Question

У меня есть пользователи, назначенные владельцами подписчиков.У меня также MFA принудительно для набора пользователей, а не все из AAD .

Я пытаюсь найти решение (политику?), Где я могу запретить владельцу подписки добавлять пользователя в Sub без применения решения MFA.Для назначения должны быть доступны только пользователи с MFA.

У вас есть идея, как этого достичь?

Я думал о политике, в которой я буду использовать «Microsoft.Security/complianceResults».& «EnableMFAForWritePermissions» и «Microsoft.Security/complianceResults/resourceStatus», поэтому я могу запретить добавление такого пользователя, что повлияет на соответствие ресурсов, но несколько тестов еще не работали.

Спасибо

Jamie · Answer 1 · 19 сентября 2019

Я бы использовал условный доступ в Azure.Я настроил бы это на группе владельцев, чтобы требовать MFA при выполнении пользовательского администрирования.Я бы использовал одну из существующих политик, таких как Require MFA for Administrators и т. Д., В качестве примера, который я бы подстроил.

Вот ссылки на документы для некоторых из этих понятий:

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa

Azure (Policy / RBAC / MFA) - как заблокировать пользователя

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Azure (Policy / RBAC / MFA) - как заблокировать пользователя

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы