Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff

Richtlinien für bedingten Zugang sind in ihrer grundlegendsten Form eine if-then-Anweisung, die Signale kombiniert, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen. Eins dieser Signale ist der Standort.

Wie im Blogbeitrag IPv6 kommt zu Microsoft Entra ID, unterstützen wir jetzt IPv6 in Microsoft Entra-Diensten.

Organisationen können diese Standorte für gängige Aufgaben wie die folgenden nutzen:

• Das Vorschreiben von mehrstufiger Authentifizierung für Benutzer beim Zugriff auf einen Dienst, wenn sie sich außerhalb des Unternehmensnetzwerks befinden.
• Blockieren des Zugriffs für Benutzer, die aus bestimmten Ländern oder Regionen, in denen Ihr Unternehmen nicht tätig ist, auf einen Dienst zugreifen.

Der Standort wird anhand der öffentlichen IP-Adresse, die ein Client an Microsoft Entra ID übermittelt, oder anhand der GPS-Koordinaten, die von der Microsoft Authenticator-App bereitgestellt werden, ermittelt. Richtlinien für bedingten Zugriff werden standardmäßig auf alle IPv4- und IPv6-Adressen angewendet. Weitere Informationen zur IPv6-Unterstützung finden Sie im Artikel IPv6-Unterstützung in Microsoft Entra ID.

Tipp

Richtlinien für den bedingten Zugriff werden durchgesetzt, wenn die First-Factor-Authentifizierung abgeschlossen ist. Der bedingte Zugriff nicht ist als erste Abwehrmaßnahme einer Organisation für Szenarien wie Denial-of-Service-Angriffe (DoS) gedacht, sondern kann Signale von diesen Ereignissen nutzen, um den Zugriff zu bestimmen.

Benannte Orte

Speicherorte befinden sich unter Geschützter>bedingter Zugriff>Benannte Speicherorte. Diese benannten Netzwerkadressen können Standorte wie z. B. die Netzwerkbereiche des Hauptsitzes einer Organisation, VPN-Netzwerkbereiche oder Bereiche umfassen, die Sie blockieren möchten. Benannte Standorte sind durch IPv4- und IPv6-Adressbereiche oder durch Länder bzw. Regionen definiert.

IPv4- und IPv6-Adressbereiche

Zum Definieren eines benannten Standorts anhand von IPv4-/IPv6-Adressbereichen ist Folgendes erforderlich:

• Ein Name für den Standort
• Mindestens ein IP-Adressbereich
• Als vertrauenswürdigen Standort markieren (optional)

Benannte Speicherorte, die durch IPv4/IPv6-Adressbereiche definiert werden, unterliegen den folgenden Einschränkungen:

• Sie können bis zu 195 benannte Standorte konfigurieren.
• Sie können bis zu 2.000 IP-Adressbereiche pro benanntem Standort konfigurieren.
• Sowohl IPv4- als auch IPv6-Adressbereiche werden unterstützt.
• Die Anzahl von IP-Adressen innerhalb eines Bereichs ist begrenzt. Beim Konfigurieren eines IP-Adressbereichs sind nur CIDR-Masken größer als /8 zulässig.

Vertrauenswürdige Standorte

Standorte wie die öffentlichen Netzwerkbereiche Ihrer Organisation können als vertrauenswürdig markiert werden. Diese Markierung wird von Features auf verschiedene Arten verwendet.

• Richtlinien für bedingten Zugriff können diese Standorte einschließen oder ausschließen.
• Die Anmeldung von vertrauenswürdigen benannten Standorten verbessert die Genauigkeit der Risikoberechnung von MIcrosoft Entra ID Protection. Außerdem wird das Anmelderisiko von Benutzern verringert, wenn sie sich von einem als vertrauenswürdig gekennzeichneten Standort authentifizieren.
• Als vertrauenswürdig markierte Speicherorte können nicht gelöscht werden. Entfernen Sie die vertrauenswürdige Bezeichnung, bevor Sie versuchen zu löschen.

Warnung

Auch wenn Sie das Netzwerk kennen und es als vertrauenswürdig markieren, bedeutet dies nicht, dass Sie es von der Anwendung der Richtlinien ausschließen sollten. Die explizite Überprüfung ist ein Kernprinzip einer Zero Trust-Architektur. Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre Organisation an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.

Länder/Regionen

Organisationen können den Standort des Landes/der Region anhand der IP-Adresse oder GPS-Koordinaten bestimmen.

Zum Definieren eines benannten Standorts anhand eines Landes oder einer Region ist Folgendes erforderlich:

• Ein Name für den Standort
• Auswählen, ob der Standort anhand der IP-Adresse oder GPS-Koordinaten bestimmt werden soll
• Fügen Sie mindestens ein Land oder mindestens eine Region hinzu.
• Auswahl von Unbekannte Länder/Regionen einbeziehen (optional)

Wenn Sie Standort anhand der IP-Adresse bestimmen auswählen, erfasst das System die IP-Adresse des Geräts, bei dem sich der Benutzer anmelden möchte. Wenn Benutzer sich anmelden, löst Microsoft Entra ID ihre IPv4- oder IPv6-Adresse (ab dem 3. April 2023) in ein Land oder eine Region auf, und die Zuordnung wird regelmäßig aktualisiert. Organisationen können durch Länder/Regionen definierte benannte Standorte verwenden, um Datenverkehr aus Ländern/Regionen zu blockieren, in denen sie nicht tätig sind.

Wenn Sie Standort anhand von GPS-Koordinaten bestimmen auswählen, muss die Microsoft Authenticator-App auf dem mobilen Gerät des Benutzers installiert sein. Die Microsoft Authenticator-App des Benutzers wird vom System stündlich kontaktiert, um den GPS-Standort des mobilen Geräts des Benutzers zu erfassen.

Wenn der Benutzer seinen Standort zum ersten Mal über die Microsoft Authenticator-App übermitteln muss, erhält er eine Benachrichtigung in der App. Der Benutzer muss die App öffnen und Standortberechtigungen erteilen. Wenn der Benutzer in den nächsten 24 Stunden immer noch auf die Ressource zugreift und der App die Berechtigung erteilt hat, im Hintergrund ausgeführt zu werden, wird der Standort des Geräts einmal pro Stunde automatisch übermittelt.

• Nach 24 Stunden muss der Benutzer die App öffnen und die Benachrichtigung genehmigen.
• Benutzer, die einen Zahlenabgleich oder zusätzlichen Kontext in der Microsoft Authenticator-App aktiviert haben, erhalten automatisch keine Benachrichtigungen und müssen die App öffnen, um Benachrichtigungen zu genehmigen.

Jedes Mal, wenn der Benutzer seinen GPS-Standort übermittelt, führt die App die Jailbreakerkennung durch (mit der gleichen Logik wie das Intune MAM SDK). Wenn das Gerät einen Jailbreak aufweist, wird der Standort nicht als gültig betrachtet, und dem Benutzer wird kein Zugriff gewährt. Die Microsoft Authenticator-App für Android verwendet die Google Play Integrity API, um Jailbreaks zu erkennen. Wenn die Google Play Integrity API nicht verfügbar ist, wird die Anforderung abgelehnt, und der Benutzer kann nicht auf die angeforderte Ressource zugreifen, es sei denn, die Richtlinie für bedingten Zugriff ist deaktiviert. Weitere Informationen zur Microsoft Authenticator-App finden Sie unter Häufig gestellte Fragen zur Microsoft Authenticator-App.

Hinweis

Eine Richtlinie für bedingten Zugriff mit GPS-basierten benannten Standorten im Modus „Nur melden“ fordert Benutzer auf, ihren GPS-Standort zu übermitteln, auch wenn sie nicht von der Anmeldung blockiert sind.

Der GPS-Standort funktioniert nicht mit kennwortlosen Authentifizierungsmethoden.

Benutzer*innen werden möglicherweise von mehreren Richtlinien für bedingten Zugriff zur Mitteilung des GPS-Standorts aufgefordert, bevor alle Richtlinien angewendet werden. Aufgrund der Art der Anwendung von Richtlinien für bedingten Zugriff kann einem bzw. einer Benutzer*in der Zugriff verweigert werden, wenn die Standortprüfung bestanden, eine andere Richtlinie aber nicht bestanden wird. Weitere Informationen zur Richtlinienerzwingung finden Sie im Artikel zum Erstellen einer Richtlinie für bedingten Zugriff.

Wichtig

Benutzer erhalten in der Authenticator-App unter Umständen stündlich Aufforderungen mit dem Hinweis, dass ihr Standort von Microsoft Entra ID überprüft wird. Die Vorschauversion sollte nur verwendet werden, um sehr sensible Apps zu schützen, bei denen dieses Verhalten akzeptabel ist oder der Zugriff auf ein bestimmtes Land oder eine bestimmte Region beschränkt werden muss.

Ablehnen von Anforderungen mit geändertem Speicherort

Benutzer können den von iOS- und Android-Geräten gemeldeten Speicherort ändern. Daher aktualisiert Microsoft Authenticator seine Sicherheitsgrundwerte für LBAC-Richtlinien. Authenticator verweigert Authentifizierungen, bei denen der bzw. die Benutzer*in möglicherweise einen anderen Ort als den tatsächlichen GPS-Standort des mobilen Geräts verwendet, auf dem Authenticator installiert ist.

In der November 2023-Version von Authenticator erhalten Benutzer*innen, die den Standort ihres Geräts ändern, eine Verweigerungsmeldung in Authenticator, wenn sie die standortbasierte Authentifizierung ausprobieren. Ab Januar 2024 werden alle Benutzer*innen, die ältere Authenticator-Versionen ausführen, für die standortbasierte Authentifizierung blockiert:

• Authenticator Version 6.2309.6329 oder früher unter Android
• Authenticator Version 6.7.16 oder früher unter iOS

Verwenden Sie Microsft Graph-APIs, um zu ermitteln, welche Benutzer*innen ältere Versionen von Authenticator ausführen.

Unbekannte Länder/Regionen einbeziehen

Manche IP-Adressen lassen sich keinem bestimmten Land und keiner bestimmten Region zuordnen. Aktivieren Sie beim Definieren eines geografischen Standorts das Kontrollkästchen Unbekannte Länder/Regionen einbeziehen, um diese IP-Standorte zu erfassen. Mithilfe dieser Option können Sie auswählen, ob der benannte Standort diese IP-Adressen umfassen soll. Verwenden Sie diese Einstellung, wenn die Richtlinie für den benannten Standort auch für unbekannte Standorte gelten soll.

Konfigurieren durch MFA bestätigter IP-Adressen

Ferner können Sie in den Einstellungen für den mehrstufigen Authentifizierungsdienst IP-Adressbereiche konfigurieren, die das lokale Intranet Ihrer Organisation darstellen. Mithilfe dieser Funktion können Sie bis zu 50 IP-Adressbereiche konfigurieren. Die IP-Adressbereiche müssen im CIDR-Format angegeben werden. Weitere Informationen finden Sie unter Vertrauenswürdige IP-Adressen.

Wenn Sie vertrauenswürdige IP-Adressen konfiguriert haben, werden diese in der Liste der Standorte für die Standortbedingung als Durch MFA bestätigte IP-Adressen angezeigt.

Überspringen der Multi-Faktor-Authentifizierung

Auf der Einstellungsseite für den mehrstufigen Authentifizierungsdienst können Sie Benutzer aus dem Unternehmensintranet identifizieren, indem Sie Für Anforderungen von Partnerbenutzern in meinem Intranet die mehrstufige Authentifizierung überspringen aktivieren. Diese Einstellung gibt an, dass der Anspruch innerhalb des Unternehmensnetzwerks, der von AD FS ausgestellt wird, als vertrauenswürdig angesehen und dazu verwendet wird, den Benutzer als innerhalb des Unternehmensnetzwerks ansässig zu erkennen. Weitere Informationen finden Sie unter Aktivieren des Features vertrauenswürdige IPs beim bedingten Zugriff.

Nach dem Aktivieren wird diese Option, einschließlich des benannten Standorts Durch MFA bestätigte IP-Adressen, auf alle Richtlinien angewendet, für die diese Option ausgewählt ist.

Für mobile und Desktopanwendungen mit langer Sitzungslebensdauer wird der bedingte Zugriff in regelmäßigen Abständen neu ausgewertet. Die Standardeinstellung ist einmal pro Stunde. Wenn der Anspruch innerhalb des Unternehmensnetzwerks nur zum Zeitpunkt der erstmaligen Authentifizierung ausgegeben wird, verfügen wir möglicherweise nicht über eine Liste der vertrauenswürdigen IP-Bereiche. In diesem Fall ist die Bestimmung, ob sich der Benutzer noch im Unternehmensnetzwerk befindet, schwieriger:

1. Überprüfen Sie, ob die IP-Adresse des Benutzers in einem der vertrauenswürdigen IP-Bereiche liegt.
2. Überprüfen Sie, ob die ersten drei Oktette der IP-Adresse des Benutzers mit den ersten drei Oktetten der IP-Adresse der ersten Authentifizierung übereinstimmen. Die IP-Adresse wird mit der ersten Authentifizierung zu dem Zeitpunkt verglichen, zu dem der Anspruch innerhalb des Unternehmensnetzwerks ursprünglich ausgestellt und der Benutzerstandort überprüft wurde.

Wenn bei beiden Schritten ein Fehler auftritt, wird ein Benutzer nicht mehr als vertrauenswürdige IP angesehen.

Definieren von Standorten

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Administrator für bedingten Zugriff an.
2. Browsen Sie zuSchutz>Bedingter Zugriff>Benannte Standorte.
3. Wählen Sie Neuer Standort aus.
4. Benennen Sie den Standort.
5. Wählen Sie IP-Bereiche aus, wenn Sie die spezifischen extern zugänglichen IPv4-Adressbereiche kennen, die diesen Standort definieren, oder wählen Sie Länder/Regionen.
   1. Geben Sie die IP-Bereiche an, oder wählen Sie die Länder/Regionen für den von Ihnen angegebenen Standort aus.
      • Wenn Sie „Länder/Regionen“ auswählen, können Sie optional auch unbekannte Gebiete einbeziehen.
6. Wählen Sie Speichern aus.

Standortbedingung in Richtlinie

Beim Konfigurieren der Standortbedingung können Sie zwischen folgenden Elementen unterscheiden:

• Jeden beliebigen Speicherort
• Alle vertrauenswürdigen Speicherorte
• Alle kompatiblen Netzwerkadressen
• Ausgewählte Speicherorte

Jeden beliebigen Speicherort

Standardmäßig bewirkt das Aktivieren von Alle Standorte, dass eine Richtlinie auf alle IP-Adressen angewendet wird – und das bedeutet jede beliebige Adresse im Internet. Diese Einstellung ist nicht auf IP-Adressen beschränkt, die von Ihnen als benannter Standort konfiguriert wurden. Wenn Sie Alle Standorte aktivieren, können Sie bestimmte Standorte trotzdem noch von einer Richtlinie ausschließen. Beispielsweise können Sie eine Richtlinie auf alle Standorte mit Ausnahme vertrauenswürdiger Standorte anwenden, um den Geltungsbereich auf alle Standorte mit Ausnahme des Unternehmensnetzwerks festzulegen.

Alle vertrauenswürdigen Speicherorte

Diese Option gilt für:

• Alle als vertrauenswürdig markierten Standorte
• Durch MFA bestätigte IP-Adressen (sofern konfiguriert)

Vertrauenswürdige IP-Adressen für Multi-Faktor-Authentifizierung

Die Verwendung des Abschnitts mit vertrauenswürdigen IP-Adressen in den Diensteinstellungen der Multi-Faktor-Authentifizierung wird nicht mehr empfohlen. Dieses Steuerelement akzeptiert nur IPv4-Adressen und sollte nur für bestimmte Szenarien verwendet werden, die im Artikel Konfigurieren von Mircosoft-Entra-Multi-Factor Authentication-Einstellungen erläutert werden.

Wenn Sie diese vertrauenswürdige IP-Adressen konfiguriert haben, werden sie in der Liste der Standorte für die Standortbedingung als Durch MFA bestätigte IP-Adressen angezeigt.

Alle kompatiblen Netzwerkadressen

Bei Organisationen mit Zugriff auf die Previewfunktionen „Global sicherer Zugriff“ wird ein weiterer Standort aufgeführt, der aus den Benutzer*innen und Geräten besteht, die den Sicherheitsrichtlinien Ihrer Organisation entsprechen. Weitere Informationen finden Sie im Abschnitt Aktivieren der Global Secure Access-Signalisierung für bedingten Zugriff. Sie kann bei Richtlinien für bedingten Zugriff verwendet werden, um eine konforme Netzwerküberprüfung für den Zugriff auf Ressourcen durchzuführen.

Ausgewählte Speicherorte

Mit dieser Option können Sie einen oder mehrere benannte Speicherorte auswählen. Damit eine Richtlinie mit dieser Einstellung gilt, muss ein Benutzer von einem der ausgewählten Standorte aus eine Verbindung herstellen. Wenn Sie auf Auswählen klicken, wird das Steuerelement für die Auswahl von benannten Netzwerken geöffnet und zeigt die Liste der benannten Netzwerke an. In dieser Liste ist außerdem zu sehen, ob der Netzwerkstandort als vertrauenswürdig gekennzeichnet ist.

IPv6-Datenverkehr

Richtlinien für bedingten Zugriff gelten für den gesamten IPv4- undIPv6-Datenverkehr (ab dem 3. April 2023).

Identifizieren von IPv6-Datenverkehr in den Microsoft Entra-Anmeldeaktivitätsberichten

Sie können den IPv6-Datenverkehr in Ihrem Mandanten ermitteln, indem Sie die Microsoft Entra-Anmeldeaktivitätsberichte aufrufen. Öffnen Sie den Aktivitätsbericht, und fügen Sie die Spalte „IP-Adresse“ sowie im Feld einen Doppelpunkt (:) hinzu. Dieser Filter hilft dabei, IPv6-Datenverkehr von IPv4-Datenverkehr zu unterscheiden.

Sie können auch nach der Client-IP-Adresse suchen, indem Sie auf eine Zeile im Bericht klicken und dann in den Details der Anmeldeaktivität zur Registerkarte „Standort“ wechseln.

Hinweis

IPv6-Adressen von Dienstendpunkten werden möglicherweise aufgrund der Art und Weise, wie sie den Datenverkehr handhaben, in den Anmeldeprotokollen mit Fehlern angezeigt. Beachten Sie unbedingt, dass Dienstendpunkte nicht unterstützt werden. Wenn Benutzer*innen diese IPv6-Adressen sehen, entfernen Sie den Dienstendpunkt aus ihrer Subnetzkonfiguration des virtuellen Netzwerks.

Wichtige Informationen

Cloud-Proxys und VPNs

Wenn Sie einen in der Cloud gehosteten Proxy oder eine VPN-Lösung verwenden, ist die von Microsoft Entra ID bei der Auswertung einer Richtlinie verwendete IP-Adresse die IP-Adresse des Proxys. Der XFF-Header (X-Forwarded-For), der die öffentliche IP-Adresse des Benutzers enthält, wird nicht verwendet, da es keine Überprüfung gibt, ob er aus einer vertrauenswürdigen Quelle stammt, sodass er ein Verfahren zum Fälschen einer IP-Adresse darstellen kann.

Wenn ein Cloudproxy eingerichtet ist, ist eine Richtlinie, die ein in Microsoft Entra eingebundenes oder kompatibles Hybridgerät erfordert, u.U. einfacher zu handhaben. Eine Liste der IP-Adressen, die von Ihrem in der Cloud gehosteten Proxy oder der VPN-Lösung verwendet werden, auf dem neuesten Stand zu halten, kann nahezu unmöglich sein.

Wir empfehlen, dass Organisationen Global Secure Access zum Aktivieren der Quell-IP-Wiederherstellung nutzen, um diese Adressänderung zu vermeiden und die Verwaltung zu vereinfachen.

Wann wird ein Standort ausgewertet?

Richtlinien für bedingten Zugriff werden in diesen Situationen ausgewertet:

• Ein Benutzer meldet sich zum ersten Mal an einer Web-App, mobilen Anwendung oder Desktopanwendung an.
• Für eine mobile Anwendung oder Desktopanwendung, für die die moderne Authentifizierung verwendet wird, wird ein Aktualisierungstoken zum Beschaffen eines neuen Zugriffstokens genutzt. Standardmäßig erfolgt diese Überprüfung einmal pro Stunde.

Für mobile Anwendungen und Desktopanwendungen mit moderner Authentifizierung bedeutet diese Überprüfung, dass eine Änderung des Netzwerkstandorts innerhalb von einer Stunde erkannt wird. Wenn für mobile Anwendungen und Desktopanwendungen keine moderne Authentifizierung genutzt wird, wird die Richtlinie bei jeder Tokenanforderung angewendet. Die Häufigkeit der Anforderung kann basierend auf der Anwendung variieren. Ebenso wird die Richtlinie für Webanwendungen bei der ersten Anmeldung angewendet und gilt für die Lebensdauer der Webanwendungssitzung. Aufgrund der unterschiedlichen Sitzungslebensdauern von Anwendungen variiert der Zeitraum zwischen den Richtlinienauswertungen. Die Richtlinie wird jedes Mal angewendet, wenn die Anwendung ein neues Anmeldetoken anfordert.

Standardmäßig stellt Microsoft Entra ID stündlich ein Token aus. Nachdem Benutzer das Unternehmensnetzwerk verlassen haben, wird die Richtlinie für Anwendungen mit moderner Authentifizierung innerhalb einer Stunde erzwungen.

Benutzer-IP-Adresse

Die IP-Adresse, die in der Auswertung der Richtlinie verwendet wird, ist die öffentliche IPv4-oder IPv6--Adresse des Benutzers. Bei Geräten in einem privaten Netzwerk ist diese IP-Adresse nicht die Client-IP des Geräts des Benutzers im Intranet, sondern die vom Netzwerk für das Herstellen der Verbindung mit dem öffentlichen Internet verwendete Adresse.

Wann sollten Sie Standorte blockieren?

Eine Richtlinie, die die Standortbedingung verwendet, um den Zugriff zu blockieren, gilt als restriktiv und sollte nach gründlichen Tests mit Sorgfalt durchgeführt werden. Beispiele für die Verwendung der Standortbedingung zum Blockieren der Authentifizierung:

• Blockieren von Ländern/Regionen, in denen Ihr Unternehmen nie tätigt ist.
• Blockieren bestimmter IP-Bereiche wie:
  • Bekannte schädliche IP-Adressen, bevor eine Firewallrichtlinie geändert werden kann.
  • Für hochsensible oder privilegierte Aktionen und Cloudanwendungen.
  • Basierend auf dem benutzerspezifischen IP-Bereich wie dem Zugriff auf Buchhaltungs- oder Gehaltsabrechnungsanwendungen.

Ausschluss von Benutzern

Richtlinien für bedingten Zugriff sind leistungsstarke Tools, daher wird empfohlen, die folgenden Konten von Ihren Richtlinien auszuschließen:

• Notfallzugriffs- oder Break-Glass-Konten, um eine mandantenweite Kontosperrung zu vermeiden. In dem unwahrscheinlichen Fall, dass alle Administrator*innen aus dem Mandanten ausgeschlossen sind, können Sie sich mit Ihrem Administratorkonto für den Notfallzugriff beim Mandanten anmelden und Maßnahmen ergreifen, um den Zugriff wiederherzustellen.
  • Weitere Informationen finden Sie im Artikel Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID.
• Dienstkonten und Dienstprinzipale, z. B. das Konto für die Microsoft Entra Connect-Synchronisierung. Dienstkonten sind nicht interaktive Konten, die nicht an einen bestimmten Benutzer gebunden sind. Sie werden normalerweise von Back-End-Diensten verwendet, die den programmatischen Zugriff auf Anwendungen ermöglichen, aber auch für die Anmeldung bei Systemen zu Verwaltungszwecken. Derartige Dienstkonten sollten ausgeschlossen werden, weil die MFA nicht programmgesteuert abgeschlossen werden kann. Aufrufe, die von Dienstprinzipalen getätigt werden, werden nicht durch Richtlinien für den bedingten Zugriff blockiert, die für Benutzer gelten. Verwenden Sie den bedingten Zugriff für Workload-Identitäten, um Richtlinien für Dienstprinzipale zu definieren.
  • Wenn Ihre Organisation diese Konten in Skripts oder Code verwendet, sollten Sie in Betracht ziehen, diese durch verwaltete Identitäten zu ersetzen. Als vorübergehende Problemumgehung können Sie diese spezifischen Konten aus der Basisrichtlinie ausschließen.

Massenhoch- und -herunterladen von benannten Standorten

Beim Erstellen oder Aktualisieren benannter Standorte können Sie für eine Massenaktualisierung eine CSV-Datei mit den IP-Adressbereichen hoch- oder herunterladen. Bei einem Upload werden die IP-Adressbereiche in der Liste durch die Bereiche aus der Datei ersetzt. Jede Zeile der Datei enthält einen IP-Adressbereich im CIDR-Format.

API-Unterstützung und PowerShell

Eine Vorschauversion der Graph-API für benannte Standorte ist verfügbar. Weitere Informationen finden Sie unter namedLocation-API.

Nächste Schritte

• Informationen zum Konfigurieren einer exemplarischen Richtlinie für bedingten Zugriff mithilfe des Standorts finden Sie im Artikel Bedingter Zugriff: Blockieren des Zugriffs nach Standort.