常見的條件式存取原則:需要 MFA 以進行 Azure 管理
組織會使用許多 Azure 服務,並從 Azure Resource Manager 型工具進行管理,例如:
- Azure 入口網站
- Azure PowerShell
- Azure CLI
這些工具可以提供具有高度特殊許可權的資源存取權,這些資源可以進行下列變更:
- 改變整個訂用帳戶的組態
- 服務設定
- 訂閱計費
為了保護這些特殊許可權資源,Microsoft 建議針對存取這些資源的任何使用者要求多重要素驗證。 在 Microsoft Entra ID 中,這些工具會分組在名為 Windows Azure 服務管理 API 的套件中。 針對 Azure Government,此套件應該是 Azure Government 雲端管理 API 應用程式。
使用者排除
條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:
- 緊急存取或急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
- 如需詳細資訊,請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文。
- [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為用戶的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
- 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。
範本部署
組織可以選擇使用下列步驟或使用 條件式存取範本來部署此原則。
建立條件式存取原則
下列步驟將協助建立條件式存取原則,以要求存取 Windows Azure 服務管理 API 套件的使用者執行多重要素驗證。
警告
請務必先了解條件式存取的運作方式,再設定原則來管理 Windows Azure 服務管理 API 的存取權。 請確定您未建立可能會封鎖自己存取入口網站的條件。
- 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [保護>條件式存取]。
- 選取 [ 建立新原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 在 [目標資源>] [雲端應用程式>包括>選取應用程式]下,選擇 [Windows Azure 服務管理 API],然後選取 [選取]。
- 在 [訪問控制>授與] 底下,選取 [授與存取權]、[需要多重要素驗證],然後選取 [選取]。
- 確認您的設定,並將 [啟用原則] 設定為 [僅報告]。
- 選取 [建立] 以建立並啟用您的原則。
系統管理員使用僅限報表模式確認設定之後,可以將 [啟用原則] 切換從 [僅限報表] 移至 [開啟]。