我确实将用户分配为 Subs 的所有者。 我还为一组用户强制执行MFA ,并非全部来自 AAD

我正在尝试找到一种解决方案(政策?),我可以阻止订阅所有者在尚未应用 MFA 解决方案的情况下将用户添加到订阅。 只有具有 MFA 的用户才可用于分配。

您知道如何实现这一目标吗?

我正在考虑我将使用“Microsoft.Security/complianceResults”&“EnableMFAForWritePermissions”&“Microsoft.Security/complianceResults/resourceStatus”的政策,这样我就可以防止添加这样的用户,这会影响资源合规性,但多个测试没有工作。

谢谢

#1楼 票数:0

我会在 Azure 中利用条件访问。 我会在所有者组上配置它以在执行用户管理时要求 MFA。 我会使用现有的策略之一,例如 Require MFA for Administrators 等,作为我会微调的示例。

以下是其中一些概念的文档链接:

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa

  ask by maras2002 translate from so

未解决问题?本站智能推荐:

1回复

通过管理组强制所有 Azure 访问

我们希望强制所有 Azure 访问分配通过我们的管理组,而不是在订阅级别。 基本上,我们不希望能够为每个订阅分配访问权限,并希望阻止该功能。 这样我们就被迫在管理组级别授予访问权限。 有没有办法做到这一点,也许通过某种策略? 感谢您的帮助!
1回复

有没有办法在订阅范围内授予用户 Owner 角色,但拒绝/读取不是由他创建的资源组的访问权限?

我想在Azure中邀请来宾用户具有权限,他可以在拥有所有者角色的订阅范围内执行他想做的任何事情,但是他无法查看他没有创建的其他资源组或只能读取它们。
1回复

从守护程序应用程序列出 Azure 管理组的详细信息

我有一个守护程序应用程序想要列出 Azure 管理组内的所有订阅(包括一些详细信息)。 为此,我在 Azure 中创建了一个App registration其中包含要由守护程序应用程序使用的客户端机密。 但是,我现在在授予对整个管理组的访问权限时遇到问题。 有效的是为单个订阅创建Role assig
1回复

禁用 MFA 几分钟?

雪花 如果我不是帐户管理员,是否可以禁用 MFA 几分钟? 如果是......我需要授予特定用户/角色哪些权限才能获得禁用 MFA 几分钟的权限? ALTER USER xxx SET MINS_TO_BYPASS_MFA = 10
1回复

我为我的特定 Azure 应用程序启用了 MFA。 第一次使用 Azure 登录的用户,为那些启用 MFA 的用户。 如何为所有现有用户启用 MFA?

我为我的特定 Azure 应用程序启用了 MFA(多重身份验证)。 第一次使用 Azure 登录的用户,为那些启用 MFA 的用户。 如何为所有现有用户启用 MFA(多因素身份验证)。 请指导我。 如果我从后端为某些用户启用了 MFA,这些用户会收到 MFA(多因素身份验证)提示 是否有任何流
2回复

划分所有者Azure的RBAC角色

我正在尝试在IAM操作和其他操作之间划分Azure所有者RBAC角色,是否可以,请帮助。 我试图列出所有Azure RBAC角色的所有操作,并试图区分IAM和其他操作,但这不是我所知的好习惯,即使我尝试列出所有者角色为“ *”的操作也是如此。 。 我也尝试过100多个网站来寻找解决方案,
1回复

我可以使用 RBAC 访问 Azure 服务总线中继吗?

我知道我可以使用 SAS 令牌身份验证访问 Azure 服务总线中的任何内容,而且似乎通过 RBAC 访问现在正成为事件中心等事物的首选身份验证方法。 我在 GitHub 上的各种网络文章或示例中找不到确凿的证据表明可以通过 RBAC 授予 Azure 中继混合连接访问权限。 由于各种原因,恕我直言
1回复

Azure 存储 blob 容器使用 ARM 分配 RBAC

我们目前有 ARM 模板,可以在解决方案中创建存储帐户和容器,但是我似乎无法在 ARM 模板中为容器分配 RBAC 访问权限。 我在这里尝试使用Erik 的解决方案 我得到的错误是 "error": { "code": "BadRequestFormat", "message": "请求格式不正