條件式存取:需要 Azure 管理的 MFA

組織會使用許多 Azure 服務,並從 Azure Resource Manager 型工具進行管理,例如:

  • Azure 入口網站
  • Azure PowerShell
  • Azure CLI

這些工具可提供高特殊權限的資源存取權,以改變整個訂用帳戶的設定、服務設定和訂用帳戶計費。 為了保護這些特殊權限資源,Microsoft 建議您針對存取這些資源的使用者要求多重要素驗證。 在 Azure AD 中,會將這些工具群組到稱為 Microsoft Azure 管理的套件。 針對 Azure Government,此套件應該是 Azure Government 雲端管理 API 應用程式。

使用者排除

條件式存取原則是功能強大的工具,建議您從原則中排除下列帳戶:

  • 緊急存取急用帳戶,以避免整個租用戶帳戶遭到鎖定。 雖然不太可能發生,但如果所有管理員都遭到鎖定而無法使用租用戶,緊急存取系統管理帳戶就可以用來登入租用戶,以採取存取權復原步驟。
  • 服務帳戶服務主體,例如 Azure AD Connect 同步處理帳戶。 服務帳戶是未與任何特定使用者繫結的非互動式帳戶。 後端服務通常會使用這些帳戶以程式設計方式存取應用程式,但也可用來登入系統以供管理之用。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 條件式存取不會封鎖服務主體所進行的呼叫。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將其取代為受控識別。 您暫時可以在基準原則中排除這些特定帳戶,來解決此問題。

範本部署

組織可以選擇使用下面所述的步驟來部署此原則,或使用條件式存取範本 (預覽)

建立條件式存取原則

下列步驟會協助您建立條件式存取原則,以要求可存取 Microsoft Azure 管理套件的使用者執行多重要素驗證。

警告

在設定原則來管理 Microsoft Azure 管理的存取權之前,務必了解條件式存取的運作方式。 請確定您未建立可能會封鎖您自己存取入口網站的條件。

  1. 以全域管理員、安全性系統管理員或條件式存取管理員的身分,登入 Azure 入口網站
  2. 瀏覽至 [Azure Active Directory]>[安全性]>[條件式存取]。
  3. 選取 [新增原則]。
  4. 為您的原則命名。 我們建議組織針對其原則的名稱建立有意義的標準。
  5. 在 [指派] 底下,選取 [使用者和群組]
    1. 在 [包含] 下,選取 [所有使用者]。
    2. 在 [排除] 底下選取 [使用者和群組],然後選擇組織的緊急存取或急用帳戶。
    3. 選取 [完成] 。
  6. 在 [雲端應用程式或動作]>[包含] 底下選取 [選取應用程式]、選擇 [Microsoft Azure 管理],然後依序選取 [選取] 和 [完成]。
  7. 在 [存取控制]>[授與] 底下選取 [授與存取權] 和 [需要多重要素驗證],然後選取 [選取]。
  8. 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
  9. 選取 [建立],以建立並啟用您的原則。

使用報表專用模式確認設定之後,管理員可以將 [啟用原則] 從 [報告專用] 切換至 [開啟]。

後續步驟

條件式存取一般原則

使用條件式存取 What If 工具模擬登入行為