: условия.
В разделе Элементы управления доступом последовательно выберите элементы Предоставить, Требовать многофакторную проверку подлинности и Выбрать.
Установите для параметра Включить политику значение Вкл., а затем щелкните команду Сохранить.
Проверьте политику, попросив назначенного пользователя осуществить доступ к пользовательскому веб-интерфейсу Azure Data Explorer. Пользователю должно быть предложено пройти MFA.