Použití podmínky umístění v zásadách podmíněného přístupu

  • Článek
  • 9 min ke čtení

Jak je vysvětleno v článku zásady podmíněného přístupu, jsou na nejvyšší úrovni základní příkazy if-then kombinující signály, jejich rozhodování a prosazování zásad organizace. Jedním z těchto signálů, které lze začlenit do procesu rozhodování, je umístění.

Koncepční podmíněný signál plus rozhodnutí pro získání vynucování

Organizace můžou toto umístění použít pro běžné úkoly, jako je:

  • Vyžadování služby Multi-Factor Authentication pro uživatele, kteří přistupují ke službě, když jsou mimo podnikovou síť.
  • Blokování přístupu pro uživatele, kteří přistupují ke službě z určitých zemí nebo oblastí.

umístění je určeno veřejnou IP adresou, kterou klient poskytuje Azure Active Directory nebo ke souřadnicím GPS poskytovaných aplikací Microsoft Authenticator. Zásady podmíněného přístupu se ve výchozím nastavení vztahují na všechny adresy IPv4 a IPv6.

Pojmenovaná umístění

umístění jsou určena v Azure Portal v části Azure Active Directory > zabezpečení > podmíněného přístupu > s názvem umístění. Tato umístění v síti můžou zahrnovat umístění, jako jsou například rozsahy sítě ústředí organizace, rozsahy sítě VPN nebo rozsahy, které chcete blokovat. Pojmenovaná umístění lze definovat rozsahy adres IPv4/IPv6 nebo podle zemí.

Pojmenovaná umístění v Azure Portal

Rozsahy IP adres

Pro definování pojmenovaného umístění rozsahů adres IPv4/IPv6 budete muset zadat tyto informace:

  • Název umístění
  • Jeden nebo víc rozsahů IP adres
  • Volitelně Označit jako důvěryhodné umístění

Nová umístění IP adres v Azure Portal

Pojmenovaná umístění definovaná rozsahy adres IPv4/IPv6 podléhají následujícím omezením:

  • Nakonfigurovat až 195 pojmenovaných umístění
  • Nakonfigurovat až 2000 rozsahů IP adres na pojmenované umístění
  • Podporují se i rozsahy IPv4 i IPv6.
  • Nelze konfigurovat rozsahy privátních IP adres.
  • Počet IP adres obsažených v rozsahu je omezený. Při definování rozsahu IP adres jsou povoleny pouze masky CIDR větší než/8.

Důvěryhodná umístění

Správci mohou určit umístění definovaná rozsahy IP adres, která budou důvěryhodná pojmenovaná umístění.

Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizik Azure AD Identity Protection, což snižuje riziko přihlašování uživatelů při ověřování z umístění označeného jako důvěryhodné. V případě zásad podmíněného přístupu můžou být taky cílem důvěryhodných pojmenovaných umístění. Například můžete omezit registraci Multi-Factor Authentication na důvěryhodná umístění.

Země

Organizace můžou určit umístění země podle souřadnic IP adres nebo GPS.

Pro definování pojmenovaného umístění podle země budete muset zadat:

  • Název umístění
  • Určete umístění podle IP adresy nebo souřadnic GPS.
  • Přidat jednu nebo více zemí
  • Volitelně můžete vybrat, jestli se mají Zahrnout neznámé země nebo oblasti .

Země jako místo v Azure Portal

Pokud vyberete možnost určit umístění podle IP adresy (jenom IPv4), bude systém shromažďovat IP adresu zařízení, ke kterému se uživatel přihlašuje. Když se uživatel přihlásí, Azure AD přeloží IPv4 adresu uživatele na zemi nebo oblast a mapování se pravidelně aktualizuje. Organizace můžou pomocí pojmenovaných umístění definovaných v zemích blokovat provoz ze zemí, kde nedělají firmy.

Poznámka

Přihlášení z IPv6 adres nejde namapovat na země nebo oblasti a považují se za neznámé oblasti. Pouze adresy IPv4 lze namapovat na země nebo oblasti.

pokud vyberete možnost určit polohu pomocí souřadnic GPS, bude muset uživatel mít na svém mobilním zařízení nainstalovanou aplikaci Microsoft Authenticator. za každou hodinu bude systém kontaktovat aplikaci Microsoft Authenticator uživatele, aby shromáždil umístění GPS mobilního zařízení uživatele.

když je uživatel poprvé nutný ke sdílení jejich umístění z aplikace Microsoft Authenticator, uživateli se v aplikaci zobrazí oznámení. Uživatel bude muset aplikaci otevřít a udělit oprávnění k umístění.

Pokud uživatel stále přistupuje k prostředku a udělil mu oprávnění k běhu na pozadí, umístění zařízení se v následujících 24 hodinách sdílí v tichém režimu jednou za hodinu. Po 24 hodinách musí uživatel aplikaci otevřít a toto oznámení schválí. Pokaždé, když uživatel sdílí své umístění GPS, aplikace provede jailbreaků detekci (pomocí stejné logiky jako sada Intune MAM SDK). Pokud je zařízení s jailbreakem, umístění se nepovažuje za platné a uživatel nemá přístup udělen.

Zásada podmíněného přístupu s pojmenovanými umístěními na bázi GPS v režimu pouze pro sestavy vyzývá uživatele, aby sdíleli své umístění GPS, i když nejsou zablokovány při přihlašování.

Důležité

uživatelé se můžou do každé hodiny dostat výzvy, aby věděli, že služba Azure AD kontroluje jejich polohu v aplikaci Authenticator. Verze Preview by se měla používat jenom k ochraně velmi citlivých aplikací, kde je toto chování přijatelné nebo kdy je potřeba přístup omezit na určitou zemi nebo oblast.

Zahrnout neznámé země nebo oblasti

Některé IP adresy nejsou namapované na konkrétní zemi nebo oblast, včetně všech adres IPv6. Pokud chcete zachytit tato umístění IP adres, zaškrtněte políčko při definování geografického umístění Zahrnout neznámé země nebo oblasti . Tato možnost umožňuje zvolit, jestli se mají tyto IP adresy zahrnout do pojmenovaného umístění. Toto nastavení použijte, pokud se zásada používající pojmenované umístění má vztahovat na neznámá umístění.

Konfigurace důvěryhodných IP adres MFA

V nastavení služby Multi-Factor Authentication Servicemůžete také nakonfigurovat rozsahy IP adres reprezentující místní intranet vaší organizace. Tato funkce vám umožní nakonfigurovat až 50 rozsahů IP adres. Rozsahy IP adres jsou ve formátu CIDR. Další informace najdete v tématu důvěryhodné IP adresy.

Pokud máte nakonfigurované důvěryhodné IP adresy, zobrazí se v seznamu umístění pro podmínku umístění jako důvěryhodné IP adresy MFA .

Přeskakuje se Multi-Factor Authentication

Na stránce nastavení služby Multi-Factor Authentication Service můžete identifikovat uživatele firemní sítě intranet tak, že pro žádosti od federovaných uživatelů v mém intranetu vyberete přeskočit vícefaktorové ověřování. Toto nastavení indikuje, že deklarace identity uvnitř podnikové sítě, která je vydaná AD FS, by měla být důvěryhodná a slouží k identifikaci uživatele jako v podnikové síti. Další informace najdete v tématu Povolení funkce důvěryhodných IP adres pomocí podmíněného přístupu.

Po zaškrtnutí této možnosti, včetně pojmenovaného umístění, důvěryhodných IP adres MFA budou platit pro všechny zásady s vybranou možností.

U mobilních a desktopových aplikací, které mají dlouhodobé životnosti relací, se podmíněný přístup pravidelně znovu vyhodnocuje. Výchozí hodnota je jednou hodinu. Pokud je deklarace identity uvnitř podnikové sítě vydaná jenom v době počátečního ověřování, služba Azure AD nemusí mít seznam důvěryhodných IP adres. V takovém případě je obtížné zjistit, jestli je uživatel stále v podnikové síti:

  1. Ověřte, zda je IP adresa uživatele v jednom z rozsahů důvěryhodných IP adres.
  2. Ověřte, zda první tři oktety IP adresy uživatele odpovídají prvním třem oktetům IP adresy počátečního ověřování. IP adresa je porovnávána s počátečním ověřováním, když byla původně vydaná deklarace identity uvnitř podnikové sítě a bylo ověřené umístění uživatele.

Pokud dojde k selhání obou kroků, bude uživatel považován za již nepřipojený k důvěryhodné IP adrese.

Podmínka umístění v zásadách

Když nakonfigurujete podmínku umístění, můžete rozlišovat mezi:

  • Jakékoli umístění
  • Všechna důvěryhodná umístění
  • Vybraná umístění

Jakékoli umístění

Ve výchozím nastavení při výběru kteréhokoli umístění dojde k použití zásad pro všechny IP adresy, což znamená libovolnou adresu na internetu. Toto nastavení není omezeno na IP adresy, které jste nakonfigurovali jako pojmenované umístění. Když vyberete libovolné umístění, můžete i nadále vyloučit konkrétní umístění ze zásad. Můžete například použít zásadu na všechna umístění kromě důvěryhodných umístění a nastavit obor na všechna umístění kromě podnikové sítě.

Všechna důvěryhodná umístění

Tato možnost se týká:

  • Všechna umístění, která byla označena jako důvěryhodná umístění
  • Důvěryhodné IP adresy MFA (pokud jsou nakonfigurované)

Vybraná umístění

Pomocí této možnosti můžete vybrat jedno nebo více pojmenovaných umístění. Chcete-li použít zásadu s tímto nastavením, musí se uživatel připojit z libovolného umístění. Po výběru ovládacího prvku Výběr sítě, který zobrazuje seznam pojmenovaných sítí, se otevře. V seznamu se zobrazí také informace o tom, zda bylo síťové umístění označeno jako důvěryhodné. Pojmenované umístění s názvem MFA Trusted IP adresa slouží k zahrnutí nastavení IP adresy, která se dají konfigurovat na stránce nastavení služby Multi-Factor Authentication Service.

Přenos IPv6

Ve výchozím nastavení se zásady podmíněného přístupu použijí na všechny přenosy protokolu IPv6. Pokud nechcete, aby se zásady vynutily pro konkrétní rozsahy IPv6, můžete vyloučit konkrétní rozsahy adres IPv6 ze zásad podmíněného přístupu. Například pokud chcete vymáhat zásadu pro použití ve vaší podnikové síti a vaše podniková síť je hostována ve veřejných rozsahech IPv6.

Určení provozu protokolu IPv6 v sestavách aktivit přihlášení k Azure AD

Pomocí sestav aktivit přihlašování služby Azure ADmůžete zjistit provoz protokolu IPv6 ve vašem tenantovi. Po otevření sestavy aktivity přidejte sloupec IP adresa. Tento sloupec vám umožní identifikovat přenos protokolu IPv6.

IP adresu klienta můžete najít také tak, že kliknete na řádek v sestavě a pak na kartu umístění v podrobnostech o přihlašovací aktivitě.

Kdy bude můj tenant provozovat protokolem IPv6?

Azure Active Directory (Azure AD) v současné době nepodporuje přímá síťová připojení, která používají protokol IPv6. Existují však případy, kdy je provoz ověřování proxy serverem prostřednictvím jiné služby. V těchto případech se adresa IPv6 použije při vyhodnocování zásad.

Většina provozu protokolu IPv6, která se proxy serverem do služby Azure AD načte, pochází z Microsoft Exchange Online. pokud je k dispozici, Exchange upřednostnit připojení IPv6. takže pokud máte nějaké zásady podmíněného přístupu pro Exchange, které byly nakonfigurované pro konkrétní rozsahy IPv4, budete chtít, abyste měli jistotu, že jste taky přidali rozsahy IPv6 organizací. Nezahrnuje rozsahy IPv6 způsobí neočekávané chování v následujících dvou případech:

  • když se e-mailový klient použije k připojení k Exchange Online se starším ověřováním, může Azure AD získat adresu IPv6. počáteční požadavek na ověření přejde na Exchange a pak se proxy na službu Azure AD.
  • pokud se v prohlížeči používá Outlook Web Access (OWA), budou se pravidelně ověřovat všechny zásady podmíněného přístupu. Tato kontrolu se používá k zachytávání případů, kdy se uživatel mohl přesunout z povolené IP adresy na nové místo, jako je třeba káva na ulici. V takovém případě, pokud se použije adresa IPv6, a pokud adresa IPv6 není v nakonfigurovaném rozsahu, uživatel může svou relaci přerušit a vrátit se zpět do Azure AD a znovu ověřit.

Pokud navíc používáte Azure virtuální sítě, budete mít provoz z IPv6 adresy. Pokud máte provoz virtuální sítě blokovaný zásadou podmíněného přístupu, podívejte se do přihlašovacího protokolu Azure AD. Jakmile identifikujete provoz, můžete získat využívanou adresu IPv6 a vyloučit ji ze zásad.

Poznámka

Pokud chcete zadat rozsah IP CIDR pro jednu adresu, použijte bitovou masku/128. Pokud se zobrazí adresa IPv6 2607: fb90: b27a: 6f69: f8d5: dea0: fb39:74A a chtěli byste tuto jednotlivou adresu vyloučit jako rozsah, použijte 2607: fb90: b27a: 6f69: f8d5: dea0: fb39:74A/128.

Co byste měli vědět

Kdy je vyhodnoceno umístění?

Zásady podmíněného přístupu jsou vyhodnocovány v těchto případech:

  • Uživatel se zpočátku přihlašuje k webové aplikaci, mobilní aplikaci nebo aplikaci klasické pracovní plochy.
  • Mobilní aplikace nebo aplikace klasické pracovní plochy, která používá moderní ověřování, používá k získání nového přístupového tokenu obnovovací token. Ve výchozím nastavení je tato kontrolu jednou za hodinu.

Tato kontrolu znamená, že mobilní a desktopové aplikace využívají moderní ověřování, v průběhu změny síťového umístění se zjistí změna v umístění. Pro mobilní a desktopové aplikace, které nepoužívají moderní ověřování, se zásady použijí u každé žádosti o token. Frekvence požadavku se může lišit v závislosti na aplikaci. Podobně platí, že u webových aplikací se zásady aplikují při počátečním přihlašování a jsou vhodné po dobu života relace ve webové aplikaci. V důsledku rozdílů v životnosti relací napříč aplikacemi se čas mezi vyhodnocením zásad liší také. Pokaždé, když aplikace požádá o nový token přihlášení, zásada se použije.

Ve výchozím nastavení služba Azure AD vydá token po hodinách. Po přesunu podnikové sítě do celé hodiny se zásady vynutily pro aplikace používající moderní ověřování.

IP adresa uživatele

IP adresa použitá při vyhodnocování zásad je veřejná IP adresa uživatele. V případě zařízení v privátní síti tato IP adresa nepředstavuje IP adresu klienta zařízení uživatele v intranetu, jedná se o adresu, kterou síť používá pro připojení k veřejnému Internetu.

Hromadné nahrávání a stahování pojmenovaných umístění

Při vytváření nebo aktualizaci pojmenovaných umístění můžete pro hromadné aktualizace nahrát nebo stáhnout soubor CSV s rozsahy IP adres. Nahrávání nahradí rozsahy IP adres v seznamu těmito rozsahy ze souboru. Každý řádek souboru obsahuje jeden rozsah IP adres ve formátu CIDR.

Cloudové proxy servery a sítě VPN

Pokud používáte cloudové proxy hostované nebo řešení sítě VPN, IP adresa Azure AD používá při vyhodnocování zásad je IP adresa proxy serveru. Záhlaví X-předané (XFF), které obsahuje veřejnou IP adresu uživatele, se nepoužívá, protože neexistuje žádné ověření, které pochází z důvěryhodného zdroje, takže by mohla představovat metodu pro Faking IP adresu.

Pokud je cloudový proxy server, můžete použít zásadu, která vyžaduje, aby bylo možné použít hybridní zařízení připojené k Azure AD, nebo Corpnet deklaraci identity v rámci služby AD FS.

Podpora rozhraní API a prostředí PowerShell

k dispozici je verze preview Graph API pro pojmenovaná umístění, další informace najdete v tématu rozhraní API pro namedLocation.

Další kroky