Richtlinie für bedingten Zugriff für die Azure-Containerregistrierung

  • Artikel

Azure Container Registry (ACR) verschafft Ihnen die Möglichkeit, die Richtlinie für bedingten Zugriff zu erstellen und zu konfigurieren. Richtlinien für bedingten Zugriff, die in der Regel Azure Active Directory (Azure AD) zugeordnet sind, werden verwendet, um starke Authentifizierungs- und Zugriffssteuerungen für verschiedene Azure-Dienste, einschließlich ACR, zu erzwingen.

Die Richtlinie für bedingten Zugriff wird nach Abschluss der Authentifizierung mit der ersten Stufe bei der Azure Container Registry angewendet. Der bedingte Zugriff dient bei der ACR ausschließlich die Benutzerauthentifizierung. Die Richtlinie ermöglicht dem Benutzer die Auswahl der Kontrollen und weiteren Blöcke, oder sie gewährt Zugriff auf Grundlage der Richtlinienentscheidungen.

Die Richtlinie für bedingten Zugriff ist so konzipiert, dass eine starke Authentifizierung erzwungen wird. Durch die Richtlinie kann die Sicherheit die Complianceanforderungen der Organisationen erfüllen und den Schutz der Daten und Benutzerkonten aufrechterhalten.

Wichtig

Um die Richtlinie für bedingten Zugriff für die Registrierung zu konfigurieren, müssen Sie authentication-as-arm für alle Registrierungen innerhalb des gewünschten Mandanten deaktivieren.

Weitere Informationen zur Richtlinie für bedingten Zugriff, den Bedingungen, die Sie berücksichtigen sollten, um Richtlinienentscheidungen zu treffen.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen und Konfigurieren der Richtlinie für bedingten Zugriff für Azure Container Registry.
  • Problembehandlung für die Richtlinie für bedingten Zugriff.

Voraussetzungen

Erstellen und Konfigurieren einer Richtlinie für bedingten Zugriff: Azure-Portal

ACR unterstützt Richtlinien für bedingten Zugriff nur für Active Directory-Benutzer. Sie unterstützt derzeit keine Richtlinien für bedingten Zugriff für Dienstprinzipale. Um die Richtlinie für bedingten Zugriff für die Registrierung zu konfigurieren, müssen Sie authentication-as-arm für alle Registrierungen innerhalb des gewünschten Mandanten deaktivieren. In diesem Tutorial erstellen wir eine einfache Richtlinie für bedingten Zugriff für die Azure Container Registry im Azure-Portal.

Erstellen Sie eine Richtlinie für bedingten Zugriff, und weisen Sie Ihre Benutzertestgruppe wie folgt zu:

  1. Melden Sie sich mit dem Konto mit den Berechtigungen vom Typ Globaler Administrator beim Azure-Portal an.

  2. Suchen Sie nach Microsoft Entra ID, und wählen Sie diese Lösung aus. Wählen Sie dann im Menü links die Option Sicherheit aus.

  3. Wählen Sie Bedingter Zugriff, + Neue Richtlinie und dann Neue Richtlinie erstellen aus.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. Geben Sie einen Namen für die Richtlinie ein, beispielsweise demo.

  5. Wählen Sie im Bereich Zuweisungen unter Benutzer oder Workloadidentitäten den aktuellen Wert aus.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. Überprüfen Sie unter Wofür gilt diese Richtlinie? die Option Benutzer und Gruppen, und wählen Sie sie aus.

  7. Wählen Sie unter Einschließen die Option Benutzer und Gruppen auswählen und dann Alle Benutzer aus.

    A screenshot of the page for creating a new policy, where you select options to specify users.

  8. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen auswählen aus, um eine beliebige Auswahl auszuschließen.

  9. Wählen Sie unter Cloud-Apps oder -Aktionen die Option Cloud-Apps aus.

  10. Wählen Sie unter Einschließen die Option Apps auswählen aus.

    A screenshot of the page for creating a new policy, where you select options to specify cloud apps.

  11. Suchen Sie nach Apps für die Anwendung des bedingten Zugriffs, in diesem Fall Azure Container Registry, wählen Sie die Apps aus, und wählen Sie dann Auswählen aus.

    A screenshot of the list of apps, with results filtered, and 'Azure Container Registry' selected.

  12. Konfigurieren Sie unter Bedingungen die Steuerungszugriffsebene mit Optionen wie Benutzerrisikostufe, Anmelderisikostufe, Erkennung von Anmelderisiken (Vorschau), Geräteplattformen, Standorte, Client-Apps, Zeit (Vorschau) und Nach Geräten filtern.

  13. Filtern Sie unter Gewähren Optionen, und wählen Sie diese aus, um das Gewähren von Zugriff oder das Blockieren von Zugriff während eines Anmeldeereignisses beim Azure-Portal zu erzwingen. In diesem Fall gewähren Sie Zugriff mittels Multi-Faktor-Authentifizierung anfordern, und wählen Sie dann Auswählen aus.

    Tipp

    Informationen zum Konfigurieren und Gewähren der Multi-Faktor-Authentifizierung finden Sie unter Konfigurieren von und Bedingungen für die Multi-Faktor-Authentifizierung.

  14. Filtern Sie unter Sitzung Optionen, und wählen Sie diese aus, um Kontrollen auf Sitzungsebenenerfahrung der Cloud-Apps zu aktivieren.

  15. Wählen Sie nach Auswahl und Bestätigung unter Richtlinie aktivieren die Option Ein aus.

  16. Um die Richtlinie anzuwenden und zu aktivieren, wählen Sie Erstellen aus.

    A screenshot showing how to activate the Conditional Access policy.

Wir haben nun das Erstellen der Richtlinie für bedingten Zugriff für die Azure Container Registry abgeschlossen.

Behandeln von Problemen mit Richtlinien für bedingten Zugriff

Nächste Schritte

Azure-Richtliniendefinitionen und -effekte. Häufige Zugriffsbedenken, bei denen Richtlinien für bedingten Zugriff hilfreich sein können. Richtlinienkomponenten für bedingten Zugriff.