Как определить пользовательскую политику условного доступа Azure AD для службы BLOB-объектов в конкретной учетной записи хранения?

Добрый день,

Можно ли определить политику условного доступа, регулирующую доступ к службе BLOB-объектов конкретной учетной записи хранения?

Допустим, наша общая политика слишком ограничительна (скажем, она требует MFA или определенных диапазонов IP-адресов источника) — и мы хотим сделать исключения для вызовов<our-storage-account>.blob.core.windows.net. Является ли это возможным?

Я видел пару упоминаний о том, что можно добавить службу файлов Azure определенной учетной записи хранения в список исключений политики условного доступа (здесь и здесь ):

Azure AD Kerberos не поддерживает использование MFA для доступа к общим файловым ресурсам Azure, настроенным с помощью Azure AD Kerberos. Вы должны исключить приложение Azure AD, представляющее вашу учетную запись хранения, из политик условного доступа MFA, если они применяются ко всем приложениям.

Приложение учетной записи хранения должно иметь то же имя, что и учетная запись хранения в списке исключений условного доступа. При поиске приложения учетной записи хранения в списке исключений условного доступа найдите:[Storage Account] <your-storage-account-name>.file.core.windows.net

Но когда я попытался найти в списке облачных приложений исключения из политики условного доступа,[Storage Account]или по имени конкретной учетной записи, совпадений я не нашел.

Поможет ли добавление « управляемого удостоверения » в учетную запись хранения? Насколько я понимаю, он используется для вызовов, инициированных самой учетной записью хранения (к Key Vault , для получения ключа шифрования), а не для клиентского трафика к ее службе BLOB-объектов.

Спасибо, Муций.