Compartilhar via

Tutorial: Aplicar a auto-aplicação de MFA por meio do Azure Policy

O Azure Policy é uma poderosa ferramenta de governança que permite preparar sua organização para a imposição futura da MFA (autenticação multifator) em clientes do Azure. Este guia orienta você pelo processo de aplicação de atribuições do Azure Policy para impor automaticamente a autenticação multifator em toda a sua organização.

Aplicar a imposição do Azure Policy por meio do portal do Azure

1. Entrar no portal do Azure

Navegue até o portal do Azure

2. Acessar o Serviço do Azure Policy

Selecione Política nos serviços do Azure. Se você não vê-la, digite "Política" na barra de pesquisa na parte superior e selecione-a nos resultados.

Captura de tela da Visualização de Atribuição no Azure Policy.

3. Escolha o escopo da atribuição

  1. Clique em 'Atribuições' no painel esquerdo do painel Política.
  2. Clique em "Atribuir política" na parte superior da página de atribuições.
  3. Clique em 'Selecionar escopo' na seção Escopo.
  4. Selecione o grupo de recursos, a assinatura ou o grupo de gerenciamento apropriado em que você deseja aplicar a política.
  5. Clique em 'Selecionar' para confirmar sua escolha.

4. Configurar seletores para distribuição gradual da aplicação de políticas

Note

Para habilitar a distribuição segura da imposição de políticas, recomendamos usar os seletores de recursos do Azure Policy para distribuir gradualmente a imposição de políticas em seus recursos.

  1. Clique em 'Expandir' na seção 'Seletores de Recursos' da guia Noções Básicas.

  2. Clique em 'Adicionar um seletor de recursos'

    Captura de tela da Visualização de Criação de Atribuição do Azure Policy.

  3. Adicionar um nome para o seletor

  4. Ativar/desativar resourceLocation para habilitá-lo.

  5. Escolha algumas regiões de baixo risco que você gostaria de impor. A atribuição de política avaliará os recursos do Azure nessas regiões.

  6. Você pode atualizar essa atribuição mais tarde para adicionar mais regiões adicionando mais seletores resourceLocation ou atualizando o seletor resourceLocation existente para adicionar mais regiões.

Captura de tela da Visão de Criação do Seletor de Política do Azure.

5. Selecionar uma definição de política

  1. Clique na definição de política em 'Noções básicas'.
  2. Procure ou pesquise a definição de política multifator – há duas delas. Escolha um por enquanto:
  3. Selecione a definição de política na lista.

Captura de tela da Visualização da Pesquisa de Definição de Política do Azure.

6. Configurar mais detalhes de atribuição

  1. Em 'Noções básicas', insira um nome para sua atribuição de política. Opcionalmente, você pode adicionar uma descrição para ajudar outras pessoas a entender a finalidade dessa atribuição.
  2. Em 'Noções básicas', o modo de imposição deve ser definido como habilitado (esse modo é definido por padrão, nenhuma ação necessária).
  3. Vá para a guia 'Parâmetros'. Desmarque "mostrar apenas parâmetros que exigem entrada ou revisão". O valor do parâmetro deve estar no valor pré-selecionado 'AuditAction' ou 'Audit' (dependendo da definição escolhida na etapa 4).
  4. Na guia "Mensagens de não conformidade", configure uma mensagem personalizada que qualquer usuário vê se está impedido de excluir um recurso devido a essa imposição:

Texto de exemplo: para resolver esse erro, configure a MFA em aka.ms/setupMFA. Se você configurar a MFA e ainda estiver recebendo esse erro, entre em contato com o administrador do Entra para restaurar o padrão de segurança do Azure.

Captura de tela da guia Mensagem do Azure Policy.

7. Revisar e Criar Atribuição

  1. Examine suas seleções e configurações na guia "Examinar + criar".
  2. Se tudo estiver correto, clique em "Criar" para aplicar a atribuição de política.

8. Distribuir a atribuição de política para todas as regiões

  1. Atualize o seletor de atribuição de política para avaliar os recursos em outras regiões.
  2. Repita essa etapa até que as atribuições de políticas estejam avaliando recursos em todas as regiões.

9. Verificar a existência da atribuição de política

  1. Na guia 'Atribuições', confirme se a atribuição de política foi criada com êxito.
  2. Você pode usar a barra de pesquisa e a barra de escopo para filtrar facilmente.

Captura de tela da Lista de Atribuições do Azure Policy.

Atualizar a atribuição de política para imposição

Você pode habilitar a imposição atualizando a 'Efetiva' da atribuição de política.

  1. Vá para a atribuição de política em Atribuições de Política. Clique em 'Editar atribuição'.
  2. Na guia 'Básico', você verá 'Substituições'. Clique em expandir.
  3. Clique em 'Adicionar uma substituição de efeito da política'
  4. No dropdown menu, atualize o Override Value para 'DenyAction' ou 'Deny' (conforme a definição de política escolhida na Etapa 4).
  5. Para Selected Resources, escolha algumas regiões de baixo risco que você gostaria de impor. A atribuição de política avaliará apenas os recursos do Azure nessas regiões. Captura de tela da Criação de Substituições do Azure Policy.
  6. Clique em 'Examinar + salvar', depois em 'Criar'.
  7. Depois de confirmar que não há impacto inesperado, você pode atualizar a substituição existente para adicionar outras regiões.

Modo de Auditoria

Descubra eventos de auditoria no log de atividades quando essa atribuição de política é aplicada no modo de auditoria. Cada evento representa uma criação, atualização ou exclusão de recursos que foi executada por um usuário que não se autenticou com a MFA.

Você pode exibir eventos de log de atividades no portal do Azure e em outros clientes com suporte. Aqui está uma consulta de exemplo que pode ser usada na CLI:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Modo de imposição

Descubra eventos de negação no log de atividades quando esta atribuição de política for aplicada no modo de imposição. Cada evento de negação representa uma criação, atualização ou exclusão de recursos que foi tentada por um usuário que não se autenticou com a MFA.

A próxima seção mostra a experiência de alguns clientes selecionados quando a atribuição de política é aplicada no modo de imposição e uma conta de usuário tenta criar, atualizar ou excluir um recurso sem autenticação com MFA.

Note

No período de visualização, as mensagens de erro exibidas para o usuário podem ser diferentes dependendo do cliente e do comando que está sendo executado.

portal do Azure

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, o portal do Azure pode retornar:

Captura de tela da exibição do portal do Azure.

CLI do Azure

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, a CLI do Azure pode retornar:

Captura de tela da exibição da CLI do Azure quando o usuário é bloqueado pela política.

Azure PowerShell

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, o Azure PowerShell pode retornar:

Captura de tela do Azure PowerShell View quando o usuário é bloqueado pela política.

  • Last updated on