通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:通过 Azure Policy 应用 MFA 强制实施

Azure Policy 是一种功能强大的治理工具,可用于准备组织,以便跨 Azure 客户端实施多重身份验证(MFA)。 本指南指导你完成在组织中应用 Azure Policy 分配以自我强制实施多重身份验证的过程。

在 Azure 门户中,通过应用 Azure Policy 来实施强制措施

1.登录到 Azure 门户

导航到 Azure 门户

2. 访问 Azure Policy 服务

在 Azure 服务下选择“策略”。 如果未看到它,请在顶部的搜索栏中键入“策略”,然后从结果中选择它。

Azure Policy 分配视图的屏幕截图。

3.选择分配范围

  1. 在策略仪表板的左窗格中单击“分配”。
  2. 单击任务页面顶部的“分配策略”。
  3. 单击“范围”部分中的“选择范围”。
  4. 选择要在其中应用策略的相应资源组、订阅或管理组。
  5. 单击“选择”以确认所做选择。

4. 配置选择器,实现策略执行的逐步推广

Note

确保策略强制实施的安全推出,我们建议使用 Azure Policy 的资源选择器 逐步在您的资源上执行策略。

  1. 单击“基本信息”选项卡的“资源选择器”部分的“展开”。

  2. 单击“添加资源选择器”

    Azure 策略分配创建视图的屏幕截图。

  3. 为选择器添加名称

  4. 切换 resourceLocation 以启用它。

  5. 选择要强制执行的一些低风险区域。 策略分配将评估这些区域中的 Azure 资源。

  6. 稍后可以通过添加更多 resourceLocation 选择器或更新现有 resourceLocation 选择器来添加更多区域来更新此分配以添加更多区域。

Azure Policy 选择器创建视图的屏幕截图。

5.选择策略定义

  1. 单击“基本信息”下的“策略定义”。
  2. 浏览或搜索多因素策略定义——共有 2 个。 立即选择一个:
  3. 从列表中选择策略定义。

Azure Policy 定义搜索视图的屏幕截图。

6. 配置更多任务详细信息

  1. 在“基本信息”下,输入策略分配的名称。 (可选)可以添加说明来帮助其他人了解此分配的目的。
  2. 在“基本信息”下,应将强制模式设置为启用(默认情况下设置此模式,无需执行任何作)。
  3. 转到“参数”选项卡。取消选中“仅显示需要输入或审阅的参数”。 参数值应位于预选值“AuditAction”或“Audit”(具体取决于步骤 4 中选择的定义)。
  4. 在“不符合性消息”选项卡下,配置一条自定义消息,当用户由于此强制措施而被阻止删除资源时将看到该消息。

示例文本:若要解决此错误,请在 aka.ms/setupMFA 设置 MFA。 如果设置了 MFA,但仍收到此错误,请联系 Entra 管理员以还原 Azure 安全默认值。

Azure Policy 消息选项卡的屏幕截图。

7. 查看和创建作业

  1. 查看“审阅 + 创建”选项卡上的选择和设置。
  2. 如果一切看起来正确,请单击“创建”以应用策略分配。

8. 向所有区域推出策略分配

  1. 更新策略分配选择器以评估其他区域中的资源。
  2. 重复此步骤,直到策略分配评估所有区域中的资源。

9. 验证策略分配是否存在

  1. 在“分配”选项卡下,确认策略分配已成功创建。
  2. 可以使用搜索栏和范围栏轻松筛选。

Azure Policy 分配列表视图的屏幕截图。

将策略分配更新为强制

可以通过更新策略分配的“效果”来启用执行。

  1. 转到策略分配下的策略指派。 单击“编辑分配”。
  2. 在“基本信息”选项卡中,你将看到“覆盖选项”。 单击“展开”。
  3. 单击“添加策略效果替代”
  4. 在下拉菜单中,将Override Value更新为“DenyAction”或“Deny”(具体取决于步骤 4 中选择的策略定义)。
  5. 对于 Selected Resources,选择要强制执行的一些低风险区域。 策略分配将仅评估这些区域中的 Azure 资源。 Azure Policy Overrides Creation 的屏幕截图。
  6. 单击“审阅 + 保存”,然后单击“创建”。
  7. 确认没有意外影响后,可以更新现有覆盖,以添加其他区域。

审核模式

在审核模式下应用此策略分配时,发现活动日志中的审核事件。 每个事件表示由未通过 MFA 进行身份验证的用户执行的资源创建、更新或删除。

可以在 Azure 门户和其他受支持的客户端中查看活动日志事件。 下面是可在 CLI 中使用的示例查询:

az monitor activity-log list \   --query "[?operationName.value=='Microsoft.Authorization/policies/audit/action'].{ResourceId: resourceId, Policies: properties.policies}" \   --output json | \ jq -r '"ResourceName\tResourceId\tPolicyDefinitionDisplayName", (.[] as $event | ($event.Policies | fromjson[] | "\($event.ResourceId | split("/") | last)\t\($event.ResourceId)\t\(.policyDefinitionDisplayName)"))' | \ column -t -s $'\t'

强制模式

当此策略分配以强制模式应用时,您可以在活动日志中发现拒绝事件。 每个拒绝事件表示未通过 MFA 进行身份验证的用户尝试的资源创建、更新或删除。

下一部分显示了在强制模式下应用策略分配时,某些选择客户端的体验,用户帐户尝试创建、更新或删除资源,而无需通过 MFA 进行身份验证。

Note

在预览时间范围内,向用户显示的错误消息可能会有所不同,具体取决于要运行的客户端和命令。

Azure 门户

尝试在没有经过 MFA 身份验证的令牌的情况下执行创建、更新或删除的操作时,Azure 门户可能会返回:

Azure 门户视图的屏幕截图。

Azure CLI

尝试在没有经过 MFA 身份验证的令牌的情况下执行创建、更新或删除作时,Azure CLI 可能会返回:

当用户被策略阻止时 Azure CLI 视图的屏幕截图。

Azure PowerShell

尝试在没有经过 MFA 身份验证的令牌的情况下执行创建、更新或删除作时,Azure PowerShell 可能会返回:

当用户被策略阻止时 Azure PowerShell 视图的屏幕截图。

  • Last updated on