A hely feltételének használata feltételes hozzáférési szabályzatban

Ahogy az áttekintő cikkben is olvasható, a feltételes hozzáférési szabályzatok a jelek kombinálásával, a döntéshozatal és a szervezeti szabályzatok betartatása érdekében a legapvetőbb, "if-then" utasításokkal hajtják végre. Ezen jelek egyike, amely beépíthető a döntéshozatali folyamatba, a hely.

Conceptual Conditional signal plus decision to get enforcement

A szervezetek ezt a helyet a következő gyakori feladatokhoz használhatja:

  • Többtényezős hitelesítés megkövetelása a szolgáltatáshoz hozzáférő felhasználók számára, amikor nem a vállalati hálózaton vannak.
  • Adott országokból vagy régiókból származó szolgáltatásokhoz hozzáférő felhasználók hozzáférésének letiltása.

A helyet az ügyfél által az alkalmazás által megadott nyilvános IP-Azure Active Directory az alkalmazás által megadott GPS Microsoft Authenticator koordináták határozzák meg. A feltételes hozzáférési szabályzatok alapértelmezés szerint minden IPv4- és IPv6-címre érvényesek.

Nevesített helyek

A helyek neve a Azure Portal a Azure Active Directoryfeltételes hozzáférés neves helyek alatt található. Ezek az elnevezett hálózati helyek olyan helyeket tartalmazhatnak, mint a szervezet központi hálózatának tartományai, VPN-hálózati tartományok vagy blokkolni kívánt tartományok. A megnevezett helyeket IPv4/IPv6-címtartományok vagy országok definiálják.

Named locations in the Azure portal

IP-címtartományok

Az IPv4/IPv6-címtartományok alapján elnevezett hely meghatározásához meg kell adnia a következő adatokat:

  • A hely neve
  • Egy vagy több IP-címtartomány
  • Választható megjelölés megbízható helyként

New IP locations in the Azure portal

Az IPv4/IPv6-címtartományok által meghatározott nevestűdő helyekre a következő korlátozások vonatkoznak:

  • Legfeljebb 195 megnevezett hely konfigurálása
  • Névvel megadott helyenként legfeljebb 2000 IP-címtartomány konfigurálása
  • Az IPv4- és az IPv6-tartományok is támogatottak
  • A magánhálózati IP-címtartományok nem konfigurálhatóak
  • A tartományokban található IP-címek száma korlátozott. IP-címtartomány meghatározásakor csak a /8-asnál nagyobb CIDR-maszkok engedélyezettek.

Megbízható helyek

A rendszergazdák elnevezett helyeknek nevezik el az IP-címtartományok által meghatározott helyeket.

A megbízható megnevezett helyekről való bejelentkezések javítják a Azure AD Identity Protection kockázatszámításának pontosságát, csökkentve a felhasználó bejelentkezési kockázatát, amikor megbízhatóként megjelölt helyről hitelesít. Emellett a megbízható elnevezett helyek a feltételes hozzáférési szabályzatok között is célzottak. Korlátozhatja például a többtényezős hitelesítés regisztrációját megbízható helyekre.

Országok

A szervezetek IP-cím vagy GPS-koordináták alapján határozzák meg az ország helyét.

A nevestűs hely országonkénti meghatározásához meg kell adnia a következő adatokat:

  • A hely neve
  • A hely meghatározása IP-cím vagy GPS-koordináták alapján
  • Egy vagy több ország hozzáadása
  • Ha nem kötelező, válassza az Ismeretlen országok/régiók lehetőséget

Country as a location in the Azure portal

Ha a Hely meghatározása IP-cím alapján (csak IPv4 esetén)lehetőséget választja, a rendszer összegyűjti annak az eszköznek az IP-címét, amelybe a felhasználó bejelentkezik. Amikor egy felhasználó bejelentkezik, az Azure AD egy országra vagy régióra oldja fel a felhasználó IPv4-címét, és a leképezés rendszeres időközönként frissül. A szervezetek az országok által meghatározott megnevezett helyeket használhatnak az olyan országból származó forgalom blokkolása érdekében, ahol nem üzleti tevékenységekkel is rendelkezik.

Megjegyzés

Az IPv6-címekről való bejelentkezések nem leképezhetőek országokra vagy régiókra, és ismeretlen területnek számítanak. Csak IPv4-címek leképezését lehet országokra vagy régiókra.

Ha a Hely meghatározása GPS-koordinátákalapján lehetőséget választja, a felhasználónak telepítenie kell Microsoft Authenticator alkalmazást a mobileszközére. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazással, és begyűjti a felhasználó mobileszközének GPS-helyét.

Amikor a felhasználónak először kell megosztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, a felhasználó értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnunk.

Ha a következő 24 órában a felhasználó továbbra is hozzáfér az erőforráshoz, és a háttérben futtatja az alkalmazást, az eszköz helye csendesen, óránként egyszer lesz megosztva. 24 óra múlva a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést. Minden alkalommal, amikor a felhasználó megosztja a GPS-helyét, az alkalmazás jailbreakelést észlel (az Intune MAM SDK-val azonos logikát használva). Ha az eszköz jailbroked, a hely nem számít érvényesnek, és a felhasználó nem kap hozzáférést.

A csak jelentési módban található GPS-alapú, névvel elnevezett helyeket használó feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy osszák meg a GPS-helyüket annak ellenére, hogy a bejelentkezés nincs letiltva.

A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.

Több feltételes hozzáférési szabályzat alkalmazása is kérheti a felhasználókat a GPS-helyükről az összes feltételes hozzáférési szabályzat alkalmazása előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt a rendszer megtagadhatja a hozzáférést a felhasználótól, ha átesik a helyellenőrzésen, de nem sikerül egy másik szabályzat. A szabályzatok betartatásról a Feltételes hozzáférési szabályzat kiépítése cikkben talál további információt.

Fontos

A felhasználók óránként kaphatnak kéréseket, amelyek tudatják velük, hogy az Azure AD ellenőrzi a tartózkodási Authenticator alkalmazásban. Az előzetes verzió csak olyan nagyon bizalmas alkalmazások védelmére használható, ahol ez elfogadható, vagy ha a hozzáférést egy adott országra/régióra kell korlátozni.

Ismeretlen országok/régiók

Egyes IP-címek nincsenek leképezve egy adott országra vagy régióra, beleértve az összes IPv6-címet is. Az IP-helyek rögzítéséhez jelölje be az Ismeretlen országok/régiók is jelölőnégyzetet a földrajzi hely meghatározásakor. Ezzel a beállítással megadhatja, hogy ezek az IP-címek bekerülnek-e a megnevezett helyre. Akkor használja ezt a beállítást, ha a megnevezett helyet használó szabályzatnak ismeretlen helyekre kell vonatkozni.

MFA megbízható IP-k konfigurálása

A multi-factor authentication szolgáltatás beállításaiban a szervezet helyi intranetét képviselő IP-címtartományokat is konfigurálhat. Ezzel a funkcióval legfeljebb 50 IP-címtartományt konfigurálható. Az IP-címtartományok CIDR formátumban vannak. További információ: Megbízható IP-k.

Ha konfigurálva vannak a megbízható IP-k, azok MFA-ként megbízható IP-kként megjelenik a hely feltétel helyének listájában.

Többtényezős hitelesítés kihagyása

A multi-factor authentication szolgáltatás beállításainak lapján a Vállalati intranetes felhasználók azonosításához jelölje be a Többtényezős hitelesítés kihagyása összevont felhasználóktól az intraneten található kérések esetén lehetőséget. Ez a beállítás azt jelzi, hogy a AD FS által kiadott vállalati hálózaton belüli jogcímet megbízhatónak kell lennie, és annak azonosítására kell használni, hogy a felhasználó a vállalati hálózaton legyen. További információ: Megbízható IP-k engedélyezése feltételes hozzáféréssel.

A beállítás ellenőrzése után, beleértve a neves helyet, az MFA megbízható IP-eket is, minden olyan szabályzatra vonatkozni fog, amely ezt a beállítást választja.

A hosszú élettartamú mobil- és asztali alkalmazások esetében a feltételes hozzáférés rendszeres időközönként újra ki lesz értékelve. Az alapértelmezett érték óránként egyszer. Ha a vállalati hálózaton belüli jogcímet csak a kezdeti hitelesítéskor állítják ki, előfordulhat, hogy az Azure AD nem tartalmazza a megbízható IP-tartományok listáját. Ebben az esetben nehezebb megállapítani, hogy a felhasználó még mindig a vállalati hálózaton van-e:

  1. Ellenőrizze, hogy a felhasználó IP-címe a megbízható IP-tartományok egyikében van-e.
  2. Ellenőrizze, hogy a felhasználó IP-címének első három oktett-e megegyezik-e a kezdeti hitelesítés IP-címének első három oktettjével. A rendszer összehasonlítja az IP-címet a kezdeti hitelesítéssel, amikor a vállalati hálózaton belüli jogcímet eredetileg kiállították, és a felhasználói helyet ellenőrizték.

Ha mindkét lépés sikertelen, a rendszer úgy tekint a felhasználót, hogy már nem megbízható IP-címről van szó.

Hely feltétele a szabályzatban

A hely feltételének konfigurálásakor a következő különbségeket különböztetheti meg:

  • Bármely hely
  • Minden megbízható hely
  • Kiválasztott helyek

Bármely hely

Alapértelmezés szerint a Bármely hely lehetőség választásával egy szabályzat lesz alkalmazva az összes IP-címre, ami azt jelenti, hogy az interneten található bármely cím. Ez a beállítás nem korlátozódik a megnevezett helyként konfigurált IP-címekre. Ha a Bármely hely lehetőséget választja,továbbra is kizárhat bizonyos helyeket a szabályzatból. Alkalmazhat például egy szabályzatot a megbízható helyek kivételével minden helyre, hogy a hatókört a vállalati hálózat kivételével minden helyre beállítsa.

Minden megbízható hely

Ez a beállítás a következőkre vonatkozik:

  • Minden hely, amely megbízható helyként lett megjelölve
  • MFA megbízható IP-k (ha be van állítva)

Kiválasztott helyek

Ezzel a lehetőséggel kiválaszthat egy vagy több elnevezett helyet. Az ezzel a beállítással beállított szabályzatok csak akkor alkalmazhatók, ha a felhasználó a kiválasztott helyek bármelyikéről csatlakozik. Amikor kiválasztja a megnevezett hálózatok listáját bemutató elnevezett hálózatválasztási vezérlőt, megnyílik. A lista azt is megjeleníti, hogy a hálózati hely megbízhatóként lett-e megjelölve. Az MFA megbízható IP-címek nevű elnevezett hely tartalmazza a többtényezős hitelesítési szolgáltatás beállítási oldalán konfigurálható IP-beállításokat.

IPv6-forgalom

Alapértelmezés szerint a feltételes hozzáférési szabályzatok az összes IPv6-forgalomra érvényesek. Kizárhat bizonyos IPv6-címtartományokat a feltételes hozzáférési szabályzatból, ha nem szeretné, hogy a házirendek adott IPv6-tartományokra vonatkozzon. Ha például nem szeretne szabályzatot kikényszeríteni a vállalati hálózaton való használatra, és a vállalati hálózat nyilvános IPv6-tartományokon üzemel.

IPv6-forgalom azonosítása az Azure AD bejelentkezési tevékenységjelentéseiben

Az IPv6-forgalmat a bérlőben az Azure AD bejelentkezési tevékenységjelentéseiben derítheti fel. Miután megnyitotta a tevékenységjelentést, adja hozzá az "IP-cím" oszlopot. Ebben az oszlopban azonosíthatja az IPv6-forgalmat.

Az ügyfél IP-címét úgy is megkeresheti, ha a jelentés egy sorára kattint, majd a bejelentkezési tevékenység részletei között a "Hely" lapra lép.

Mikor lesz IPv6-forgalom a bérlőmben?

Azure Active Directory (Azure AD) jelenleg nem támogatja az IPv6-ot tartalmazó közvetlen hálózati kapcsolatokat. Vannak azonban olyan esetek, amikor a hitelesítési forgalom egy másik szolgáltatáson keresztül van proxyn keresztül. Ezekben az esetekben az IPv6-cím lesz használva a szabályzat kiértékelése során.

Az Azure AD-hez proxyn keresztüli IPv6-forgalom nagy része a Microsoft Exchange Online. Ha elérhető, a Exchange az IPv6-kapcsolatokat részesíti előnyben. Ha tehát a Exchange feltételes hozzáférési szabályzatai adott IPv4-tartományokhoz vannak konfigurálva, győződjön meg arról, hogy a szervezet IPv6-tartományokat is hozzáadta. Ha nem tartalmazza az IPv6-tartományokat, az nem várt működést okoz a következő két esetben:

  • Ha egy levelezési ügyféllel csatlakozik az Exchange Online-hitelesítéssel, előfordulhat, hogy az Azure AD IPv6-címet kap. A kezdeti hitelesítési kérelem a Exchange, majd az Azure AD-hez kerül.
  • Amikor Outlook webes elérést (OWA) használ a böngészőben, rendszeres időközönként ellenőrzi, hogy az összes feltételes hozzáférési szabályzat továbbra is teljesül-e. Ez az ellenőrzés olyan esetekre használható, amikor egy felhasználó egy engedélyezett IP-címről egy új helyre helyezték át, például az utca egyik kávézójában. Ebben az esetben, ha IPv6-címet használ, és az IPv6-cím nem egy konfigurált tartományban van, előfordulhat, hogy a felhasználó munkamenete megszakadt, és vissza lesz irányítva az Azure AD-be az újbóli hitelesítéshez.

Ha Azure-beli virtuális hálózatokat használ, akkor egy IPv6-címről érkező forgalom lesz. Ha feltételes hozzáférési szabályzat blokkolja a virtuális hálózati forgalmat, ellenőrizze az Azure AD bejelentkezési naplóját. Miután azonosította a forgalmat, lekértheti a használt IPv6-címet, és kizárhatja azt a szabályzatból.

Megjegyzés

Ha egyetlen címhez szeretne IP CIDR-tartományt megadni, alkalmazza a /128 bites maszkot. Ha a 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a IPv6-címet látja, és tartományként szeretné kizárni ezt az egyetlen címet, használja a következőt: 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Alapismeretek

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok a következő esetben vannak kiértékelve:

  • A felhasználó először egy webalkalmazásba, mobilalkalmazásba vagy asztali alkalmazásba jelentkezik be.
  • A modern hitelesítést használó mobil- vagy asztali alkalmazások frissítési jogkivonattal szereznek be új hozzáférési jogkivonatot. Alapértelmezés szerint ez az ellenőrzés óránként egyszer van beállítva.

Ez az ellenőrzés azt jelenti, hogy a modern hitelesítést használó mobil- és asztali alkalmazások esetében a rendszer a hálózati hely módosításától számított egy órán belül észleli a hely változását. A modern hitelesítést nem felhasználó mobil- és asztali alkalmazások esetén a szabályzat minden jogkivonat-kérelemre érvényes. A kérés gyakorisága az alkalmazástól függően változhat. Hasonlóképpen, webalkalmazások esetén a szabályzatot a rendszer a kezdeti bejelentkezéskor alkalmazza, és a webalkalmazás munkamenetének teljes élettartama alatt használható. Az alkalmazások munkamenet-élettartamának eltérései miatt a szabályzatok kiértékelése közötti idő is eltérő lesz. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a rendszer alkalmazza a szabályzatot.

Alapértelmezés szerint az Azure AD óránként ad ki jogkivonatot. A vállalati hálózatról való leköltöztés után egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.

Felhasználói IP-cím

A szabályzatok kiértékelése során használt IP-cím a felhasználó nyilvános IP-címe. Magánhálózati eszközök esetén ez az IP-cím nem a felhasználó intranetes eszközének ügyfél-IP-címe, hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím.

Megnevezett helyek tömeges feltöltése és letöltése

Elnevezett helyek létrehozásakor vagy frissítésekkor tömeges frissítésekhez feltölthet vagy letölthet egy CSV-fájlt az IP-címtartományokkal. A feltöltés lecseréli a listában található IP-címtartományokat a fájlból származó tartományokkal. A fájl minden egyes sorában egy CIDR formátumú IP-címtartomány található.

Felhőbeli proxyk és VPN-ek

Ha felhőben üzemeltetett proxyt vagy VPN-megoldást használ, az Azure AD a házirend kiértékeléskor használt IP-címe a proxy IP-címe. A rendszer nem használja a felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejlécet, mert nincs ellenőrzés arról, hogy megbízható forrásból származik, ezért ez egy módszert jelent az IP-címek megjátszatása céljából.

Ha felhőproxy van használatban, a hibrid Azure AD-hez csatlakozott eszközre vonatkozó szabályzat, vagy a vállalati hálózat belső jogcíme használható a AD FS.

API-támogatás és PowerShell

Elérhető a Graph API előzetes verziója a megnevezett helyekhez. További információért lásd: namedLocation API.

Következő lépések