0

如何创建 Azure 策略来审核应用服务身份验证?我想强制所有应用服务都启用 Active Directory 身份验证,并将其他身份验证方法标记为不合规。

4

1 回答 1

1

这在今天是不可能的。您可以审核您的应用服务以检查是否启用了身份验证。但是您不能将特定身份提供者指定为策略的一部分。

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "equals": "Microsoft.Web/sites/config"
            },
            {
                "field": "Microsoft.Web/sites/config/siteAuthEnabled",
                "equals": "false"
            }
        ]
    },
    "then": {
        "effect": "audit"
    }
}

确保 Azure AD 是身份提供者的策略,你需要这样的东西(今天不起作用)。由于没有别名来支持该字段Microsoft.Web/sites/config/siteAuthSettings.issuer,因此它不起作用。

{
    "if": {
        "allOf": [
            {
                "field": "type",
                "equals": "Microsoft.Web/sites/config"
            },
            {
                "field": "Microsoft.Web/sites/config/siteAuthEnabled",
                "equals": "false"
            },
            {
                "field": "Microsoft.Web/sites/config/siteAuthSettings.issuer",
                "like": "https://sts.windows.net/*"
            }
        ]
    },
    "then": {
        "effect": "audit"
    }
}

该指南是在此处提交问题以请求添加别名,您似乎已经这样做了。在这里发布它以防其他人想要关注它。

于 2018-09-25T22:50:32.090 回答