Używanie warunku lokalizacji w zasadach dostępu warunkowego

Jak wyjaśniono w artykule z omówieniem, zasady dostępu warunkowego są najbardziej podstawowymi instrukcje łączenia sygnałów if-then w celu podejmowania decyzji i wymuszania zasad organizacji. Jednym z tych sygnałów, które można włączyć do procesu podejmowania decyzji, jest lokalizacja.

Koncepcyjny sygnał warunkowy oraz decyzja o wymuszenia

Organizacje mogą używać tej lokalizacji do wykonywania typowych zadań, takich jak:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników, którzy mają dostęp do usługi poza siecią firmową.
  • Blokowanie dostępu użytkowników, którzy mają dostęp do usługi z określonych krajów lub regionów.

Lokalizacja jest określana przez publiczny adres IP zapewniany przez klienta do Azure Active Directory lub GPS dostarczone przez Microsoft Authenticator aplikacji. Zasady dostępu warunkowego domyślnie mają zastosowanie do wszystkich adresów IPv4 i IPv6.

Nazwane lokalizacje

Lokalizacje są wyznaczane w obszarze Azure Portal w obszarze Azure Active Directory > Security Conditional > Access Named locations ( Lokalizacje z > dostępem warunkowym zabezpieczeń). Te nazwane lokalizacje sieciowe mogą obejmować lokalizacje, takie jak zakresy sieci siedzib organizacji, zakresy sieci VPN lub zakresy, które chcesz zablokować. Nazwane lokalizacje mogą być definiowane przez zakresy adresów IPv4/IPv6 lub według krajów.

Nazwane lokalizacje w Azure Portal

Zakresy adresów IP

Aby zdefiniować nazwaną lokalizację według zakresów adresów IPv4/IPv6, należy podać:

  • Nazwa lokalizacji
  • Co najmniej jeden zakres adresów IP
  • Opcjonalnie oznacz jako zaufaną lokalizację

Nowe lokalizacje adresów IP w Azure Portal

Nazwane lokalizacje zdefiniowane przez zakresy adresów IPv4/IPv6 podlegają następującym ograniczeniom:

  • Konfigurowanie maksymalnie 195 nazwanych lokalizacji
  • Skonfiguruj maksymalnie 2000 zakresów adresów IP na nazwaną lokalizację
  • Obsługiwane są zarówno zakresy IPv4, jak i IPv6
  • Nie można skonfigurować zakresów prywatnych adresów IP
  • Liczba adresów IP zawartych w zakresie jest ograniczona. Podczas definiowania zakresu adresów IP dozwolone są tylko maski CIDR większe niż /8.

Zaufane lokalizacje

Administratorzy mogą wyznaczyć lokalizacje zdefiniowane przez zakresy adresów IP na zaufane nazwane lokalizacje.

Logowania z zaufanych nazwanych lokalizacji poprawiają dokładność obliczeń ryzyka Azure AD Identity Protection, obniżając ryzyko logowania użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufana. Ponadto zaufane nazwane lokalizacje mogą być celem zasad dostępu warunkowego. Można na przykład ograniczyć rejestrację uwierzytelniania wieloskładnikowego do zaufanych lokalizacji.

Kraje

Organizacje mogą określić lokalizację kraju według adresu IP lub współrzędnych GPS.

Aby zdefiniować nazwaną lokalizację według kraju, należy podać:

  • Nazwa lokalizacji
  • Wybierz, aby określić lokalizację według adresu IP lub współrzędnych GPS
  • Dodawanie co najmniej jednego kraju
  • Opcjonalnie wybierz opcję Dołącz nieznane kraje/regiony

Kraj jako lokalizacja w Azure Portal

Jeśli wybierzesz pozycję Określ lokalizację według adresu IP (tylko protokół IPv4), system zbierze adres IP urządzenia, do których loguje się użytkownik. Gdy użytkownik się pojawia, usługa Azure AD rozpozna jego adres IPv4 jako kraj lub region, a mapowanie będzie okresowo aktualizowane. Organizacje mogą używać nazwanych lokalizacji zdefiniowanych przez kraje, aby blokować ruch z krajów, w których nie prowadzenia działalności.

Uwaga

Logowania z adresów IPv6 nie mogą być mapowane na kraje lub regiony i są uznawane za nieznane obszary. Na kraje lub regiony można mapować tylko adresy IPv4.

Jeśli wybierzesz pozycję Określ lokalizację za pomocą współrzędnych GPS (wersja zapoznawcza), użytkownik będzie musiał zainstalować aplikację Microsoft Authenticator urządzeniu przenośnym. Co godzinę system będzie kontaktować się z aplikacją Microsoft Authenticator użytkownika w celu zebrania lokalizacji GPS urządzenia przenośnego użytkownika.

Za pierwszym razem, gdy użytkownik musi udostępnić swoją lokalizację z Microsoft Authenticator aplikacji, użytkownik otrzyma powiadomienie w aplikacji. Użytkownik będzie musiał otworzyć aplikację i udzielić uprawnień do lokalizacji.

Jeśli przez następne 24 godziny użytkownik nadal uzyskuje dostęp do zasobu, a użytkownik przyznał aplikacji uprawnienia do uruchamiania w tle, lokalizacja będzie udostępniana dyskretnie raz na godzinę z urządzenia, więc użytkownik nie będzie musiał wymykać urządzenia przenośnego. Po 24 godzinach użytkownik będzie musiał otworzyć aplikację i ręcznie zatwierdzić powiadomienie.

Uwzględnianie nieznanych krajów/regionów

Niektóre adresy IP nie są mapowane na określony kraj lub region, w tym wszystkie adresy IPv6. Aby przechwycić te lokalizacje IP, zaznacz pole wyboru Uwzględnij nieznane kraje/regiony podczas definiowania lokalizacji geograficznej. Ta opcja umożliwia wybranie, czy te adresy IP powinny być uwzględnione w nazwanej lokalizacji. Użyj tego ustawienia, jeśli zasady używające nazwanej lokalizacji powinny być stosowane do nieznanych lokalizacji.

Konfigurowanie zaufanych ip usługi MFA

Zakresy adresów IP reprezentujące lokalny intranet organizacji można również skonfigurować w ustawieniach usługi uwierzytelniania wieloskładnikowego. Ta funkcja umożliwia skonfigurowanie maksymalnie 50 zakresów adresów IP. Zakresy adresów IP są w formacie CIDR. Aby uzyskać więcej informacji, zobacz Zaufane ip .

Jeśli masz skonfigurowane zaufane ip, są one wyświetlane jako zaufane ip usługi MFA na liście lokalizacji dla warunku lokalizacji.

Pomijanie uwierzytelniania wieloskładnikowego

Na stronie ustawień usługi Multi-Factor Authentication można zidentyfikować firmowych użytkowników intranetu, wybierając pozycję Pomiń uwierzytelnianie wieloskładnikowe dla żądań od użytkowników federowanych w moim intranecie. To ustawienie wskazuje, że oświadczenie wewnętrznej sieci firmowej, które jest wystawiane przez usługę AD FS, powinno być zaufane i używane do identyfikowania użytkownika jako użytkownika w sieci firmowej. Aby uzyskać więcej informacji, zobacz Włączanie funkcji zaufanych ip przy użyciu dostępu warunkowego.

Po wybraniu tej opcji, łącznie z nazwaną lokalizacją Zaufane ip usługi MFA będą stosowane do wszystkich zasad z wybraną tą opcją.

W przypadku aplikacji mobilnych i klasycznych, które mają długotrwałe okresy istnienia sesji, okresowo jest ponownie oceniany dostęp warunkowy. Wartość domyślna to raz na godzinę. Gdy oświadczenie wewnętrznej sieci firmowej jest wystawiane tylko w czasie początkowego uwierzytelniania, usługa Azure AD może nie mieć listy zaufanych zakresów adresów IP. W takim przypadku trudniej jest określić, czy użytkownik nadal znajduje się w sieci firmowej:

  1. Sprawdź, czy adres IP użytkownika należy do jednego z zaufanych zakresów adresów IP.
  2. Sprawdź, czy pierwsze trzy oktety adresu IP użytkownika pasują do pierwszych trzech oktetów adresu IP początkowego uwierzytelniania. Adres IP jest porównywany z początkowym uwierzytelnianiem, gdy pierwotnie wystawiono oświadczenie wewnętrznej sieci firmowej, a lokalizacja użytkownika została zweryfikowana.

Jeśli oba kroki nie powiodą się, użytkownik nie będzie już mieć zaufanego adresu IP.

Warunek lokalizacji w zasadach

Podczas konfigurowania warunku lokalizacji można odróżnić:

  • Dowolnej aplikacji.
  • Wszystkie zaufane lokalizacje
  • Wybrane lokalizacje

Dowolnej aplikacji.

Domyślnie wybranie pozycji Dowolna lokalizacja powoduje zastosowanie zasad do wszystkich adresów IP, co oznacza dowolny adres w Internecie. To ustawienie nie jest ograniczone do adresów IP skonfigurowanych jako nazwana lokalizacja. Po wybraniu pozycji Dowolna lokalizacja nadal można wykluczyć określone lokalizacje z zasad. Na przykład można zastosować zasady do wszystkich lokalizacji z wyjątkiem zaufanych lokalizacji, aby ustawić zakres na wszystkie lokalizacje, z wyjątkiem sieci firmowej.

Wszystkie zaufane lokalizacje

Ta opcja ma zastosowanie do:

  • Wszystkie lokalizacje, które zostały oznaczone jako zaufana lokalizacja
  • Zaufane ip usługi MFA (jeśli zostały skonfigurowane)

Wybrane lokalizacje

Za pomocą tej opcji można wybrać co najmniej jedną nazwaną lokalizację. Aby zastosować zasady z tym ustawieniem, użytkownik musi nawiązać połączenie z dowolnej z wybranych lokalizacji. Po wybraniu kontrolki wyboru nazwanej sieci, która wyświetla listę nazwanych sieci, zostanie otwarta. Lista pokazuje również, czy lokalizacja sieciowa została oznaczona jako zaufana. Nazwana lokalizacja o nazwie Zaufane adresy IP usługi MFA służy do dołączania ustawień adresu IP, które można skonfigurować na stronie ustawień usługi uwierzytelniania wieloskładnikowego.

Ruch IPv6

Domyślnie zasady dostępu warunkowego będą stosowane do całego ruchu IPv6. Określone zakresy adresów IPv6 można wykluczyć z zasad dostępu warunkowego, jeśli nie chcesz wymuszać zasad dla określonych zakresów adresów IPv6. Jeśli na przykład nie chcesz wymuszać zasad dla zastosowań w sieci firmowej, a sieć firmowa jest hostowana w zakresach publicznych adresów IPv6.

Identyfikowanie ruchu IPv6 w raportach aktywności logowania usługi Azure AD

Ruch IPv6 można wykryć w dzierżawie, przechodząc do raportów aktywności logowania usługi Azure AD. Po otwarciu raportu aktywności dodaj kolumnę "Adres IP". Ta kolumna zawiera informacje na temat identyfikowania ruchu IPv6.

Adres IP klienta można również znaleźć, klikając wiersz w raporcie, a następnie przechodząc do karty "Lokalizacja" w szczegółach działania logowania.

Kiedy moja dzierżawa będzie miała ruch IPv6?

Azure Active Directory (Azure AD) nie obsługuje obecnie bezpośrednich połączeń sieciowych, które korzystają z protokołu IPv6. Jednak w niektórych przypadkach ruch uwierzytelniania jest proxied przez inną usługę. W takich przypadkach adres IPv6 będzie używany podczas oceny zasad.

Większość ruchu IPv6, który jest proxied do usługi Azure AD, pochodzi z usługi Microsoft Exchange Online. Jeśli jest dostępna, program Exchange będzie preferować połączenia IPv6. Dlatego jeśli masz jakiekolwiek zasady dostępu warunkowego dla programu Exchange, które zostały skonfigurowane dla określonych zakresów adresów IPv4, upewnij się, że dodano również zakresy adresów IPv6 organizacji. Nieu uwzględnienia zakresów IPv6 spowoduje nieoczekiwane zachowanie w następujących dwóch przypadkach:

  • Jeśli klient poczty jest używany do nawiązywania połączenia z usługą Exchange Online przy użyciu starszego uwierzytelniania, usługa Azure AD może otrzymać adres IPv6. Początkowe żądanie uwierzytelniania przechodzi do programu Exchange, a następnie jest proxied do usługi Azure AD.
  • Gdy program Outlook Dostęp w sieci Web (OWA) jest używany w przeglądarce, okresowo sprawdza, czy wszystkie zasady dostępu warunkowego są nadal spełnione. Ten test służy do wychwytania przypadków, w których użytkownik mógł przenieść się z dozwolonego adresu IP do nowej lokalizacji, na przykład do kawiarni przy ulicy. W takim przypadku, jeśli jest używany adres IPv6, a adres IPv6 nie znajduje się w skonfigurowanym zakresie, sesja użytkownika może zostać przerwana i może zostać skierowana z powrotem do usługi Azure AD w celu ponownego uwierzytelnienia.

Ponadto w przypadku korzystania z sieci wirtualnych platformy Azure ruch będzie pochodził z adresu IPv6. Jeśli ruch sieci wirtualnej jest blokowany przez zasady dostępu warunkowego, sprawdź dziennik logowania usługi Azure AD. Po zidentyfikowaniu ruchu możesz uzyskać używany adres IPv6 i wykluczyć go z zasad.

Uwaga

Jeśli chcesz określić zakres ADRESÓW IP CIDR dla pojedynczego adresu, zastosuj maskę /128-bitową. Jeśli zostanie wyświetlony adres IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a i chcesz wykluczyć ten pojedynczy adres jako zakres, użyj adresu 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Co należy wiedzieć

Kiedy jest oceniana lokalizacja?

Zasady dostępu warunkowego są oceniane w przypadku:

  • Użytkownik początkowo korzysta z aplikacji internetowej, aplikacji mobilnej lub klasycznej.
  • Aplikacja mobilna lub desktopowa, która korzysta z nowoczesnego uwierzytelniania, używa tokenu odświeżania w celu uzyskania nowego tokenu dostępu. Domyślnie to sprawdzanie jest co godzinę.

Oznacza to, że w przypadku aplikacji mobilnych i klasycznych korzystających z nowoczesnego uwierzytelniania zmiana lokalizacji zostanie wykryta w ciągu godziny od zmiany lokalizacji sieciowej. W przypadku aplikacji mobilnych i klasycznych, które nie korzystają z nowoczesnego uwierzytelniania, zasady są stosowane do każdego żądania tokenu. Częstotliwość żądania może się różnić w zależności od aplikacji. Podobnie w przypadku aplikacji internetowych zasady są stosowane podczas początkowego logowania i są dobre w okresie istnienia sesji w aplikacji internetowej. Ze względu na różnice w okresie istnienia sesji w aplikacjach czas między oceną zasad również będzie się różnić. Za każdym razem, gdy aplikacja żąda nowego tokenu logowania, zasady są stosowane.

Domyślnie usługa Azure AD wydaje token co godzinę. Po przeniesieniu z sieci firmowej w ciągu godziny zasady są wymuszane dla aplikacji korzystających z nowoczesnego uwierzytelniania.

Adres IP użytkownika

Adres IP używany w ocenie zasad to publiczny adres IP użytkownika. W przypadku urządzeń w sieci prywatnej ten adres IP nie jest adresem IP klienta urządzenia użytkownika w sieci intranet, ale adresem używanym przez sieć do łączenia się z publicznym Internetem.

Zbiorcze przekazywanie i pobieranie nazwanych lokalizacji

Podczas tworzenia lub aktualizowania nazwanych lokalizacji w przypadku aktualizacji zbiorczych można przekazać lub pobrać plik CSV z zakresami adresów IP. Przekazywanie zastępuje zakresy adresów IP na liście zakresami z pliku. Każdy wiersz pliku zawiera jeden zakres adresów IP w formacie CIDR.

Serwery proxy w chmurze i sieci VPN

Jeśli używasz serwera proxy hostowanej w chmurze lub rozwiązania sieci VPN, adres IP używany przez usługę Azure AD podczas oceniania zasad jest adresem IP serwera proxy. Nagłówek X-Forwarded-For (XFF), który zawiera publiczny adres IP użytkownika, nie jest używany, ponieważ nie ma weryfikacji, czy pochodzi on z zaufanego źródła, dlatego należy przedstawić metodę fałszowania adresu IP.

Gdy serwer proxy w chmurze jest stosowany, można użyć zasad, które są używane w celu wymagania urządzenia przyłączone do hybrydowej usługi Azure AD, lub wewnętrznego oświadczenia sieci firmowej z AD FS.

Obsługa interfejsu API i programu PowerShell

Dostępna jest wersja zapoznawcza interfejs Graph API dla nazwanych lokalizacji. Aby uzyskać więcej informacji, zobacz interfejs API namedLocation.

Następne kroki