De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang

  • Artikel
  • 11 minuten om te lezen

Zoals uitgelegd in het overzichtsartikel zijn beleidsregels voor voorwaardelijke toegang in de meeste basisregels een if-then-instructie die signalen combineert om beslissingen te nemen en organisatiebeleid af te dwingen. Een van deze signalen die kunnen worden opgenomen in het besluitvormingsproces is de locatie.

Conceptueel voorwaardelijk signaal plus beslissing om afdwinging in te schakelen

Organisaties kunnen deze locatie gebruiken voor algemene taken zoals:

  • Meervoudige verificatie vereisen voor gebruikers die toegang hebben tot een service wanneer ze zich buiten het bedrijfsnetwerk.
  • Toegang blokkeren voor gebruikers die toegang hebben tot een service vanuit specifieke landen of regio's.

De locatie wordt bepaald door het openbare IP-adres dat een client aan Azure Active Directory of GPS-coördinaten verstrekt door de Microsoft Authenticator app. Beleid voor voorwaardelijke toegang is standaard van toepassing op alle IPv4- en IPv6-adressen.

Benoemde locaties

Locaties worden aangeduid in de Azure Portal onder Azure Active Directory > Security > Conditional Access Named > locations. Deze benoemde netwerklocaties kunnen locaties bevatten zoals de netwerkbereiken van het hoofdkantoor van een organisatie, VPN-netwerkbereiken of de bereiken die u wilt blokkeren. Benoemde locaties kunnen worden gedefinieerd door IPv4/IPv6-adresbereiken of door landen.

Benoemde locaties in het Azure Portal

IP-adresbereiken

Als u een benoemde locatie wilt definiëren op IPv4/IPv6-adresbereiken, moet u het volgende bieden:

  • Een naam voor de locatie
  • Een of meer IP-adresbereiken
  • Optioneel markeren als vertrouwde locatie

Nieuwe IP-locaties in de Azure Portal

Benoemde locaties die zijn gedefinieerd door IPv4/IPv6-adresbereiken, gelden voor de volgende beperkingen:

  • Maximaal 195 benoemde locaties configureren
  • Maximaal 2000 IP-adresbereiken per benoemde locatie configureren
  • Zowel IPv4- als IPv6-bereik worden ondersteund
  • Privé-IP-adresbereiken kunnen niet worden geconfigureerd
  • Het aantal IP-adressen in een bereik is beperkt. Alleen CIDR-maskers groter dan /8 zijn toegestaan bij het definiëren van een IP-bereik.

Vertrouwde locaties

Beheerders kunnen locaties die zijn gedefinieerd door IP-adresbereiken, aanwijzen als vertrouwde benoemde locaties.

Aanmeldingen vanaf vertrouwde benoemde locaties verbeteren de nauwkeurigheid van de risicoberekening van Azure AD Identity Protection, waardoor het aanmeldingsrisico van een gebruiker wordt verlaagd wanneer deze wordt geverifieerd vanaf een locatie die is gemarkeerd als vertrouwd. Daarnaast kunnen vertrouwde benoemde locaties worden gebruikt in beleid voor voorwaardelijke toegang. U kunt bijvoorbeeld de registratie van meervoudige verificatie beperken tot vertrouwde locaties.

Landen

Organisaties kunnen de locatie van het land bepalen op ip-adres of GPS-coördinaten.

Als u een benoemde locatie per land wilt definiëren, moet u het volgende doen:

  • Een naam voor de locatie
  • Kies ervoor om de locatie te bepalen op IP-adres of GPS-coördinaten
  • Een of meer landen toevoegen
  • Kies eventueel om onbekende landen/regio's op te nemen

Land als een locatie in de Azure Portal

Als u Locatie bepalen op IP-adres (alleen IPv4) selecteert, verzamelt het systeem het IP-adres van het apparaat waar de gebruiker zich aanmeldt. Wanneer een gebruiker zich meldt, zet Azure AD het IPv4-adres van de gebruiker om in een land of regio en wordt de toewijzing periodiek bijgewerkt. Organisaties kunnen benoemde locaties gebruiken die zijn gedefinieerd door landen om verkeer van landen waar ze geen zaken doen te blokkeren.

Notitie

Aanmeldingen vanaf IPv6-adressen kunnen niet worden toegevoegd aan landen of regio's en worden beschouwd als onbekende gebieden. Alleen IPv4-adressen kunnen worden toegevoegd aan landen of regio's.

Als u Locatie bepalen op basis van GPS-coördinaten selecteert, moet de gebruiker de app Microsoft Authenticator op zijn mobiele apparaat hebben geïnstalleerd. Elk uur neemt het systeem contact op met de Microsoft Authenticator app van de gebruiker om de GPS-locatie van het mobiele apparaat van de gebruiker te verzamelen.

De eerste keer dat de gebruiker de locatie moet delen vanuit de Microsoft Authenticator app, ontvangt de gebruiker een melding in de app. De gebruiker moet de app openen en locatiemachtigingen verlenen.

Als de gebruiker de komende 24 uur nog steeds toegang heeft tot de resource en de app toestemming heeft verleend om op de achtergrond te worden uitgevoerd, wordt de locatie van het apparaat één keer per uur op de achtergrond gedeeld. Na 24 uur moet de gebruiker de app openen en de melding goedkeuren. Telkens wanneer de gebruiker zijn GPS-locatie deelt, doet de app jailbreakdetectie (met dezelfde logica als de Intune MAM SDK). Als het apparaat is jailbroken, wordt de locatie niet als geldig beschouwd en krijgt de gebruiker geen toegang.

Een beleid voor voorwaardelijke toegang met op GPS gebaseerde benoemde locaties in de modus alleen-rapporteren vraagt gebruikers om hun GPS-locatie te delen, zelfs als ze zich niet kunnen aanmelden.

Belangrijk

Gebruikers kunnen elk uur prompts ontvangen om te laten weten dat Azure AD hun locatie in de app Authenticator controleren. De preview-versie mag alleen worden gebruikt om zeer gevoelige apps te beveiligen wanneer dit gedrag acceptabel is of waar de toegang moet worden beperkt tot een specifiek land of specifieke regio.

Onbekende landen/regio's opnemen

Sommige IP-adressen zijn niet aan een specifiek land of specifieke regio, met inbegrip van alle IPv6-adressen. Als u deze IP-locaties wilt vastleggen, selectievakje Onbekende landen/regio's opnemen bij het definiëren van een geografische locatie. Met deze optie kunt u kiezen of deze IP-adressen moeten worden opgenomen in de benoemde locatie. Gebruik deze instelling wanneer het beleid met de benoemde locatie van toepassing moet zijn op onbekende locaties.

Vertrouwde MFA-IP's configureren

U kunt ook IP-adresbereiken configureren die het lokale intranet van uw organisatie vertegenwoordigen in de multi-factor authentication-service-instellingen. Met deze functie kunt u maximaal 50 IP-adresbereiken configureren. De IP-adresbereiken hebben een CIDR-indeling. Zie Trusted IPs (Vertrouwde IP's) voor meer informatie.

Als u vertrouwde IP's hebt geconfigureerd, worden deze weergegeven als vertrouwde IP's voor MFA in de lijst met locaties voor de locatievoorwaarde.

Meervoudige verificatie overslaan

Op de pagina met service-instellingen voor Meervoudige verificatie kunt u gebruikers van het bedrijfsintranet identificeren door Multi-Factor Authentication overslaan te selecteren voor aanvragen van federatief gebruikers op mijn intranet. Deze instelling geeft aan dat de binnen zakelijke netwerkclaim, die is uitgegeven door AD FS, moet worden vertrouwd en gebruikt om de gebruiker te identificeren als in het bedrijfsnetwerk. Zie Enable the Trusted IPs feature by using Conditional Access (Vertrouwde IP's inschakelen met behulp van voorwaardelijke toegang) voor meer informatie.

Na het controleren van deze optie, met inbegrip van de benoemde locatie MFA vertrouwde IPs van toepassing op alle beleidsregels met deze optie geselecteerd.

Voor mobiele en desktoptoepassingen, die een lange levensduur van een sessie hebben, wordt voorwaardelijke toegang periodiek opnieuw geëvalueerd. De standaardwaarde is eenmaal per uur. Wanneer de claim binnen het bedrijfsnetwerk alleen wordt uitgegeven op het moment van de eerste verificatie, heeft Azure AD mogelijk geen lijst met vertrouwde IP-adresbereiken. In dit geval is het moeilijker om te bepalen of de gebruiker zich nog steeds in het bedrijfsnetwerk:

  1. Controleer of het IP-adres van de gebruiker zich in een van de vertrouwde IP-adresbereiken.
  2. Controleer of de eerste drie octets van het IP-adres van de gebruiker overeenkomen met de eerste drie octets van het IP-adres van de eerste verificatie. Het IP-adres wordt vergeleken met de eerste verificatie wanneer de claim binnen het bedrijfsnetwerk oorspronkelijk is uitgegeven en de gebruikerslocatie is gevalideerd.

Als beide stappen mislukken, wordt een gebruiker beschouwd als niet langer op een vertrouwd IP-adres.

Locatievoorwaarde in beleid

Wanneer u de locatievoorwaarde configureert, kunt u onderscheid maken tussen:

  • Elke locatie
  • Alle vertrouwde locaties
  • Geselecteerde locaties

Elke locatie

Als u Standaard Elke locatie selecteert, wordt er een beleid toegepast op alle IP-adressen, wat elk adres op internet betekent. Deze instelling is niet beperkt tot IP-adressen die u hebt geconfigureerd als benoemde locatie. Wanneer u Elke locatie selecteert, kunt u nog steeds specifieke locaties uitsluiten van een beleid. U kunt bijvoorbeeld een beleid toepassen op alle locaties behalve vertrouwde locaties om het bereik in te stellen op alle locaties, met uitzondering van het bedrijfsnetwerk.

Alle vertrouwde locaties

Deze optie is van toepassing op:

  • Alle locaties die zijn gemarkeerd als vertrouwde locatie
  • MFA trusted IPs (if configured) (MFA trusted IPs (indien geconfigureerd)

Geselecteerde locaties

Met deze optie kunt u een of meer benoemde locaties selecteren. Een gebruiker moet verbinding maken vanaf een van de geselecteerde locaties om een beleid toe te passen waarin deze instelling van toepassing is. Wanneer u het benoemde netwerkselectiebesturingselement selecteert waarin de lijst met benoemde netwerken wordt geopend. In de lijst wordt ook weergegeven of de netwerklocatie is gemarkeerd als vertrouwd. De benoemde locatie met de naam Vertrouwde IP-adressen voor MFA wordt gebruikt om de IP-instellingen op te nemen die kunnen worden geconfigureerd op de instellingspagina van de Service voor meervoudige verificatie.

IPv6-verkeer

Standaard is beleid voor voorwaardelijke toegang van toepassing op al het IPv6-verkeer. U kunt specifieke IPv6-adresbereiken uitsluiten van een beleid voor voorwaardelijke toegang als u niet wilt dat beleidsregels worden afgedwongen voor specifieke IPv6-bereiken. Als u bijvoorbeeld geen beleid wilt afdwingen voor gebruik in uw bedrijfsnetwerk en uw bedrijfsnetwerk wordt gehost in openbare IPv6-adresbereiken.

IPv6-verkeer identificeren in de azure AD-aanmeldactiviteitenrapporten

U kunt IPv6-verkeer in uw tenant ontdekken door de azure AD-aanmeldactiviteitrapporten te gaan. Nadat u het activiteitenrapport hebt geopend, voegt u de kolom IP-adres toe. In deze kolom kunt u het IPv6-verkeer identificeren.

U kunt het IP-adres van de client ook vinden door op een rij in het rapport te klikken en vervolgens naar het tabblad Locatie te gaan in de details van de aanmeldingsactiviteit.

Wanneer heeft mijn tenant IPv6-verkeer?

Azure Active Directory (Azure AD) biedt momenteel geen ondersteuning voor directe netwerkverbindingen die gebruikmaken van IPv6. Er zijn echter enkele gevallen waarin verificatieverkeer via een andere service wordt geproxied. In dergelijke gevallen wordt het IPv6-adres gebruikt tijdens de beleidsevaluatie.

Het meeste IPv6-verkeer dat naar Azure AD wordt geproxied, is afkomstig van Microsoft Exchange Online. Indien beschikbaar, Exchange voorkeur IPv6-verbindingen. Dus als u beleid voor voorwaardelijke toegang hebt voor Exchange, die zijn geconfigureerd voor specifieke IPv4-bereiken, moet u ervoor zorgen dat u ook IPv6-bereiken van uw organisatie hebt toegevoegd. Als u IPv6-bereik niet opvolgt, veroorzaakt dit onverwacht gedrag in de volgende twee gevallen:

  • Wanneer een e-mailclient wordt gebruikt om verbinding te Exchange Online met verouderde verificatie, kan Azure AD een IPv6-adres ontvangen. De eerste verificatieaanvraag gaat naar Exchange en wordt vervolgens geproxied naar Azure AD.
  • Wanneer Outlook Web Access (OWA) wordt gebruikt in de browser, wordt periodiek gecontroleerd of aan alle beleidsregels voor voorwaardelijke toegang wordt voldaan. Deze controle wordt gebruikt om gevallen te ondervangen waarbij een gebruiker mogelijk is verplaatst van een toegestaan IP-adres naar een nieuwe locatie, zoals de koffiebar in de straat. Als in dit geval een IPv6-adres wordt gebruikt en als het IPv6-adres zich niet in een geconfigureerd bereik, kan de gebruiker de sessie onderbreken en worden teruggeleid naar Azure AD om zich opnieuw te autoreren.

Als u azure-VNets gebruikt, hebt u bovendien verkeer dat afkomstig is van een IPv6-adres. Als U VNet-verkeer hebt geblokkeerd door een beleid voor voorwaardelijke toegang, controleert u uw Azure AD-aanmeldingslogboek. Zodra u het verkeer hebt geïdentificeerd, kunt u het gebruikte IPv6-adres op halen en dit uitsluiten van uw beleid.

Notitie

Als u een IP-CIDR-bereik voor één adres wilt opgeven, moet u het /128-bits masker toepassen. Als u het IPv6-adres 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a ziet en dat adres wilt uitsluiten als een bereik, gebruikt u 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Wat u moet weten

Wanneer wordt een locatie geëvalueerd?

Beleid voor voorwaardelijke toegang wordt geëvalueerd wanneer:

  • Een gebruiker meldt zich in eerste instantie aan bij een web-app, mobiele toepassing of desktoptoepassing.
  • Een mobiele toepassing of desktoptoepassing die gebruikmaakt van moderne verificatie, gebruikt een vernieuwingsteken om een nieuw toegang token te verkrijgen. Deze controle is standaard één keer per uur.

Deze controle betekent dat voor mobiele en desktoptoepassingen die moderne verificatie gebruiken, een wijziging in de locatie binnen een uur na het wijzigen van de netwerklocatie wordt gedetecteerd. Voor mobiele en bureaubladtoepassingen die geen moderne verificatie gebruiken, wordt het beleid toegepast op elke tokenaanvraag. De frequentie van de aanvraag kan variëren op basis van de toepassing. Op dezelfde manier wordt het beleid voor webtoepassingen toegepast bij de eerste aanmelding en is het goed voor de levensduur van de sessie bij de webtoepassing. Vanwege verschillen in de levensduur van sessies voor toepassingen, varieert de tijd tussen de evaluatie van het beleid ook. Telkens wanneer de toepassing een nieuw aanmeldings token aanvraagt, wordt het beleid toegepast.

Standaard geeft Azure AD per uur een token uit. Nadat het bedrijfsnetwerk is verplaatst, wordt het beleid binnen een uur afgedwongen voor toepassingen die moderne verificatie gebruiken.

IP-adres van gebruiker

Het IP-adres dat wordt gebruikt in de beleidsevaluatie is het openbare IP-adres van de gebruiker. Voor apparaten in een particulier netwerk is dit IP-adres niet het client-IP-adres van het apparaat van de gebruiker op het intranet, maar het adres dat door het netwerk wordt gebruikt om verbinding te maken met het openbare internet.

Bulksgewijs uploaden en downloaden van benoemde locaties

Wanneer u benoemde locaties maakt of bij werkt, kunt u voor bulkupdates een CSV-bestand met de IP-adresbereiken uploaden of downloaden. Een upload vervangt de IP-adresbereiken in de lijst door die uit het bestand. Elke rij van het bestand bevat één IP-adresbereik in CIDR-indeling.

Cloud-proxies en VPN's

Wanneer u een in de cloud gehoste proxy of VPN-oplossing gebruikt, is het IP-adres dat Azure AD gebruikt tijdens het evalueren van een beleid het IP-adres van de proxy. De X-Forwarded-For-header (XFF) die het openbare IP-adres van de gebruiker bevat, wordt niet gebruikt omdat er geen validatie is die afkomstig is van een vertrouwde bron. Dit is dus een methode voor het nabootsen van een IP-adres.

Wanneer een cloudproxy is geïnstalleerd, kan een beleid dat wordt gebruikt om een hybride Azure AD-apparaat te vereisen, worden gebruikt of de claim binnen corpnet van AD FS.

API-ondersteuning en PowerShell

Er is een preview-versie van Graph API voor benoemde locaties beschikbaar. Zie de namedLocation API voor meer informatie.

Volgende stappen