Partilhar via

Tutorial: Aplicar a autoaplicação de MFA por meio da Política do Azure

A Política do Azure é uma poderosa ferramenta de governança que permite preparar sua organização para a futura imposição da autenticação multifator (MFA) em clientes do Azure. Este guia orienta você pelo processo de aplicação de atribuições de Política do Azure para impor automaticamente a autenticação multifator em toda a sua organização.

Aplicar a imposição da Política do Azure através do portal do Azure

1. Entre no portal do Azure

Navegue até o portal do Azure

2. Acessar o Serviço de Política do Azure

Selecione Política em Serviços do Azure. Se não a vires, escreve 'Policy' na barra de pesquisa no topo e seleciona-a nos resultados.

Captura de ecrã da Vista de Atribuição de Políticas do Azure.

3. Escolha o escopo para atribuição

  1. Clique em 'Atribuições' no painel esquerdo do painel Política.
  2. Clique em 'Atribuir política' na parte superior da página de atribuições.
  3. Clique em 'Selecionar escopo' na seção Escopo.
  4. Selecione o grupo de recursos, a assinatura ou o grupo de gerenciamento apropriado no qual você deseja aplicar a política.
  5. Clique em “Selecionar” para confirmar a sua escolha.

4. Configurar seletores para implementação gradual da aplicação de políticas

Note

Para habilitar a implantação segura da imposição de políticas, recomendamos usar os seletores de recursos da Política do Azure para implantar gradualmente a imposição de políticas em seus recursos.

  1. Clique em 'Expandir' na secção 'Seletores de Recursos' do separador Noções básicas.

  2. Clique em 'Adicionar um seletor de recursos'

    Captura de ecrã da Vista de Criação de Atribuição de Políticas do Azure.

  3. Adicionar um nome para o seletor

  4. Alternar resourceLocation para ativar.

  5. Escolha algumas regiões de baixo risco que você gostaria de aplicar. A atribuição de política avaliará os recursos do Azure nessas regiões.

  6. Você pode atualizar essa atribuição posteriormente para adicionar mais regiões adicionando mais seletores resourceLocation ou atualizando o seletor resourceLocation existente para adicionar mais regiões.

Captura de ecrã da Vista de Criação do Seletor de Políticas do Azure.

5. Selecione uma definição de política

  1. Clique em Definição de política em 'Noções básicas'.
  2. Navegue ou pesquise a definição de política multifatorial – existem 2 delas. Escolha um por enquanto:
  3. Selecione a definição de política na lista.

Captura de ecrã da Vista de Pesquisa de Definição de Política do Azure.

6. Configurar mais detalhes da atribuição

  1. Em "Configurações iniciais", insira um nome para a sua atribuição de política. Opcionalmente, você pode adicionar uma descrição para ajudar outras pessoas a entender o propósito dessa atribuição.
  2. Em 'Noções básicas', o modo de imposição deve ser definido como ativado (este modo é definido por padrão, nenhuma ação é necessária).
  3. Vá para a guia 'Parâmetros'. Desmarque 'mostrar apenas parâmetros que exigem entrada ou revisão'. O valor do parâmetro deve estar no valor pré-selecionado 'AuditAction' ou 'Audit' (dependendo da definição escolhida na etapa 4).
  4. Na guia "Mensagens de não conformidade", configure uma mensagem personalizada que qualquer usuário verá se estiver impedido de excluir um recurso devido a essa imposição:

Texto de exemplo: Para resolver esse erro, configure o MFA em aka.ms/setupMFA. Se você configurou o MFA e ainda está recebendo esse erro, entre em contato com o administrador do Entra para restaurar o padrão de segurança do Azure.

Captura de ecrã do separador Mensagem de Política do Azure.

7. Revise e crie uma atribuição

  1. Revise as suas seleções e definições no separador "Rever + criar".
  2. Se tudo estiver correto, clique em 'Criar' para aplicar a atribuição de política.

8. Alargar a atribuição de políticas a todas as regiões

  1. Atualize o seletor de atribuição de política para avaliar recursos em outras regiões.
  2. Repita esta etapa até que a atribuição de política esteja avaliando recursos em todas as regiões.

9. Verificar a existência da atribuição de política

  1. Na guia 'Atribuições', confirme se a atribuição de política foi criada com êxito.
  2. Você pode usar a barra de pesquisa e a barra de escopo para filtrar facilmente.

Captura de ecrã da Vista de Lista de Atribuição de Políticas do Azure.

Atualizar a atribuição da política para a aplicação

Você pode habilitar a imposição atualizando o 'Efeito' da atribuição de política.

  1. Vá para a atribuição de política em Atribuições de política. Clique em 'Editar atribuição'.
  2. Na guia 'Noções básicas', você verá 'Substituições'. Clica em expandir.
  3. Clique em 'Adicionar uma substituição ao efeito da política'
  4. No menu suspenso, atualize o Override Value para 'DenyAction' ou 'Deny' (dependendo da definição de política escolhida na Etapa 4).
  5. Para Selected Resources, escolha algumas regiões de baixo risco nas quais gostarias de impor. A atribuição de política avaliará apenas os recursos do Azure nessas regiões. Captura de ecrã da Política do Azure Substitui a Criação.
  6. Clique em 'Rever + guardar' e, em seguida, em 'Criar'.
  7. Depois de confirmar que não houve impacto inesperado, pode-se atualizar a sobreposição existente para adicionar outras regiões.

Modo de auditoria

Descubra eventos de auditoria em seu registro de atividades quando essa atribuição de política for aplicada no modo de auditoria. Cada evento representa uma criação, atualização ou exclusão de recurso que foi executada por um usuário que não se autenticou com MFA.

Você pode exibir eventos de log de atividade no portal do Azure e em outros clientes com suporte. Aqui está uma consulta de exemplo que pode ser usada na CLI:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

Modo de Aplicação

Descubra eventos de negação em seu registro de atividades quando essa atribuição de política for aplicada no modo de imposição. Cada evento deny representa uma criação, atualização ou exclusão de recursos que foi tentada por um usuário que não se autenticou com MFA.

A próxima seção mostra a experiência de alguns clientes selecionados quando a atribuição de política é aplicada no modo de imposição e uma conta de usuário tenta criar, atualizar ou excluir um recurso sem ser autenticada com MFA.

Note

No período de tempo de visualização, as mensagens de erro exibidas para o usuário podem diferir dependendo do cliente e do comando que está sendo executado.

portal do Azure

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, o portal do Azure pode retornar:

Captura de ecrã da vista do portal do Azure.

Azure CLI

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, a CLI do Azure pode retornar:

Captura de ecrã da Vista da CLI do Azure quando o utilizador é bloqueado pela política.

Azure PowerShell

Quando você tenta executar uma operação de criação, atualização ou exclusão sem um token autenticado por MFA, o Azure PowerShell pode retornar:

Captura de ecrã da Vista do Azure PowerShell quando o utilizador é bloqueado pela política.

  • Last updated on