Azure (Policy / RBAC / MFA) - как заблокировать пользователя

У меня есть пользователи, назначенные владельцами подписок. У меня также есть принудительная MFA для некоторых пользователей, а не для всех из AAD.

Я пытаюсь найти решение (политику?), В котором я могу заблокировать Владельцу подписки возможность добавлять пользователя в подписку без применения решения MFA. Для назначения должны быть доступны только пользователи с MFA.

У вас есть идеи, как этого добиться?

Я думал о политике, в которой я буду использовать «Microsoft.Security/complianceResults» и «EnableMFAForWritePermissions» и «Microsoft.Security/complianceResults/resourceStatus», чтобы я мог предотвратить добавление такого пользователя, который повлияет на соответствие ресурсов, но несколько тестов не работы пока нет.

Спасибо


azure azure-rbac roles multi-factor-authentication azure-policy
person maras2002    schedule 18.09.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я бы использовал условный доступ в Azure. Я бы настроил его в группе владельцев, чтобы он требовал MFA при администрировании пользователей. Я бы использовал одну из существующих политик, например «Требовать MFA для администраторов» и т. Д., В качестве примера, который я бы точно настроил.

Вот ссылки на документацию по некоторым из этих концепций:

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa

person Jamie    schedule 19.09.2019
comment
Джейми, у нас есть группа, которая отражена в ЦС Azure, но не все являются членами этой группы. Таким образом, мы хотим избежать добавления пользователей без этой группы (то есть без CA / MFA) в любую подписку (субвладелец). Существуют некоторые политики, проверяющие существование MFA, например, `type: Microsoft.Security/complianceResults,name: EnableMFAForWritePermissions, existCondition: {field: Microsoft.Security/complianceResults/resourceStatus, в: [OffByPolicy, Healthy`, но я не понимаю, когда создаю настраиваемую политику которые предотвращают (запрещают) добавление пользователя без MFA в подписку. - person maras2002; 19.09.2019