Acesso Condicional: Requerem MFA para gestão do Azure

  • Artigo
  • 2 minutos para ler

As organizações usam muitos serviços Azure e gerem-nos a partir de ferramentas baseadas em Azure Resource Manager como:

  • Portal do Azure
  • Azure PowerShell
  • CLI do Azure

Estas ferramentas podem fornecer acesso altamente privilegiado a recursos, que podem alterar configurações em toda a subscrição, configurações de serviço e faturação de subscrição. Para proteger estes recursos privilegiados, a Microsoft recomenda que exija a autenticação de vários fatores para qualquer utilizador que aceda a estes recursos. Em Azure AD, estas ferramentas são agrupadas numa suite chamada Microsoft Azure Management. Para Azure Government, esta suíte deve ser a Azure Government aplicação API cloud management.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas da sua política:

  • Acesso de emergência ou contas de break-glass para evitar o bloqueio de conta em todo o inquilino. No cenário improvável de todos os administradores estarem bloqueados fora do seu inquilino, a sua conta administrativa de acesso de emergência pode ser usada para entrar no arrendatário tomar medidas para recuperar o acesso.
  • Contas de serviço e principais de serviço, como a Conta de Ad AZure Ligação Sync. As contas de serviço são contas não interativas que não estão ligadas a nenhum utilizador em particular. Normalmente são usados por serviços back-end que permitem o acesso programático a aplicações, mas também são usados para iniciar seducação em sistemas para fins administrativos. Contas de serviço como estas devem ser excluídas, uma vez que o MFA não pode ser concluído programáticamente. As chamadas efetuadas pelos principais serviços não são bloqueadas pelo Acesso Condicional.
    • Se a sua organização tiver estas contas em uso em scripts ou código, considere substituí-las por identidades geridas. Como solução temporária, pode excluir estas contas específicas da política de base.

Implementação de modelos

As organizações podem optar por implementar esta política utilizando os passos descritos abaixo ou utilizando os modelos de Acesso Condicional (Pré-visualização).

Criar uma política de acesso condicional

As seguintes medidas ajudarão a criar uma política de Acesso Condicional para exigir que os utilizadores que acedam ao suite de Gestão Microsoft Azure façam a autenticação de vários fatores.

Atenção

Certifique-se de que compreende como funciona o Acesso Condicional antes de criar uma política para gerir o acesso à Gestão Microsoft Azure. Certifique-se de que não cria condições que possam bloquear o seu próprio acesso ao portal.

  1. Inscreva-se no portal do Azure como administrador global, administrador de segurança ou administrador de acesso condicional.
  2. Navegue para Azure Ative Directory>SecurityConditional> Access.
  3. Selecione Nova política.
  4. Dê um nome à sua apólice. Recomendamos que as organizações criem um padrão significativo para os nomes das suas políticas.
  5. Em Atribuições, selecione Utilizadores e grupos
    1. Em Incluir, selecione Todos os utilizadores.
    2. Em 'Excluir', selecione Utilizadores e grupos e escolha as contas de acesso de emergência ou break-glass da sua organização.
    3. Selecione Concluído.
  6. Em aplicativos ou ações>cloudInclude, selecione selecione apps, escolha Microsoft Azure Gestão e selecione Select then Done.
  7. Sob controlos de>acessoSsesor, selecione o acesso ao Grant, exija autenticação de vários fatores e selecione Select.
  8. Confirme as suas definições e defina Ativar a políticaapenas para reportar.
  9. Selecione Criar para criar para ativar a sua política.

Depois de confirmar as suas definições utilizando o modo apenas de relatório, um administrador pode mover a política Enable para alternar de Relatório apenas para On.

Passos seguintes

Políticas comuns de acesso condicional

Simular sinal no comportamento usando o acesso condicional E se a ferramenta