【发布时间】:2020-01-19 21:20:19
【问题描述】:
我确实将用户分配为 Subs 的所有者。我还强制为一组用户,而不是所有来自 AAD 的用户强制执行 MFA。
我正在尝试找到一种解决方案(政策?),我可以在其中阻止订阅所有者将用户添加到订阅没有尚未应用 MFA 解决方案。只有具有 MFA 的用户才能进行分配。
您知道如何实现这一目标吗?
我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略,这样我就可以防止添加会影响资源合规性但会影响多个测试的用户还没有工作。
谢谢
【问题讨论】:
标签: azure roles multi-factor-authentication azure-rbac azure-policy