A hely feltételének használata feltételes hozzáférési szabályzatban

A feltételes hozzáférési szabályzatok áttekintő cikkben leírtak szerint a feltételes hozzáférési szabályzatok a lehető legapvetőbbek a jelek kombinálásával, a döntések meghozatalával és a szervezeti szabályzatok betartatásával. A döntési folyamatba beépíthető jelek egyike a hely.

Fogalmi feltételes jel plusz döntés a kényszerítési folyamat érvénybe hozásában

A szervezetek a következő gyakori feladatokhoz használhatja ezt a helyet:

  • Többtényezős hitelesítés megkövetelve a szolgáltatáshoz hozzáférő felhasználók számára, amikor nem a vállalati hálózaton vannak.
  • Adott országból vagy régiókból származó szolgáltatásokhoz hozzáférő felhasználók hozzáférésének letiltása.

A helyet az ügyfél által az alkalmazás által megadott nyilvános IP-Azure Active Directory az alkalmazás által megadott GPS-koordináták Microsoft Authenticator határozzák meg. A feltételes hozzáférési szabályzatok alapértelmezés szerint minden IPv4- és IPv6-címre érvényesek.

Nevesített helyek

A helyek a következő helyeken vannak Azure Portal a Azure Active Directory feltételes hozzáférés neve > > > alatt. Ezek az elnevezett hálózati helyek olyan helyeket tartalmazhatnak, mint a szervezet központi hálózatának tartományai, VPN-hálózati tartományok vagy blokkolni kívánt tartományok. A megnevezett helyeket IPv4-/IPv6-címtartományok vagy országok definiálják.

Nevestűs helyek a Azure Portal

IP-címtartományok

Ha IPv4-/IPv6-címtartományok alapján meg kell adnia egy elnevezett helyet, meg kell adnia a következőt:

  • A hely neve
  • Egy vagy több IP-címtartomány
  • Megjelölhető megbízható helyként

Új IP-helyek a Azure Portal

Az IPv4-/IPv6-címtartományok által meghatározott elnevezett helyekre a következő korlátozások vonatkoznak:

  • Legfeljebb 195 elnevezett hely konfigurálása
  • Névvel megadott helyenként legfeljebb 2000 IP-címtartomány konfigurálása
  • Az IPv4- és az IPv6-tartományok is támogatottak
  • A magánhálózati IP-címtartományok nem konfigurálhatóak
  • A tartományokban található IP-címek száma korlátozott. IP-címtartomány meghatározásakor csak a /8-asnál nagyobb CIDR-maszkok engedélyezettek.

Megbízható helyek

A rendszergazdák IP-címtartományok által meghatározott helyeket jelölhet ki megbízhatónak megnevezett helyekként.

A megbízható megnevezett helyekről való bejelentkezések javítják a Azure AD Identity Protection kockázatszámításának pontosságát, csökkentve a felhasználó bejelentkezési kockázatát, amikor megbízhatóként megjelölt helyről hitelesít. Emellett a megbízható elnevezett helyek is célzottak a feltételes hozzáférési szabályzatok között. Korlátozhatja például a többtényezős hitelesítés regisztrációját megbízható helyekre.

Országok

A szervezetek IP-cím vagy GPS-koordináták alapján határozzák meg az ország helyét.

A nevestűs hely országonkénti meghatározásához meg kell adnia a következő adatokat:

  • A hely neve
  • A hely meghatározása IP-cím vagy GPS-koordináták alapján
  • Egy vagy több ország hozzáadása
  • Ha nem kötelező, válassza az Ismeretlen országok/régiók is lehetőséget.

Ország mint hely a Azure Portal

Ha a Hely meghatározása IP-cím alapján (csak IPv4 esetén) lehetőséget választja, a rendszer összegyűjti annak az eszköznek az IP-címét, amelybe a felhasználó bejelentkezik. Amikor egy felhasználó bejelentkezik, az Azure AD feloldja a felhasználó IPv4-címét egy országra vagy régióra, és a leképezés rendszeres időközönként frissül. A szervezetek az országok által meghatározott megnevezett helyeket használhatnak a nem üzleti forgalmú országból származó forgalom blokkolása érdekében.

Megjegyzés

Az IPv6-címekről való bejelentkezések nem leképezhetőek országokra vagy régiókra, és ismeretlen területnek számítanak. Csak az IPv4-címek leképezését lehet országokra vagy régiókra.

Ha a Hely meghatározása GPS-koordináták alapján (előzetes verzió) lehetőséget választja, a felhasználónak telepítenie kell a Microsoft Authenticator alkalmazást a mobileszközére. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazással, és begyűjti a felhasználó mobileszközének GPS-helyét.

Amikor a felhasználónak először kell megosztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, a felhasználó értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnunk.

Ha a következő 24 órában a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futtatásra, az eszköz helye csendesen, óránként egyszer lesz megosztva. 24 óra után a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést. Minden alkalommal, amikor a felhasználó megosztja a GPS-helyét, az alkalmazás jailbreakeléses észlelést tesz (ugyanazt a logikát használva, mint az Intune MAM SDK). Ha az eszköz jailbroked, a hely nem számít érvényesnek, és a felhasználó nem kap hozzáférést.

A csak jelentési módban található GPS-alapú, névvel elnevezett helyeket használó feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy osszák meg a GPS-üket, még akkor is, ha nem tiltják le a bejelentkezést.

Fontos

A felhasználók óránként kaphatnak kéréseket, amelyek tudatják velük, hogy az Azure AD ellenőrzi a tartózkodási Authenticator alkalmazásban. Az előzetes verzió csak akkor használható nagyon bizalmas alkalmazások védelmére, ha ez elfogadható, vagy ha a hozzáférést egy adott országra/régióra kell korlátozni.

Ismeretlen országok/régiók

Egyes IP-címek nincsenek leképezve egy adott országra vagy régióra, beleértve az összes IPv6-címet is. Az IP-helyek rögzítéséhez jelölje be az Include unknown countries/regions when defining a geographic location (Ismeretlen országok/régiók a földrajzi hely meghatározásakor) jelölőnégyzetet. Ezzel a beállítással megadhatja, hogy ezek az IP-címek szerepelnek-e a megnevezett helyen. Akkor használja ezt a beállítást, ha a megnevezett helyet használó szabályzatnak ismeretlen helyekre kell vonatkozni.

MFA megbízható IP-k konfigurálása

A multi-factor authentication szolgáltatás beállításaiban a szervezet helyi intranetét képviselő IP-címtartományokat is konfigurálhat. Ezzel a funkcióval legfeljebb 50 IP-címtartományt konfigurálható. Az IP-címtartományok CIDR formátumban vannak. További információ: Megbízható IP-k.

Ha konfigurálva vannak a megbízható IP-k, azok MFA megbízható IP-kként megjelenik a hely feltétel helyének listájában.

A többtényezős hitelesítés kihagyása

A multi-factor authentication szolgáltatás beállításainak lapján a Vállalati intranetes felhasználók azonosításához jelölje be a Többtényezős hitelesítés kihagyása összevont felhasználóktól az intraneten lévő kérések esetén lehetőséget. Ez a beállítás azt jelzi, hogy a AD FS által kiadott, vállalati hálózaton belüli jogcímet megbízhatónak kell lennie, és annak azonosítására kell használni, hogy a felhasználó a vállalati hálózaton legyen. További információ: Enable the Trusted IP feature by using Conditional Access (Megbízható IP-k engedélyezése feltételes hozzáféréssel).

A beállítás ellenőrzése után a megnevezett hely, az MFA megbízható IP-k is érvényesek lesznek minden olyan szabályzatra, amely be van jelölve ezzel a beállítással.

A hosszú élettartamú mobil- és asztali alkalmazások esetében a feltételes hozzáférés rendszeres időközönként újra ki lesz értékelve. Az alapértelmezett érték óránként egyszer. Ha a vállalati hálózaton belüli jogcímet csak a kezdeti hitelesítéskor állítják ki, előfordulhat, hogy az Azure AD nem tartalmazza a megbízható IP-tartományok listáját. Ebben az esetben nehezebb megállapítani, hogy a felhasználó még mindig a vállalati hálózaton van-e:

  1. Ellenőrizze, hogy a felhasználó IP-címe a megbízható IP-tartományok egyikében van-e.
  2. Ellenőrizze, hogy a felhasználó IP-címének első három oktett-e megegyezik-e a kezdeti hitelesítés IP-címének első három oktettével. A rendszer összehasonlítja az IP-címet a kezdeti hitelesítéssel, amikor a vállalati hálózaton belüli jogcímet eredetileg kiállították, és a felhasználó helyét ellenőrizték.

Ha mindkét lépés sikertelen, a rendszer úgy tekint egy felhasználót, hogy már nem megbízható IP-címről van szó.

Hely feltétele a szabályzatban

A hely feltételének konfigurálásakor megkülönböztetheti a következő adatokat:

  • Bármely hely
  • Minden megbízható hely
  • Kiválasztott helyek

Bármely hely

Alapértelmezés szerint a Bármely hely lehetőség választásával egy szabályzat lesz alkalmazva az összes IP-címre, ami azt jelenti, hogy az interneten található bármely cím. Ez a beállítás nem korlátozódik a megnevezett helyként konfigurált IP-címekre. Ha a Bármely hely lehetőséget választja, továbbra is kizárhat bizonyos helyeket a szabályzatból. Alkalmazhat például egy szabályzatot a megbízható helyek kivételével minden helyre, hogy a hatókört a vállalati hálózat kivételével minden helyre beállítsa.

Minden megbízható hely

Ez a beállítás a következőkre vonatkozik:

  • Minden hely, amely megbízható helyként lett megjelölve
  • MFA megbízható IP-k (ha be van állítva)

Kiválasztott helyek

Ezzel a lehetőséggel kiválaszthat egy vagy több elnevezett helyet. Az ezzel a beállítással beállított szabályzatok csak akkor alkalmazhatók, ha a felhasználó a kiválasztott helyek bármelyikéről csatlakozik. Amikor kiválasztja a megnevezett hálózatok listáját bemutató elnevezett hálózatválasztási vezérlőt, megnyílik. A lista azt is megjeleníti, hogy a hálózati hely megbízhatóként lett-e megjelölve. Az MFA megbízható IP-címek nevű elnevezett hely tartalmazza a többtényezős hitelesítési szolgáltatás beállítási oldalán konfigurálható IP-beállításokat.

IPv6-forgalom

Alapértelmezés szerint a feltételes hozzáférési szabályzatok az összes IPv6-forgalomra érvényesek. Kizárhat bizonyos IPv6-címtartományokat a feltételes hozzáférési szabályzatból, ha nem szeretné, hogy a házirendek adott IPv6-tartományokra vonatkozzon. Ha például nem szeretne szabályzatot kikényszeríteni a vállalati hálózaton való használatra, és a vállalati hálózat nyilvános IPv6-tartományokon üzemel.

IPv6-forgalom azonosítása az Azure AD bejelentkezési tevékenységjelentéseiben

Az IPv6-forgalmat a bérlőben az Azure AD bejelentkezési tevékenységjelentéseiben derítheti fel. Miután megnyitotta a tevékenységjelentést, adja hozzá az "IP-cím" oszlopot. Ebben az oszlopban azonosíthatja az IPv6-forgalmat.

Az ügyfél IP-címét úgy is megkeresheti, ha a jelentés egy sorára kattint, majd a bejelentkezési tevékenység részletei között a "Hely" lapra lép.

Mikor lesz IPv6-forgalom a bérlőmben?

Azure Active Directory (Azure AD) jelenleg nem támogatja az IPv6-ot tartalmazó közvetlen hálózati kapcsolatokat. Vannak azonban olyan esetek, amikor a hitelesítési forgalom egy másik szolgáltatáson keresztül van proxyn keresztül. Ezekben az esetekben az IPv6-cím lesz használva a szabályzat kiértékelése során.

Az Azure AD-hez proxyn keresztüli IPv6-forgalom nagy része a Microsoft Exchange Online. Ha elérhető, a Exchange IPv6-kapcsolatokat részesíti előnyben. Ha tehát az Exchange feltételes hozzáférési szabályzatai adott IPv4-tartományokhoz vannak konfigurálva, akkor győződjön meg arról, hogy a szervezet IPv6-tartományokat is hozzáadta. Ha nem tartalmazza az IPv6-tartományokat, az nem várt működést okoz a következő két esetben:

  • Ha egy levelezési ügyféllel csatlakozik egy régi Exchange Online-hitelesítéssel, előfordulhat, hogy az Azure AD IPv6-címet kap. A kezdeti hitelesítési kérelem a Exchange, majd az Azure AD-hez kerül.
  • Ha Outlook webelérést (OWA) használ a böngészőben, rendszeres időközönként ellenőrzi, hogy az összes feltételes hozzáférési szabályzat továbbra is teljesül-e. Ez az ellenőrzés olyan eseteket fog ki, amikor egy felhasználó egy engedélyezett IP-címről egy új helyre helyezték át, például egy kávézóban az utca végén. Ebben az esetben, ha IPv6-címet használ, és az IPv6-cím nem egy konfigurált tartományban van, előfordulhat, hogy a felhasználó munkamenete megszakadt, és vissza lesz irányítva az Azure AD-be az újbóli hitelesítéshez.

Emellett Ha Azure-beli virtuális hálózatokat használ, akkor IPv6-címről érkező forgalmat fog használni. Ha feltételes hozzáférési szabályzat blokkolja a virtuális hálózati forgalmat, ellenőrizze az Azure AD bejelentkezési naplóját. Miután azonosította a forgalmat, lekértheti a használt IPv6-címet, és kizárhatja azt a szabályzatból.

Megjegyzés

Ha egyetlen címhez szeretne IP CIDR-tartományt megadni, alkalmazza a /128 bites maszkot. Ha a 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a IPv6-címet látja, és tartományként szeretné kizárni ezt az egyetlen címet, használja a következőt: 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Alapismeretek

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok a következő esetben vannak kiértékelve:

  • A felhasználó először egy webalkalmazásba, mobilalkalmazásba vagy asztali alkalmazásba jelentkezik be.
  • A modern hitelesítést használó mobil- vagy asztali alkalmazások frissítési jogkivonattal szereznek be új hozzáférési jogkivonatot. Alapértelmezés szerint ez az ellenőrzés óránként egyszer van megjelölve.

Ez az ellenőrzés azt jelenti, hogy a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely módosításától számított egy órán belül a rendszer helyváltozást észlel. A modern hitelesítést nem felhasználó mobil- és asztali alkalmazások esetén a szabályzat minden jogkivonat-kérelemre érvényes. A kérés gyakorisága az alkalmazástól függően változhat. Hasonlóképpen, webalkalmazások esetén a szabályzatot a rendszer a kezdeti bejelentkezéskor alkalmazza, és a webalkalmazás munkamenetének teljes élettartama alatt használható. Az alkalmazások munkamenet-élettartamának eltérései miatt a szabályzatok kiértékelése közötti idő is eltérő lesz. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a rendszer alkalmazza a szabályzatot.

Alapértelmezés szerint az Azure AD óránként ad ki jogkivonatot. A vállalati hálózatról való áthelyezés után egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.

Felhasználói IP-cím

A szabályzatok kiértékelése során használt IP-cím a felhasználó nyilvános IP-címe. Magánhálózati eszközök esetén ez az IP-cím nem a felhasználó intranetes eszközének ügyfél-IP-címe, hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím.

Megnevezett helyek tömeges feltöltése és letöltése

Elnevezett helyek létrehozásakor vagy frissítésekkor tömeges frissítésekhez feltölthet vagy letölthet egy CSV-fájlt az IP-címtartományokkal. A feltöltés lecseréli a listában található IP-címtartományokat a fájlból származó tartományokkal. A fájl minden egyes sorában egy CIDR formátumú IP-címtartomány található.

Felhőbeli proxyk és VPN-ek

Ha felhőben üzemeltetett proxyt vagy VPN-megoldást használ, az Azure AD a házirend kiértékeléskor használt IP-címe a proxy IP-címe. A rendszer nem használja a felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejlécet, mert nincs ellenőrzés arról, hogy megbízható forrásból származik, ezért egy IP-cím szimulálása egy módszert jelent.

Ha felhőproxy van használatban, a hibrid Azure AD-hez csatlakozott eszközre vonatkozó szabályzat, vagy a vállalati hálózat belső jogcíme használható a AD FS.

API-támogatás és PowerShell

Elérhető a Graph API előzetes verziója a megnevezett helyekhez. További információért lásd a namedLocation API-t.

Következő lépések