【问题标题】:Azure (Policy/RBAC/MFA) - how to block userAzure(策略/RBAC/MFA) - 如何阻止用户
【发布时间】:2020-01-19 21:20:19
【问题描述】:

我确实将用户分配为 Subs 的所有者。我还强制为一组用户,而不是所有来自 AAD 的用户强制执行 MFA。

我正在尝试找到一种解决方案(政策?),我可以在其中阻止订阅所有者将用户添加到订阅没有尚未应用 MFA 解决方案。只有具有 MFA 的用户才能进行分配。

您知道如何实现这一目标吗?

我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略,这样我就可以防止添加会影响资源合规性但会影响多个测试的用户还没有工作。

谢谢

【问题讨论】:

    标签: azure roles multi-factor-authentication azure-rbac azure-policy


    【解决方案1】:

    我会利用 Azure 中的条件访问。我会在所有者组上配置它以在执行用户管理时需要 MFA。我将使用现有的策略之一,例如管理员需要 MFA 等作为我会微调的示例。

    以下是其中一些概念的文档链接:

    https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

    https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa

    【讨论】:

    • Jamie,我们确实有一个反映在 Azure CA 中的组,但并不是每个人都是该组的成员。因此,我们希望避免将没有此组的用户(因此没有 CA/MFA)添加到任何订阅(由子所有者)。有一些策略检查 MFA 是否存在,例如“type”:“Microsoft.Security/complianceResults”,“name”:“EnableMFAForWritePermissions”,“existenceCondition”:{“field”:“Microsoft.Security/complianceResults/resourceStatus”,“ in": ["OffByPolicy",Healthy" ` 但我在构建阻止(拒绝)将没有 MFA 的用户添加到订阅的自定义策略时遇到了麻烦。
    猜你喜欢
    • 2022-07-06
    • 1970-01-01
    • 2017-11-10
    • 2020-05-17
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-09-11
    • 2021-04-16
    相关资源
    最近更新 更多