Freigeben über

Anleitung: Eigenständige Durchsetzung von MFA über Azure-Richtlinien anwenden

Azure Policy ist ein leistungsstarkes Governancetool, mit dem Sie Ihre Organisation auf die bevorstehende Durchsetzung der mehrstufigen Authentifizierung (MFA) in Azure-Clients vorbereiten können. Dieser Leitfaden führt Sie durch den Prozess der Anwendung von Azure-Richtlinienzuweisungen, um die mehrstufige Authentifizierung in Ihrer Organisation selbst zu erzwingen.

Anwenden der Durchsetzung von Azure-Richtlinien über das Azure-Portal

1. Anmelden beim Azure-Portal

Navigieren Sie zum Azure-Portal.

2. Zugreifen auf azure Policy Service

Wählen Sie "Richtlinie" unter Azure-Diensten aus. Wenn sie nicht angezeigt wird, geben Sie "Richtlinie" in die Suchleiste oben ein, und wählen Sie sie aus den Ergebnissen aus.

Screenshot der Azure-Richtlinienzuweisungsansicht.

3. Wählen Sie den Geltungsbereich für die Zuordnung aus.

  1. Klicken Sie im linken Bereich des Richtliniendashboards auf "Aufgaben".
  2. Klicken Sie oben auf der Seite „Zuweisungen“ auf „Richtlinie zuweisen“.
  3. Klicken Sie im Bereichsbereich auf "Bereich auswählen".
  4. Wählen Sie die entsprechende Ressourcengruppe, das Abonnement oder die Verwaltungsgruppe aus, in der Sie die Richtlinie anwenden möchten.
  5. Bestätigen Sie Ihre Auswahl mit „Auswählen“.

4. Selektoren für die schrittweise Einführung der Durchsetzung von Richtlinien konfigurieren

Note

Um den sicheren Rollout der Richtlinienerzwingung zu ermöglichen, empfehlen wir die Verwendung der Ressourcenselektoren von Azure Policy, um die Richtlinienerzwingung schrittweise auf Ihre Ressourcen anzuwenden.

  1. Klicken Sie im Abschnitt "Ressourcenauswahl" auf der Registerkarte "Grundlagen" auf "Erweitern".

  2. Klicken Sie auf "Ressourcenauswahl hinzufügen"

    Screenshot der Azure-Richtlinienzuweisungserstellungsansicht.

  3. Füge einen Namen für deinen Selektor hinzu

  4. Schalten Sie resourceLocation um, um es zu aktivieren.

  5. Wählen Sie einige Regionen mit geringem Risiko aus, für die Sie durchsetzen möchten. Die Richtlinienzuweisung wertet Azure-Ressourcen in diesen Regionen aus.

  6. Sie können diese Zuordnung später aktualisieren, um weitere Regionen hinzuzufügen, indem Sie weitere resourceLocation-Selektoren hinzufügen oder die vorhandene resourceLocation-Auswahl aktualisieren, um weitere Regionen hinzuzufügen.

Screenshot der Azure-Richtlinienauswahl-Erstellungsansicht.

5. Wählen Sie eine Richtliniendefinition aus.

  1. Klicken Sie unter 'Grundlagen' auf die Richtliniendefinition.
  2. Durchsuchen oder suchen Sie nach der Mehrfaktor-Richtliniendefinition – es gibt 2 davon. Wählen Sie jetzt eine aus:
  3. Wählen Sie die jeweilige Richtliniendefinition aus.

Screenshot der Ansicht

6. Konfigurieren weiterer Zuordnungsdetails

  1. Geben Sie unter „Grundlagen“ einen Namen für Ihre Richtlinienzuweisung ein. Optional können Sie eine Beschreibung hinzufügen, um anderen zu helfen, den Zweck dieser Aufgabe zu verstehen.
  2. Unter "Grundlagen" sollte der Erzwingungsmodus auf "Aktiviert" festgelegt werden (dieser Modus ist standardmäßig festgelegt, es ist keine Aktion erforderlich).
  3. Wechseln Sie zur Registerkarte "Parameter". Deaktivieren Sie "Nur Parameter anzeigen, die Eingabe oder Überprüfung erfordern". Der Parameterwert sollte sich am vorgewählten Wert "AuditAction" oder "Audit" befinden (abhängig von der in Schritt 4 ausgewählten Definition).
  4. Konfigurieren Sie auf der Registerkarte "Nichtkonformitätsmeldungen" eine benutzerdefinierte Nachricht, die von jedem Benutzer angezeigt wird, wenn er aufgrund dieser Erzwingung daran gehindert wird, eine Ressource zu löschen:

Beispieltext: Um diesen Fehler zu beheben, richten Sie MFA bei aka.ms/setupMFA ein. Wenn Sie MFA einrichten und diesen Fehler weiterhin erhalten, wenden Sie sich an Ihren Entra-Administrator, um Ihren Azure-Sicherheitsstandard wiederherzustellen.

Screenshot der Registerkarte

7. Überprüfen und Erstellen einer Aufgabe

  1. Überprüfen Sie Ihre Auswahl und Einstellungen auf der Registerkarte "Überprüfen + Erstellen".
  2. Wenn alles korrekt aussieht, klicken Sie auf "Erstellen", um die Policy-Zuweisung anzuwenden.

8. Ausrollen der Richtlinienzuweisung auf alle Regionen

  1. Aktualisieren Sie die Richtlinienzuweisungsauswahl, um Ressourcen in anderen Regionen auszuwerten.
  2. Wiederholen Sie diesen Schritt, bis die Richtlinienzuweisung Ressourcen in allen Regionen auswertet.

9. Überprüfen des Bestehens einer Richtlinienzuweisung

  1. Vergewissern Sie sich auf der Registerkarte "Aufgaben", dass die Richtlinienzuweisung erfolgreich erstellt wurde.
  2. Sie können die Suchleiste und bereichsleiste verwenden, um einfach zu filtern.

Screenshot der Azure-Richtlinienzuweisungslistenansicht.

Aktualisieren der Richtlinienzuweisung zur Durchsetzung

Sie können die Erzwingung aktivieren, indem Sie den "Effekt" der Richtlinienzuweisung aktualisieren.

  1. Wechseln Sie zu der Richtlinienzuweisung unter Richtlinienzuweisungen. Klicken Sie auf "Aufgabe bearbeiten".
  2. Auf der Registerkarte „Grundlagen“ wird „Außerkraftsetzungen“ angezeigt. Klicken Sie auf "Erweitern".
  3. Klicken Sie auf „Außerkraftsetzung eines Richtlinieneffekts hinzufügen“
  4. Aktualisieren Sie im Dropdown-Menü die Override Value auf 'DenyAction' oder 'Deny' (abhängig von der in Schritt 4 ausgewählten Richtliniendefinition).
  5. Wählen Sie für Selected Resources einige Regionen mit geringem Risiko aus, auf die Sie Richtlinien anwenden möchten. Die Richtlinienzuweisung wertet nur Azure-Ressourcen in diesen Regionen aus. Screenshot der Erstellung von Azure-Richtlinienaußerkraftsetzungen.
  6. Klicken Sie auf "Überprüfen + Speichern", und klicken Sie dann auf "Erstellen".
  7. Sobald Sie überprüft haben, dass es keine unerwarteten Auswirkungen gibt, können Sie das vorhandene Override aktualisieren, um weitere Dienstregionen hinzuzufügen.

Überwachungsmodus

Ermitteln Sie Überwachungsereignisse in Ihrem Aktivitätsprotokoll, wenn diese Richtlinienzuweisung im Überwachungsmodus angewendet wird. Jedes Ereignis stellt eine Ressource zum Erstellen, Aktualisieren oder Löschen dar, die von einem Benutzer ausgeführt wurde, der sich nicht bei MFA authentifiziert hat.

Sie können Aktivitätsprotokollereignisse im Azure-Portal und anderen unterstützten Clients anzeigen. Hier ist eine Beispielabfrage, die in CLI verwendet werden kann:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Erzwingungsmodus

Entdecken Sie Verweigerungsereignisse in Ihrem Aktivitätsprotokoll, wenn diese Richtlinienzuweisung im Erzwingungsmodus angewendet wird. Jedes Verweigerungsereignis stellt eine Ressource dar, die von einem Benutzer erstellt, aktualisiert oder gelöscht wurde, der sich nicht bei MFA authentifiziert hat.

Im nächsten Abschnitt wird die Erfahrung einiger ausgewählter Clients gezeigt, wenn die Richtlinienzuweisung im Erzwingungsmodus angewendet wird, und ein Benutzerkonto versucht, eine Ressource zu erstellen, zu aktualisieren oder zu löschen, ohne mit MFA authentifiziert zu werden.

Note

Im Vorschauzeitrahmen unterscheiden sich die Fehlermeldungen, die dem Benutzer angezeigt werden, je nach Client und Befehl, der ausgeführt wird.

Azure portal

Wenn Sie versuchen, einen Erstellungs-, Aktualisierungs- oder Löschvorgang ohne ein MFA-authentifiziertes Token auszuführen, gibt das Azure-Portal möglicherweise Folgendes zurück:

Screenshot der Azure-Portalansicht.

Azure CLI

Wenn Sie versuchen, einen Erstellungs-, Aktualisierungs- oder Löschvorgang ohne MFA-authentifizierten Token auszuführen, gibt Azure CLI möglicherweise Folgendes zurück:

Screenshot der Azure CLI-Ansicht, wenn der Benutzer durch die Richtlinie blockiert wird.

Azure PowerShell

Wenn Sie versuchen, einen Erstellungs-, Aktualisierungs- oder Löschvorgang ohne MFA-authentifizierten Token auszuführen, gibt Azure PowerShell möglicherweise Folgendes zurück:

Screenshot der Azure PowerShell-Ansicht, wenn der Benutzer durch eine Richtlinie blockiert wird.

  • Last updated on