2

我确实将用户分配为 Subs 的所有者。我还为一组用户强制执行 MFA,而不是全部来自 AAD

我正在尝试找到一个解决方案(策略?),我可以在其中阻止订阅所有者将用户添加到应用 MFA 解决方案的订阅。只有具有 MFA 的用户才能进行分配。

您知道如何实现这一目标吗?

我正在考虑使用“Microsoft.Security/complianceResults”和“EnableMFAForWritePermissions”和“Microsoft.Security/complianceResults/resourceStatus”的策略,这样我可以防止添加会影响资源合规性但多个测试没有的用户工作呢。

谢谢

4

1 回答 1

0

我会利用 Azure 中的条件访问。我会在所有者组上配置它以在执行用户管理时需要 MFA。我将使用现有的策略之一,例如管理员需要 MFA 等作为我会微调的示例。

以下是其中一些概念的文档链接:

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa

于 2019-09-19T01:32:27.797 回答