Použití podmínky umístění v zásadách podmíněného přístupu

Jak je vysvětleno v článku s přehledem , zásady podmíněného přístupu jsou jejich nejzásadnějšími výrazy, které kombinují signály, k rozhodování a vynucování zásad organizace. Jedním z těchto signálů, které je možné začlenit do rozhodovacího procesu, je umístění.

Conceptual Conditional signal plus decision to get enforcement

Organizace můžou toto umístění použít pro běžné úkoly, jako jsou:

  • Vyžadování vícefaktorového ověřování pro uživatele, kteří přistupují ke službě, když jsou mimo podnikovou síť.
  • Blokování přístupu pro uživatele, kteří přistupují ke službě z konkrétních zemí nebo oblastí

Umístění je určeno veřejnou IP adresou, kterou klient poskytuje Azure Active Directory nebo souřadnice GPS poskytované aplikací Microsoft Authenticator. Zásady podmíněného přístupu se ve výchozím nastavení vztahují na všechny adresy IPv4 a IPv6.

Pojmenovaná umístění

Umístění jsou pojmenovaná v Azure Portal v umístěních Azure Active Directory>SecurityConditional>AccessNamed>. Tato pojmenovaná síťová umístění můžou zahrnovat umístění, jako jsou rozsahy sítí ústředí organizace, rozsahy sítě VPN nebo rozsahy, které chcete blokovat. Pojmenovaná umístění mohou být definována rozsahy adres IPv4/IPv6 nebo podle zemí.

Named locations in the Azure portal

Rozsahy IP adres

Pokud chcete definovat pojmenované umístění podle rozsahů adres IPv4/IPv6, musíte zadat:

  • Název umístění
  • Jeden nebo více rozsahů IP adres
  • Volitelně označit jako důvěryhodné umístění

New IP locations in the Azure portal

Pojmenovaná umístění definovaná rozsahy adres IPv4/IPv6 podléhají následujícím omezením:

  • Konfigurace až 195 pojmenovaných umístění
  • Konfigurace až 2000 rozsahů IP adres na pojmenované umístění
  • Podporují se rozsahy IPv4 i IPv6.
  • Rozsahy privátních IP adres nelze konfigurovat.
  • Počet IP adres obsažených v rozsahu je omezený. Při definování rozsahu IP adres jsou povoleny pouze masky CIDR větší než /8.

Důvěryhodná umístění

Správci můžou pojmenovat umístění definovaná rozsahy IP adres, aby mohli být důvěryhodná pojmenovaná umístění.

Přihlášení z důvěryhodných pojmenovaných umístění zlepšuje přesnost výpočtu rizika služby Azure AD Identity Protection a snižuje riziko přihlášení uživatele při ověřování z umístění označeného jako důvěryhodné. Důvěryhodné pojmenované umístění je navíc možné cílit v zásadách podmíněného přístupu. Můžete například omezit registraci vícefaktorového ověřování na důvěryhodná umístění.

Země

Organizace můžou určit umístění země podle IP adresy nebo souřadnic GPS.

Pokud chcete definovat pojmenované umístění podle země, musíte zadat:

  • Název umístění
  • Volba určení umístění podle IP adresy nebo souřadnic GPS
  • Přidání jedné nebo více zemí
  • Volitelně můžete zvolit zahrnutí neznámých zemí nebo oblastí.

Country as a location in the Azure portal

Pokud vyberete Možnost Určit umístění podle IP adresy (jenom IPv4), systém bude shromažďovat IP adresu zařízení, ke které se uživatel přihlašuje. Když se uživatel přihlásí, Azure AD přeloží adresu IPv4 uživatele do země nebo oblasti a mapování se pravidelně aktualizuje. Organizace můžou používat pojmenovaná místa definovaná zeměmi k blokování provozu z zemí, ve kterých nedělají obchod.

Poznámka

Přihlášení z adres IPv6 nelze namapovat na země nebo oblasti a považují se za neznámé oblasti. Na země nebo oblasti je možné mapovat jenom adresy IPv4.

Pokud vyberete Možnost Určit polohu podle souřadnic GPS, uživatel bude muset mít na svém mobilním zařízení nainstalovanou aplikaci Microsoft Authenticator. Každý hodinu bude systém kontaktovat aplikaci uživatele Microsoft Authenticator, aby shromažďoval polohu GPS mobilního zařízení uživatele.

Při prvním vyžadování sdílení polohy uživatele z aplikace Microsoft Authenticator obdrží uživatel v aplikaci oznámení. Uživatel bude muset aplikaci otevřít a udělit oprávnění k poloze.

Po dobu následujících 24 hodin, pokud uživatel stále přistupuje k prostředku a udělí aplikaci oprávnění ke spuštění na pozadí, bude umístění zařízení sdíleno bezobslužně jednou za hodinu. Po 24 hodinách musí uživatel aplikaci otevřít a schválit oznámení. Pokaždé, když uživatel sdílí svou polohu GPS, aplikace provádí detekci jailbreaku (pomocí stejné logiky jako Intune MAM SDK). Pokud je zařízení jailbreak, umístění se nepovažuje za platné a uživatel nemá udělený přístup.

Zásady podmíněného přístupu s pojmenovanými umístěními založenými na GPS v režimu jen pro sestavy zobrazí uživatelům výzvu ke sdílení polohy GPS, i když nejsou zablokovaní při přihlašování.

Umístění GPS nefunguje s metodami ověřování bez hesla.

Před použitím všech zásad podmíněného přístupu můžou aplikace zásad podmíněného přístupu vyzvat uživatele k zadání polohy GPS. Vzhledem k způsobu použití zásad podmíněného přístupu může být uživatel odepřen přístup, pokud předá kontrolu polohy, ale selže jiná zásada. Další informace o vynucování zásad najdete v článku Vytvoření zásad podmíněného přístupu.

Důležité

Uživatelé můžou každou hodinu dostávat výzvy s informacemi o tom, že Azure AD kontroluje jejich umístění v aplikaci Authenticator. Náhled by se měl použít pouze k ochraně velmi citlivých aplikací, pokud je toto chování přijatelné nebo kde je potřeba omezit přístup na konkrétní zemi nebo oblast.

Zahrnout neznámé země nebo oblasti

Některé IP adresy nejsou mapovány na konkrétní zemi nebo oblast, včetně všech IPv6 adres. Pokud chcete zachytit tato umístění IP adres, zaškrtněte políčko Zahrnout neznámé země nebo oblasti při definování geografického umístění. Tato možnost umožňuje zvolit, jestli by tyto IP adresy měly být zahrnuty do pojmenovaného umístění. Toto nastavení použijte, když se zásady používající pojmenované umístění mají použít na neznámá umístění.

Konfigurace důvěryhodných IP adres MFA

Rozsahy IP adres, které představují místní intranet vaší organizace, můžete nakonfigurovat také v nastavení vícefaktorové služby ověřování. Tato funkce umožňuje nakonfigurovat až 50 rozsahů IP adres. Rozsahy IP adres jsou ve formátu CIDR. Další informace najdete v tématu Důvěryhodné IP adresy.

Pokud máte nakonfigurované důvěryhodné IP adresy, zobrazí se jako důvěryhodné IP adresy MFA v seznamu umístění pro podmínku umístění.

Přeskočení vícefaktorového ověřování

Na stránce nastavení vícefaktorové služby ověřování můžete identifikovat uživatele podnikového intranetu tak, že vyberete Přeskočit vícefaktorové ověřování pro požadavky federovaných uživatelů na mém intranetu. Toto nastavení označuje, že deklarace identity uvnitř podnikové sítě, která je vystavena službou AD FS, by měla být důvěryhodná a použita k identifikaci uživatele jako uživatele v podnikové síti. Další informace najdete v tématu Povolení funkce důvěryhodných IP adres pomocí podmíněného přístupu.

Po zaškrtnutí této možnosti, včetně pojmenovaného umístění důvěryhodných IP adres vícefaktorového ověřování , budou platit pro všechny zásady s touto vybranou možností.

Pro mobilní a desktopové aplikace, které mají dlouhou dobu životnosti relace, se podmíněný přístup pravidelně znovu zhodnotí. Výchozí hodnota je jednou za hodinu. Pokud se deklarace identity v rámci podnikové sítě vydává jenom v době počátečního ověřování, Azure AD nemusí mít seznam důvěryhodných rozsahů IP adres. V takovém případě je obtížnější určit, jestli je uživatel stále v podnikové síti:

  1. Zkontrolujte, jestli je IP adresa uživatele v některém z důvěryhodných rozsahů IP adres.
  2. Zkontrolujte, jestli první tři oktety IP adresy uživatele odpovídají prvním třem oktetům IP adresy počátečního ověřování. IP adresa se porovnává s počátečním ověřováním, když byla původně vydána deklarace identity uvnitř podnikové sítě a bylo ověřeno umístění uživatele.

Pokud oba kroky selžou, považuje se za uživatele, že už není na důvěryhodné IP adrese.

Podmínka umístění v zásadách

Když konfigurujete podmínku umístění, můžete rozlišovat mezi těmito:

  • Libovolné umístění
  • Všechna důvěryhodná umístění
  • Vybraná umístění

Libovolné umístění

Ve výchozím nastavení výběr libovolného umístění způsobí použití zásady pro všechny IP adresy, což znamená jakoukoli adresu na internetu. Toto nastavení není omezené na IP adresy, které jste nakonfigurovali jako pojmenované umístění. Když vyberete Libovolné umístění, můžete z zásad vyloučit konkrétní umístění. Můžete například použít zásadu pro všechna umístění s výjimkou důvěryhodných umístění a nastavit obor na všechna umístění s výjimkou podnikové sítě.

Všechna důvěryhodná umístění

Tato možnost platí pro:

  • Všechna umístění označená jako důvěryhodná umístění
  • Důvěryhodné IP adresy MFA (pokud jsou nakonfigurované)

Vybraná umístění

Pomocí této možnosti můžete vybrat jedno nebo více pojmenovaných umístění. Aby se zásada s tímto nastavením použila, musí se uživatel připojit z libovolného vybraného umístění. Když vyberete ovládací prvek pro výběr pojmenované sítě, který zobrazí seznam pojmenovaných sítí, otevře se. Seznam také ukazuje, jestli je síťové umístění označené jako důvěryhodné. Pojmenované umístění s názvem Důvěryhodné IP adresy vícefaktorového ověřování se používá k zahrnutí nastavení PROTOKOLU IP, která lze nakonfigurovat na stránce nastavení služby multi-Factor Authentication.

Provoz IPv6

Ve výchozím nastavení se zásady podmíněného přístupu použijí na veškerý provoz IPv6. Pokud nechcete, aby se zásady vynucovály pro konkrétní rozsahy IPv6, můžete z zásad podmíněného přístupu vyloučit konkrétní rozsahy adres IPv6. Pokud například nechcete vynucovat zásady pro použití ve vaší podnikové síti a vaše podniková síť je hostovaná ve veřejných rozsahech IPv6.

Identifikace provozu protokolu IPv6 v sestavách aktivit přihlášení k Azure AD

Provoz protokolu IPv6 ve vašem tenantovi můžete zjistit tak, že přejdete na sestavy aktivit přihlašování ke službě Azure AD. Po otevření sestavy aktivit přidejte sloupec IP adresa. Tento sloupec vám poskytne identifikaci provozu IPv6.

IP adresu klienta najdete také kliknutím na řádek v sestavě a následným přechodem na kartu Umístění v podrobnostech o aktivitě přihlášení.

Kdy bude můj tenant mít provoz IPv6?

Azure Active Directory (Azure AD) v současné době nepodporuje přímá síťová připojení, která používají protokol IPv6. Existují však některé případy, kdy se ověřovací provoz přesměruje přes jinou službu. V těchto případech se adresa IPv6 použije při vyhodnocování zásad.

Většina přenosů IPv6, které se směrují do Azure AD, pochází z Microsoft Exchange Online. Pokud je k dispozici, Exchange budou upřednostňovat připojení IPv6. Pokud tedy máte nějaké zásady podmíněného přístupu pro Exchange, které jsou nakonfigurované pro konkrétní rozsahy IPv4, měli byste se ujistit, že jste přidali také rozsahy IPv6 vaší organizace. Zahrnutí rozsahů IPv6 způsobí neočekávané chování následujících dvou případů:

  • Když se poštovní klient používá k připojení k Exchange Online se starším ověřováním, azure AD může obdržet adresu IPv6. Počáteční žádost o ověření přejde do Exchange a pak se proxiuje do Azure AD.
  • Pokud se v prohlížeči používá Outlook Web Access (OWA), bude pravidelně ověřovat všechny zásady podmíněného přístupu i nadále. Tato kontrola se používá k zachycení případů, kdy se uživatel mohl přesunout z povolené IP adresy na nové místo, jako je kavárna na ulici. V takovém případě se použije adresa IPv6 a pokud adresa IPv6 není v nakonfigurovaném rozsahu, může být relace přerušena a přesměrována zpět do Azure AD, aby se znovu neověřila.

Pokud používáte virtuální sítě Azure, budete mít provoz z adresy IPv6. Pokud máte provoz virtuální sítě blokovaný zásadami podmíněného přístupu, zkontrolujte přihlašovací protokol Azure AD. Jakmile zjistíte provoz, můžete získat použitou adresu IPv6 a vyloučit ji ze zásad.

Poznámka

Pokud chcete zadat rozsah CIDR PROTOKOLU IP pro jednu adresu, použijte masku /128 bitů. Pokud se zobrazí adresa IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a a chcete vyloučit tuto jednu adresu jako rozsah, použijte 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Co byste měli vědět

Kdy se vyhodnocuje umístění?

Zásady podmíněného přístupu se vyhodnocují, když:

  • Uživatel se zpočátku přihlásí k webové aplikaci, mobilní nebo desktopové aplikaci.
  • Mobilní nebo desktopová aplikace, která používá moderní ověřování, používá k získání nového přístupového tokenu obnovovací token. Ve výchozím nastavení je tato kontrola jednou za hodinu.

Tato kontrola znamená, že u mobilních a desktopových aplikací používajících moderní ověřování se během hodiny od změny síťového umístění zjistí změna umístění. Pro mobilní a desktopové aplikace, které nepoužívají moderní ověřování, se zásady použijí pro každou žádost o token. Frekvence požadavku se může lišit v závislosti na aplikaci. Podobně platí, že u webových aplikací se zásada použije při počátečním přihlášení a je vhodná pro dobu života relace ve webové aplikaci. Vzhledem k rozdílům v životnosti relací mezi aplikacemi se doba mezi vyhodnocením zásad také bude lišit. Pokaždé, když aplikace požádá o nový přihlašovací token, použije se zásada.

Azure AD ve výchozím nastavení vydává token po hodinách. Po přesunu z podnikové sítě se zásady vynucují do hodiny pro aplikace využívající moderní ověřování.

IP adresa uživatele

IP adresa použitá při vyhodnocování zásad je veřejná IP adresa uživatele. U zařízení v privátní síti tato IP adresa není IP adresa klienta zařízení uživatele v intranetu, je to adresa používaná sítí pro připojení k veřejnému internetu.

Hromadné nahrávání a stahování pojmenovaných umístění

Když vytváříte nebo aktualizujete pojmenovaná umístění pro hromadné aktualizace, můžete nahrát nebo stáhnout soubor CSV s rozsahy IP adres. Nahrání nahradí rozsahy IP adres v seznamu těmito rozsahy ze souboru. Každý řádek souboru obsahuje jeden rozsah IP adres ve formátu CIDR.

Cloudové proxy servery a sítě VPN

Při použití cloudového hostovaného proxy serveru nebo řešení VPN je IP adresa, kterou Azure AD používá při vyhodnocování zásady, IP adresou proxy serveru. Hlavička X-Forwarded-For (XFF), která obsahuje veřejnou IP adresu uživatele, se nepoužívá, protože neexistuje žádné ověření, že pochází z důvěryhodného zdroje, takže by se zobrazila metoda pro fakování IP adresy.

Pokud je spuštěný cloudový proxy server, je možné použít zásadu, která vyžaduje hybridní zařízení připojené k Azure AD, nebo interní deklarace identity corpnet ze služby AD FS.

Podpora rozhraní API a PowerShell

K dispozici je verze Preview Graph API pro pojmenovaná umístění. Další informace najdete v rozhraní API pro pojmenované umístění.

Další kroky