Voorwaardelijke toegang: MFA vereisen voor Azure-beheer

Organisaties gebruiken verschillende Azure-services en beheren deze vanuit Azure Resource Manager hulpprogramma's zoals:

  • Azure Portal
  • Azure PowerShell
  • Azure CLI

Deze hulpprogramma's kunnen zeer uitgebreide toegang bieden tot resources, die configuraties voor het hele abonnement, service-instellingen en abonnementsfacturering kunnen wijzigen. Om deze bevoorrechte resources te beveiligen, raadt Microsoft aan multi-factor authentication te vereisen voor elke gebruiker die toegang heeft tot deze resources. In Azure AD worden deze hulpprogramma's gegroepeerd in een suite met de naam Microsoft Azure Management. Voor Azure Government moet dit de Azure Government Cloud Beheer API-app zijn.

Gebruikersuitsluitingen

Beleidsregels voor voorwaardelijke toegang zijn krachtige hulpprogramma's. We raden u aan de volgende accounts uit te sluiten van uw beleid:

  • Toegang in noodgevallen of break glass-accounts om tenantbrede accountvergrendeling te voorkomen. In het onwaarschijnlijke scenario dat alle beheerders zijn vergrendeld voor uw tenant, kan uw beheerdersaccount voor toegang in noodgevallen worden gebruikt om u aan te melden bij de tenant. Neem stappen om de toegang te herstellen.
  • Serviceaccounts en service-principals, zoals het Azure AD Verbinding maken Sync-account. Serviceaccounts zijn niet-interactieve accounts die niet zijn gekoppeld aan een bepaalde gebruiker. Ze worden doorgaans gebruikt door back-endservices die programmatische toegang tot toepassingen toestaan, maar worden ook gebruikt om zich aan te melden bij systemen voor administratieve doeleinden. Serviceaccounts zoals deze moeten worden uitgesloten omdat MFA niet programmatisch kan worden uitgevoerd. Aanroepen van service-principals worden niet geblokkeerd door voorwaardelijke toegang.
    • Als uw organisatie deze accounts in gebruik heeft in scripts of code, kunt u overwegen deze te vervangen door beheerde identiteiten. Als tijdelijke oplossing kunt u deze specifieke accounts uitsluiten van het basislijnbeleid.

Beleid voor voorwaardelijke toegang maken

De volgende stappen helpen bij het maken van beleid voor voorwaardelijke toegang om te vereisen dat degenen die toegang hebben tot de Microsoft Azure Management Suite, meervoudige verificatie uitvoeren.

  1. Meld u aan bij Azure Portal globale beheerder, beveiligingsbeheerder of beheerder van voorwaardelijke toegang.
  2. Blader naar Azure Active Directory > beveiliging voor > voorwaardelijke toegang.
  3. Selecteer Nieuw beleid.
  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.
  5. Selecteer onder Toewijzingen de optie Gebruikers en groepen
    1. Selecteer onder Opnemen de optie Alle gebruikers.
    2. Selecteer onder Uitsluiten de optie Gebruikers en groepen en kies de accounts voor noodtoegang of break-glass van uw organisatie.
    3. Selecteer Gereed.
  6. Selecteer onder Cloud-apps of -acties opnemen de > optie Apps selecteren, kies Microsoft Azure Beheer en selecteer Vervolgens Selecteren.
  7. Selecteer onder > Toegangsbesturingselementen verlenen de optie Toegang verlenen, Meervoudige verificatie vereisen en selecteer Selecteren.
  8. Bevestig uw instellingen en stel Beleid inschakelen in op Aan.
  9. Selecteer Maken om uw beleid in te stellen.

Volgende stappen

Algemeen beleid voor voorwaardelijke toegang

Invloed bepalen met de rapportmodus Voorwaardelijke toegang

Aanmeldingsgedrag simuleren met behulp van het hulpprogramma What If voorwaardelijke toegang