Azure 仅允许通过 azure *** 访问 azure 门户

Posted 2023-02-19

【中文标题】Azure 仅允许通过 azure *** 访问 azure 门户

【英文标题】：Azure allow access to azure portal only through azure ***

【发布时间】：2021-10-30 12:11:40

【问题描述】：

我一直在使用 azure ***，以便更好地了解它的工作原理。

我已经实现了一个 azure *** 点到站点。一切正常。

但是根据我对azure文档的理解，azure point to site主要可以通过自己的私有ip或者endpoint来访问私有资源。

所以我想知道是否有人可以帮助我理解以下几点：

我不想通过开放的互联网访问 azure 门户，而是只通过 azure *** 登录到 azure 活动目录。因此，如果我尝试通过我的普通 wifi 登录到 azure 门户，我希望被阻止，并且只有在我连接到 azure *** 时才能保证访问。

这个问题有解决办法吗？

非常感谢您的帮助和提供的任何解释。

【参考方案1】：

您可以为此使用 Azure AD 中的条件访问策略。您必须定义一个 IP 范围并将其分配给策略，限制仅来自该 IP 的访问

您将限制访问的应用是 Microsoft Azure 管理

【讨论】：

非常感谢您的回复。我刚刚激活了 azure AD premium 2 来拥有这个功能。但是当我转到 Az AD => 安全 => 条件访问时，选项 New Policy 是灰色的

现在它正在执行该政策。只是一个澄清。在云应用下，我必须选择 azure *** 对吗？因为我选择了azure ***，但是我无法创建策略，因为我需要选择grant access

对于云应用，您可以选择 Microsoft Azure 管理，然后在条件>位置中选择您的 *** 的 IP 范围。在对整个目录实施之前，您可以先尝试限制对特定用户的访问，以防止被锁定。

只有一件事我还不清楚。您在condition > locations the IP Range of your *** 中说过，但是当我去定位时，我只看到 MFA 受信任的 IP，就像在您的屏幕截图中一样。如果我只有那个选择，这种情况如何知道 ip 范围是我的 *** 之一？非常感谢您的帮助，如果我问您一些基本问题，我们深表歉意

不好意思再写。我确实实施了您的所有建议，但即使我没有连接到 azure ***，我仍然可以访问 azure 门户。