Compartir a través de

Azure 容器注册表的条件访问策略

Azure 容器注册表 (ACR) 提供了创建和配置条件访问策略的选项。 条件访问策略通常与 Azure Active Directory (Azure AD) 相关联,用于对各种 Azure 服务(包括 ACR)强制实施强身份验证和访问控制。

条件访问策略在 Azure 容器注册表的第一因素身份验证完成后应用。 ACR 的条件访问仅用于用户身份验证。 该策略使用户能够选择控件,并根据策略决策进一步阻止或授予访问权限。

条件访问策略旨在强制实施强身份验证。 此策略使安全性能够满足组织合规性要求,并保护数据和用户帐户的安全。

重要

若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm

详细了解条件访问策略,即在做出策略决策时要考虑的条件

本教程介绍如何执行下列操作:

  • 为 Azure 容器注册表创建和配置条件访问策略。
  • 排查条件访问策略问题。

先决条件

创建和配置条件访问策略 - Azure 门户

ACR 仅支持 Active Directory 用户的条件访问策略。 它当前不支持服务主体的条件访问策略。 若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm。 在本教程中,我们将从 Azure 门户中为 Azure 容器注册表创建基本条件访问策略。

按如下所述创建一个条件访问策略,并分配用户测试组:

  1. 使用拥有“条件访问管理员”权限的帐户登录到 Azure 门户

  2. 搜索并选择 Microsoft Entra ID。 然后在左侧菜单中选择“安全”。

  3. 依次选择“条件访问”、“+ 新建策略”、“创建新策略”。

    “条件访问”页的屏幕截图,你在其中先选择了“新建策略”,然后选择了“创建新策略”。

  4. 输入策略的名称,例如“demo”。

  5. 在“分配”下,选择“用户或工作负载标识”下的当前值。

    “条件访问”页的屏幕截图,你在其中选择了“用户或工作负荷标识”下的当前值。

  6. 在“此策略的应用对象”下,验证并选择“用户和组”。

  7. 在“包括”下,选择“选择用户和组”,然后选择“所有用户”。

    用于创建新策略的页面的屏幕截图,在其中选择了用于指定用户的选项。

  8. 在“排除”下,选择“选择用户和组”,排除选择的任何选项。

  9. 在“云应用或操作”下,选择“云应用”。

  10. 在“包含”下,选择“选择应用” 。

    用于创建新策略的页面的屏幕截图,在其中选择了用于指定云应用的选项。

  11. 浏览并选择要应用条件访问的应用(在本例中为 Azure 容器注册表),然后选择“选择”。

    应用列表的屏幕截图,其中筛选了结果,并选择了“Azure 容器注册表”。

  12. 在“条件”下,使用“用户风险级别”、“登录风险级别”、“登录风险检测(预览版)”、“设备平台”、“位置”、“客户端应用”、“时间(预览版)”、“筛选器”等选项配置控制访问级别。

  13. 在 Azure 门户的登录事件期间,在“授予”下筛选并选择选项,强制授予访问权限或阻止访问权限。 在本例中,使用“需要多重身份验证”授予访问权限,然后选择“选择”。

    提示

    若要配置和授予多重身份验证,请参阅多重身份验证的配置和条件。

  14. 在“会话”下筛选并选择选项,以启用云应用会话级别体验的任何控制。

  15. 选择并确认后,在“启用策略”下,选择“打开”。

  16. 若要应用和激活策略,请选择“创建”。

    显示如何激活“条件访问策略”的屏幕截图。

我们现在已完成为 Azure 容器注册表创建条件访问策略。

排查条件访问策略

后续步骤

Azure Policy 定义效果条件访问策略可帮助解决的常见访问问题条件访问策略组件