Azure 管理需要 MFA

組織會使用許多 Azure 服務，並從 Azure Resource Manager 型工具進行管理，例如：

• Azure 入口網站
• Azure PowerShell
• Azure 命令列介面

這些工具可提供高特殊權限的資源存取，以進行下列變更：

• 改變全訂用帳戶設定
• 服務設定
• 訂閱計費

為了保護這些特殊權限資源，Microsoft 建議您針對存取這些資源的使用者要求多重要素驗證。 在 Microsoft Entra ID 中，會將這些工具分組到稱為 Windows Azure 服務管理 API 的套件。 針對 Azure Government，此套件應該是 Azure Government 雲端管理 API 應用程式。

使用者排除設定

條件式存取原則是功能強大的工具，建議您從原則中排除下列帳戶：

• 緊急存取 或 緊急解鎖帳戶 以防止由於政策設定錯誤而導致鎖定。 在不太可能的情況下，所有系統管理員都遭到鎖定，您的緊急存取系統管理帳戶可用來登入並採取復原存取的步驟。
  • 如需詳細資訊，請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。
• 服務帳戶 和 服務主體，例如 Microsoft Entra Connect Sync 帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 通常，後端服務會使用這些帳戶來程式化地存取應用程式，但這些帳戶也可用來登入系統以進行管理。 服務主體所進行的呼叫不會遭到將範圍設為使用者的條件式存取原則封鎖。 使用適用於工作負載身分識別的條件式存取，來定義以服務主體為目標的原則。
  • 如果您的組織在指令碼或程式碼中使用這些帳戶，請考慮將它們取代為受管理的身分識別。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則，或使用條件式存取範本 (部分機器翻譯)。

建立條件式存取原則

下列步驟會協助您建立條件式存取原則，以要求可存取 Windows Azure 服務管理 API 套件的使用者執行多重要素驗證。

警告

在設定原則來管理 Windows Azure 服務管理 API 的存取權之前，務必了解條件式存取的運作方式。 請確定您未建立可能會封鎖您自己存取入口網站的條件。

1. 至少以條件式存取管理員的身分登入Microsoft Entra 系統管理中心。
2. 瀏覽至 保護>條件式存取>原則。
3. 選取 [新增政策]。
4. 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
5. 在 [指派] 底下，選取 [使用者] 或 [工作負載識別]。
   1. 在 [包含] 下，選取 [所有使用者]。
   2. 在 [排除] 下，選取 [使用者和群組]，然後選擇您組織的緊急存取或破窗帳戶。
6. 在 目標資源資源（先前稱為雲端應用程式）包含選取資源 下，選擇 Windows Azure 服務管理 API，然後選取 選取。
7. 在 [存取控制] 下的 [授權] 欄位中，選擇 [授予存取權] 和 [要求多重驗證]，然後按 [選擇]。
8. 確認您的設定，並將 [啟用原則] 設為 [報告專用]。
9. 選取 [建立] 以建立並啟用您的原則。

管理員使用報告專用模式確認設定之後，即可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

下一步

條件式存取範本

使用報告專用模式來進行條件式存取，以確認新原則決策的結果。