Linux虚拟机需要Azure AD登录

Question

我遵循了 MS 文档中的设置指南： https://learn.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-linux

一切正常，除了一件事，如果我从不同的客户端执行 ssh（Azure 需要 CLI 进行 AAD 登录），我仍然可以使用本地帐户登录到 Linux 服务器。 上面的文档说：“使用 Azure 部署和审核策略要求 Linux VM 的 Azure AD 登录并标记未批准的本地帐户”但我完全了解如何仅通过 AAD 凭据要求登录。 我有一张支持票开放了 6 周，并通过了 4 个不同的支持小组，但都没有成功。

我需要这个来满足 SOC2 合规性，并且鉴于 Azure 有文档表明他们的服务符合 SOC2 标准，我无法想象这是无法实现的。 有谁知道如何强制 Linux 服务器只允许添加凭据进行登录？

Answer 1

要强制 Linux 服务器仅允许添加凭据进行登录，请尝试在您的 Azure 订阅中实施以下解决方案：

请部署以下 Azure 策略定义，资源组为 scope，以禁止 Linux VM 的本地登录：

Go 到 Azure 入口 -> 搜索 Azure 策略 -> 定义 -> Select 相应的 scope -> select 定义类型为策略 -> select 类别为 guest27 -> 8127421100888 下面的策略 8100888 配置

• Linux 机器应该只有允许的本地帐户

将策略分配给所需的 scope，并确保在参数选项卡下为该 scope 提及/不提及 Linux VM 中所需的本地帐户。

• 对 Linux 机器的身份验证应该需要 SSH 密钥

将策略分配给所需的 scope 并确保对 select 参数选项卡下的效果 ' Auditifnotexists '。

笔记：

确保取消选中“仅显示需要输入或查看的参数”选项。 这样您就可以在参数中提及允许的本地帐户。

更多详细信息，请参考以下链接：

Azure 虚拟机的内置策略定义 - Azure 虚拟机 | 微软文档。