Udostępnij przez

Samouczek: Wprowadzanie samodzielnego wymuszania uwierzytelniania wieloskładnikowego za pomocą Azure Policy

Usługa Azure Policy to zaawansowane narzędzie do zapewniania ładu, które umożliwia przygotowanie organizacji do nadchodzącego wymuszania uwierzytelniania wieloskładnikowego (MFA) na klientach platformy Azure. Ten przewodnik przeprowadzi Cię przez proces stosowania przypisań usługi Azure Policy do samodzielnego wymuszania uwierzytelniania wieloskładnikowego w całej organizacji.

Stosowanie polityk Azure za pomocą portalu Azure

1. Zaloguj się do witryny Azure Portal

Przejdź do witryny Azure Portal.

2. Uzyskiwanie dostępu do usługi Azure Policy

Wybierz opcję Zasady w sekcji Usługi Azure. Jeśli go nie widzisz, wpisz "Polisy" na pasku wyszukiwania u góry i wybierz ją z wyników.

Zrzut ekranu widoku przypisania zasad usługi Azure.

3. Wybierz zakres przypisania

  1. Kliknij pozycję "przypisania" w lewym okienku pulpitu nawigacyjnego zasad.
  2. Kliknij "Przypisz politykę" w górnej części strony przypisań.
  3. Kliknij pozycję "Wybierz zakres" w sekcji Zakres.
  4. Wybierz odpowiednią grupę zasobów, subskrypcję lub grupę zarządzania, w której chcesz zastosować zasady.
  5. Kliknij pozycję „Wybierz”, aby potwierdzić wybór.

4. Konfigurowanie selektorów pod kątem stopniowego wdrażania egzekwowania zasad

Note

Aby włączyć bezpieczne wdrażanie wymuszania zasad, zalecamy użycie selektorów zasobów usługi Azure Policy w celu stopniowego wdrażania wymuszania zasad w zasobach.

  1. Kliknij "Rozszerz" w sekcji "Selektory zasobów" na karcie "Podstawy".

  2. Kliknij pozycję "Dodaj selektor zasobów"

    Zrzut ekranu widoku tworzenia przypisania w Azure Policy.

  3. Dodawanie nazwy selektora

  4. Przełącz pozycję resourceLocation, aby ją włączyć.

  5. Wybierz kilka regionów o niskim ryzyku, dla których chcesz wymusić wymuszenie. Przypisanie zasad oceni zasoby platformy Azure w tych regionach.

  6. Możesz zaktualizować to przypisanie później, aby dodać więcej regionów, dodając więcej selektorów resourceLocation lub aktualizując istniejący selektor resourceLocation, aby dodać więcej regionów.

Zrzut ekranu przedstawiający widok tworzenia selektora usługi Azure Policy.

5. Wybierz definicję zasad

  1. Kliknij pozycję Definicja zasad w obszarze "Podstawy".
  2. Przejrzyj lub wyszukaj definicję zasad wieloskładnikowych — istnieje ich 2. Wybierz jedną na razie:
  3. Wybierz definicję zasad z listy.

Zrzut ekranu przedstawiający widok wyszukiwania definicji usługi Azure Policy.

6. Konfigurowanie większej liczby szczegółów przypisania

  1. W sekcji "Podstawy" wprowadź nazwę przydzielenia zasad. Opcjonalnie możesz dodać opis, aby ułatwić innym zrozumienie celu tego przypisania.
  2. W obszarze "Podstawy" należy ustawić tryb wymuszania na wartość włączoną (ten tryb jest domyślnie ustawiony, bez konieczności wykonywania akcji).
  3. Przejdź do karty "Parametry". Usuń zaznaczenie pola wyboru "Pokaż tylko parametry, które wymagają wprowadzania danych wejściowych lub przeglądu". Wartość parametru powinna mieć wartość "AuditAction" lub "Audit" (w zależności od definicji wybranej w kroku 4).
  4. Na karcie "Komunikaty o niezgodności" skonfiguruj niestandardowy komunikat, który każdy użytkownik zobaczy, jeśli są zablokowani przed usunięciem zasobu z powodu tego wymuszania.

Przykładowy tekst: aby rozwiązać ten błąd, skonfiguruj usługę MFA w aka.ms/setupMFA. Jeśli skonfigurowano uwierzytelnianie wieloskładnikowe i nadal występuje ten błąd, skontaktuj się z administratorem usługi Entra, aby przywrócić domyślne zabezpieczenia platformy Azure.

Zrzut ekranu przedstawiający zakładkę Komunikaty usługi Azure Policy.

7. Przegląd i tworzenie zadania

  1. Przejrzyj wybrane opcje i ustawienia na karcie "Przeglądanie + tworzenie".
  2. Jeśli wszystko wygląda poprawnie, kliknij pozycję "Utwórz", aby zastosować przypisanie zasad.

8. Wdrażanie przypisania zasad we wszystkich regionach

  1. Zaktualizuj selektor przypisania zasad, aby ocenić zasoby w innych regionach.
  2. Powtórz ten krok, dopóki przypisanie zasad nie oceni zasobów we wszystkich regionach.

9. Sprawdź istnienie przypisania zasad

  1. Na zakładce "Przypisania" upewnij się, że przypisanie polityki zostało pomyślnie utworzone.
  2. Aby łatwo filtrować, możesz użyć paska wyszukiwania i paska zakresu.

Zrzut ekranu przedstawiający widok listy przypisań usługi Azure Policy.

Zaktualizuj przypisanie zasad do egzekwowania

Wymuszanie można włączyć, aktualizując wartość "Efekt" przypisania zasad.

  1. Przejdź do przypisania zasad dostępnego w obszarze Przypisania zasad. Kliknij pozycję "Edytuj przypisanie".
  2. Na karcie "Podstawy" zostanie wyświetlony komunikat "Przesłonięcia". Kliknij pozycję Rozwiń.
  3. Kliknij "Dodaj zastąpienie efektu działania zasady"
  4. Zaktualizuj wartość Override Value w menu rozwijanym na "DenyAction" lub "Deny" (w zależności od definicji zasad wybranej w kroku 4).
  5. Wybierz kilka regionów o niskim ryzyku, które chcesz objąć środkami egzekwowania dla Selected Resources. Przypisanie zasad będzie oceniać zasoby platformy Azure wyłącznie w tych regionach. Zrzut ekranu przedstawiający tworzenie przesłonięć usługi Azure Policy.
  6. Kliknij pozycję "Przejrzyj i zapisz", a następnie pozycję "Utwórz".
  7. Po potwierdzeniu braku nieoczekiwanych skutków możesz zaktualizować istniejące nadpisanie, aby dodać inne regiony.

Tryb inspekcji

Zidentyfikuj zdarzenia inspekcji w dzienniku aktywności, gdy to przypisanie zasad jest stosowane w trybie inspekcji. Każde zdarzenie reprezentuje tworzenie, aktualizację lub usuwanie zasobów, które zostały wykonane przez użytkownika, który nie uwierzytelnił się przy użyciu MFA.

Zdarzenia dziennika aktywności można wyświetlać w witrynie Azure Portal i innych obsługiwanych klientach. Oto przykładowe zapytanie, które może być używane w interfejsie wiersza polecenia:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Tryb wymuszania

Wykryj zdarzenia odmowy w dzienniku aktywności, gdy przypisanie tej polityki jest stosowane w trybie egzekucji. Każde zdarzenie odmowy oznacza próbę utworzenia, zaktualizowania lub usunięcia zasobu przez użytkownika, który nie uwierzytelnił się za pomocą uwierzytelniania wieloskładnikowego.

W następnej sekcji przedstawiono doświadczenia niektórych wybranych klientów, kiedy przypisanie zasad wdrażane jest w trybie egzekwowania, a konto użytkownika próbuje utworzyć, zaktualizować lub usunąć zasób bez uwierzytelnienia wieloskładnikowego.

Note

W przedziale czasowym podglądu komunikaty o błędach wyświetlane użytkownikowi mogą się różnić w zależności od uruchamianego klienta i polecenia.

Azure Portal

Podczas próby wykonania operacji tworzenia, aktualizowania lub usuwania bez tokenu uwierzytelnionego za pomocą uwierzytelniania wieloskładnikowego witryna Azure Portal może zwrócić następujące informacje:

Zrzut ekranu przedstawiający widok witryny Azure Portal.

Azure CLI

Podczas próby wykonania operacji tworzenia, aktualizowania lub usuwania bez tokenu uwierzytelnionego za pomocą wieloskładnikowego uwierzytelnienia, interfejs wiersza polecenia Azure CLI może zwrócić komunikat:

Zrzut ekranu przedstawiający widok interfejsu wiersza polecenia platformy Azure, gdy użytkownik zostanie zablokowany przez zasady.

Azure PowerShell

Podczas próby wykonania operacji tworzenia, aktualizowania lub usuwania bez tokenu uwierzytelnionego za pomocą uwierzytelniania wieloskładnikowego program Azure PowerShell może zwrócić następujące elementy:

Zrzut ekranu widoku Azure PowerShell, gdy użytkownik zostanie zablokowany przez zasady.

  • Last updated on