Azure Container Registry的条件访问策略

Azure Container Registry（ACR）提供创建和配置Microsoft Entra条件访问策略以强制实施强身份验证和访问控制的选项。

条件访问策略旨在强制实施强身份验证。 该策略可帮助组织满足合规性要求，并使数据和用户帐户安全。

条件访问策略在用户向Azure Container Registry进行身份验证后应用。 可以配置选项，以根据 策略决策阻止或授予访问权限。

Azure Container Registry仅支持Microsoft Entra用户帐户的条件访问策略。 目前不支持服务主体帐户的条件访问策略。

本文介绍如何为Azure Container Registry创建和配置条件访问策略，以及如何排查常见问题。

先决条件

• 具有 Conditional Access Administrator 角色的Azure帐户。
• Azure Container Registry。 如果没有注册表，请遵循 Quickstart：使用 Azure 门户创建容器注册表教程。

创建和配置条件访问策略

按如下所述创建一个条件访问策略，并分配用户测试组：

1. 使用具有 Conditional Access Administrator 角色的帐户登录到 Azure 门户。

2. 搜索并选择 Microsoft Entra ID。

3. 在服务菜单中的“ 管理”下，选择“ 安全性”。

4. 依次选择“条件访问”、“+ 新建策略”、“创建新策略”。

5. 输入策略的名称，例如“demo”。

6. 在“此策略适用于什么？”下，选择“用户和组”。

7. 在“包括”下，选择“选择用户和组”，然后选择“所有用户”。

   

8. 在“ 排除”下，选择 “选择用户和组”，然后为要从策略中排除的用户或组进行任何选择。

9. 在“云应用或操作”下，选择“云应用”。

10. 在“包含”下，选择“选择应用”选项。

    

11. 选择 Azure Container Registry，然后选择 Select。

12. 在 “条件”下，设置要应用 的条件 。

13. 在“访问控制”下，选择“授权”。 选择授予访问权限并选中需要多重身份验证，然后选择选择。

    提示

    有关如何配置和授予多重身份验证的详细信息，请参阅 配置多重身份验证的条件。

14. 在 “会话”下，可以选择选项来启用对云应用的会话级别体验的任何控制。

15. 将“启用策略”设置为“打开”，然后选择“创建”

现已为Azure Container Registry创建条件访问策略。

排查条件访问策略策略问题

有关条件访问登录的问题，请参阅排查条件访问登录问题。

有关条件访问策略的问题，请参阅排查条件访问策略问题。

后续步骤

• 详细了解 Azure Policy 定义 和 影响。
• >查看条件访问策略组件。
• 了解 条件访问策略可以帮助解决的常见访问问题。