Azure IAM - 是不是可以使用 Azure Policy 审核组成员资格？

Posted 2023-04-13

【中文标题】Azure IAM - 是不是可以使用 Azure Policy 审核组成员资格？

【英文标题】：Azure IAM - is it possible to audit group memberships using Azure Policy?Azure IAM - 是否可以使用 Azure Policy 审核组成员资格？

【发布时间】：2021-02-05 00:01:36

【问题描述】：

我想首先审核（然后强制执行）添加到特定 AD 组的用户名是否遵循特定的命名约定。这可以通过 Azure Policy 实现吗？通过脚本获取此类报告很简单，但在我们的例子中，我们希望看到 Azure 策略的清晰审计状态，并最终阻止它们被添加到策略拒绝效果的首位。

【问题讨论】：

这个问题怎么样？下面的答案是否解决了您的问题，如果是，您可以 Accept it as an Answer ，这样它可以帮助遇到相同问题的其他社区成员，我们可以存档这个帖子，谢谢。

【参考方案1】：

不，我认为 Azure Policy 只能在 Azure 资源管理器范围内使用。无法使用 Azure Policy 管理用户和组等 Azure AD 对象。因此，一种思考方式是，如果您可以使用 ARM 模板部署某些东西，您可能只能使用 Azure Policy 管理这些对象。

为 Azure AD 提供良好的审核报告的替代方法是 Azure AD 特权身份管理 (PIM)。这非常棒，但我认为不支持您关于强制和审核用户命名约定的用例。干杯！