Azure 容器注册表的条件访问策略

Azure 容器注册表 (ACR) 提供了创建和配置条件访问策略的选项。 条件访问策略通常与 Azure Active Directory (Azure AD) 相关联,用于对各种 Azure 服务(包括 ACR)强制实施强身份验证和访问控制。

条件访问策略在 Azure 容器注册表的第一因素身份验证完成后应用。 ACR 的条件访问仅用于用户身份验证。 该策略使用户能够选择控件,并根据策略决策进一步阻止或授予访问权限。

条件访问策略旨在强制实施强身份验证。 此策略使安全性能够满足组织合规性要求,并保护数据和用户帐户的安全。

重要

若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm

详细了解条件访问策略,即在做出策略决策时要考虑的条件

本教程介绍如何执行下列操作:

  • 为 Azure 容器注册表创建和配置条件访问策略。
  • 排查条件访问策略问题。

先决条件

创建和配置条件访问策略 - Azure 门户

ACR 仅支持 Active Directory 用户的条件访问策略。 它当前不支持服务主体的条件访问策略。 若要为注册表配置条件访问策略,必须对所需租户中的所有注册表禁用 authentication-as-arm。 在本教程中,我们将从 Azure 门户中为 Azure 容器注册表创建基本条件访问策略。

按如下所述创建一个条件访问策略,并分配用户测试组:

  1. 使用拥有全局管理员权限的帐户登录到 Azure 门户

  2. 搜索并选择 Microsoft Entra ID。 然后在左侧菜单中选择“安全”。

  3. 依次选择“条件访问”、“+ 新建策略”、“创建新策略”。

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  4. 输入策略的名称,例如“demo”。

  5. 在“分配”下,选择“用户或工作负载标识”下的当前值。

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  6. 在“此策略的应用对象”下,验证并选择“用户和组”。

  7. 在“包括”下,选择“选择用户和组”,然后选择“所有用户”。

    A screenshot of the page for creating a new policy, where you select options to specify users.

  8. 在“排除”下,选择“选择用户和组”,排除选择的任何选项。

  9. 在“云应用或操作”下,选择“云应用”。

  10. 在“包含”下,选择“选择应用” 。

    A screenshot of the page for creating a new policy, where you select options to specify cloud apps.

  11. 浏览并选择要应用条件访问的应用(在本例中为 Azure 容器注册表),然后选择“选择”。

    A screenshot of the list of apps, with results filtered, and 'Azure Container Registry' selected.

  12. 在“条件”下,使用“用户风险级别”、“登录风险级别”、“登录风险检测(预览版)”、“设备平台”、“位置”、“客户端应用”、“时间(预览版)”、“筛选器”等选项配置控制访问级别。

  13. 在 Azure 门户的登录事件期间,在“授予”下筛选并选择选项,强制授予访问权限或阻止访问权限。 在本例中,使用“需要多重身份验证”授予访问权限,然后选择“选择”。

    提示

    若要配置和授予多重身份验证,请参阅多重身份验证的配置和条件。

  14. 在“会话”下筛选并选择选项,以启用云应用会话级别体验的任何控制。

  15. 选择并确认后,在“启用策略”下,选择“打开”。

  16. 若要应用和激活策略,请选择“创建”。

    A screenshot showing how to activate the Conditional Access policy.

我们现在已完成为 Azure 容器注册表创建条件访问策略。

排查条件访问策略

后续步骤