Jaki jest warunek lokalizacji w Azure Active Directory dostęp warunkowy?What is the location condition in Azure Active Directory Conditional Access?

Za pomocą dostępu warunkowego Azure Active Directory (Azure AD)można kontrolować sposób, w jaki autoryzowani użytkownicy mogą uzyskiwać dostęp do aplikacji w chmurze.With Azure Active Directory (Azure AD) Conditional Access, you can control how authorized users can access your cloud apps. Warunek lokalizacji zasad dostępu warunkowego umożliwia powiązanie ustawień kontroli dostępu z lokalizacjami sieciowymi użytkowników.The location condition of a Conditional Access policy enables you to tie access controls settings to the network locations of your users.

Ten artykuł zawiera informacje potrzebne do skonfigurowania warunku lokalizacji.This article provides you with the information you need to configure the location condition.

LokalizacjeLocations

Usługa Azure AD umożliwia logowanie jednokrotne do urządzeń, aplikacji i usług z dowolnego miejsca w publicznym Internecie.Azure AD enables single sign-on to devices, apps, and services from anywhere on the public internet. Warunek lokalizacji pozwala kontrolować dostęp do aplikacji w chmurze na podstawie lokalizacji sieciowej użytkownika.With the location condition, you can control access to your cloud apps based on the network location of a user. Typowe przypadki użycia dla warunku lokalizacji są następujące:Common use cases for the location condition are:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników uzyskujących dostęp do usługi w przypadku wyłączenia sieci firmowej.Requiring multi-factor authentication for users accessing a service when they are off the corporate network.
  • Blokowanie dostępu dla użytkowników uzyskujących dostęp do usługi z określonych krajów lub regionów.Blocking access for users accessing a service from specific countries or regions.

Lokalizacja to etykieta lokalizacji sieciowej, która reprezentuje nazwaną lokalizację lub Zaufane adresy IP usługi uwierzytelniania wieloskładnikowego.A location is a label for a network location that either represents a named location or multi-factor authentication Trusted IPs.

Nazwane lokalizacjeNamed locations

Przy użyciu nazwanych lokalizacji można tworzyć logiczne grupowania zakresów adresów IP lub krajów i regionów.With named locations, you can create logical groupings of IP address ranges or countries and regions.

Dostęp do nazwanych lokalizacji można uzyskać w sekcji Zarządzanie na stronie dostęp warunkowy.You can access your named locations in the Manage section of the Conditional Access page.

Nazwane lokalizacje w dostępie warunkowym

Nazwana Lokalizacja ma następujące składniki:A named location has the following components:

Utwórz nową nazwę lokalizacji

  • Nazwa — wyświetlana nazwa lokalizacji.Name - The display name of a named location.

  • Zakresy IP — co najmniej jeden zakres adresów IPv4 w formacie CIDR.IP ranges - One or more IPv4 address ranges in CIDR format. Określanie zakresu adresów IPv6 nie jest obsługiwane.Specifying an IPv6 address range is not supported.

    Uwaga

    W nazwanej lokalizacji nie można obecnie uwzględnić zakresów adresów IPv6.IPv6 address ranges cannot currently be included in a named location. Oznacza to, że zakresy adresów IPv6 nie mogą być wykluczone z zasad dostępu warunkowego.This means IPv6 ranges cannot be excluded from a Conditional Access policy.

  • Oznacz jako zaufaną lokalizację — flagę, którą można ustawić dla nazwanej lokalizacji, aby wskazać zaufaną lokalizację.Mark as trusted location - A flag you can set for a named location to indicate a trusted location. Zazwyczaj Zaufane lokalizacje to obszary sieci, które są kontrolowane przez dział IT.Typically, trusted locations are network areas that are controlled by your IT department. Oprócz dostępu warunkowego zaufane nazwane lokalizacje są również używane przez usługę Azure Identity Protection i raporty zabezpieczeń usługi Azure AD w celu zmniejszenia liczby fałszywych dodatnich.In addition to Conditional Access, trusted named locations are also used by Azure Identity Protection and Azure AD security reports to reduce false positives.

  • Kraje/regiony — ta opcja umożliwia wybranie co najmniej jednego kraju lub regionu w celu zdefiniowania nazwanej lokalizacji.Countries/Regions - This option enables you to select one or more country or region to define a named location.

  • Uwzględnij nieznane obszary — niektóre adresy IP nie są zamapowane do określonego kraju lub regionu.Include unknown areas - Some IP addresses are not mapped to a specific country or region. Ta opcja umożliwia wybranie, czy te adresy IP mają być uwzględnione w nazwanej lokalizacji.This option allows you to choose if these IP addresses should be included in the named location. Użyj tego ustawienia, jeśli zasady używające nazwanej lokalizacji mają być stosowane do nieznanych lokalizacji.Use this setting when the policy using the named location should apply to unknown locations.

Liczba nazwanych lokalizacji, które można skonfigurować, jest ograniczona przez rozmiar powiązanego obiektu w usłudze Azure AD.The number of named locations you can configure is constrained by the size of the related object in Azure AD. Lokalizacje można skonfigurować w oparciu o następujące ograniczenia:You can configure locations based on of the following limitations:

  • Jedna nazwana lokalizacja z maksymalnie 1200 zakresami adresów IP.One named location with up to 1200 IP ranges.
  • Maksymalnie 90 nazwanych lokalizacji z jednym zakresem adresów IP przypisanym do każdego z nich.A maximum of 90 named locations with one IP range assigned to each of them.

Zasady dostępu warunkowego dotyczą ruchu IPv4 i IPv6.Conditional Access policy applies to IPv4 and IPv6 traffic. Obecnie nazwane lokalizacje nie umożliwiają konfigurowania zakresów adresów IPv6.Currently named locations do not allow IPv6 ranges to be configured. To ograniczenie powoduje następujące sytuacje:This limitation causes the following situations:

  • Zasady dostępu warunkowego nie mogą być wskazywane dla określonych zakresów adresów IPv6Conditional Access policy cannot be targeted to specific IPv6 ranges
  • Zasady dostępu warunkowego nie mogą wykluczać określonych zakresów adresów IPV6Conditional Access policy cannot exclude specific IPV6 ranges

Jeśli zasady są skonfigurowane do zastosowania do "dowolnej lokalizacji", będą stosowane do ruchu IPv4 i IPv6.If a policy is configured to apply to “Any location”, it will apply to IPv4 and IPv6 traffic. Nazwane lokalizacje skonfigurowane dla określonych krajów i regionów obsługują tylko adresy IPv4.Named locations configured for specified countries and regions only support IPv4 addresses. Ruch IPv6 jest uwzględniany tylko wtedy, gdy wybrano opcję "Uwzględnij nieznane obszary".IPv6 traffic is only included if the option to “include unknown areas” selected.

Zaufane adresy IPTrusted IPs

Możesz również skonfigurować zakresy adresów IP reprezentujące Lokalny intranet organizacji w ustawieniach usługi uwierzytelniania wieloskładnikowego.You can also configure IP address ranges representing your organization's local intranet in the multi-factor authentication service settings. Ta funkcja umożliwia skonfigurowanie maksymalnie 50 zakresów adresów IP.This feature enables you to configure up to 50 IP address ranges. Zakresy adresów IP są w formacie CIDR.The IP address ranges are in CIDR format. Aby uzyskać więcej informacji, zobacz Zaufane adresy IP.For more information, see Trusted IPs.

Jeśli skonfigurowano Zaufane adresy IP, są one wyświetlane jako Zaufane adresy IP usługi MFA na liście lokalizacji warunku lokalizacji.If you have Trusted IPs configured, they show up as MFA Trusted IPS in the list of locations for the location condition.

Pomijanie uwierzytelniania wieloskładnikowegoSkipping multi-factor authentication

Na stronie Ustawienia usługi uwierzytelniania wieloskładnikowego można zidentyfikować użytkowników intranetu firmowego, wybierając pozycję Pomiń uwierzytelnianie wieloskładnikowe w przypadku żądań od użytkowników federacyjnych w moim intranecie.On the multi-factor authentication service settings page, you can identify corporate intranet users by selecting Skip multi-factor authentication for requests from federated users on my intranet. To ustawienie wskazuje, że wewnątrz roszczeń sieci firmowej, które jest wydawane przez AD FS, powinno być zaufane i używane do identyfikowania użytkownika jako sieci firmowej.This setting indicates that the inside corporate network claim, which is issued by AD FS, should be trusted and used to identify the user as being on the corporate network. Aby uzyskać więcej informacji, zobacz Włączanie funkcji Zaufane adresy IP przy użyciu dostępu warunkowego.For more information, see Enable the Trusted IPs feature by using Conditional Access.

Po zaznaczeniu tej opcji, w tym nazwanej Zaufane adresy IP usługi MFA , będą stosowane do wszystkich zasad z wybraną opcją.After checking this option, including the named location MFA Trusted IPS will apply to any policies with this option selected.

W przypadku aplikacji mobilnych i klasycznych, które mają długotrwałe okresy istnienia sesji, dostęp warunkowy jest okresowo obliczany.For mobile and desktop applications, which have long lived session lifetimes, Conditional Access is periodically reevaluated. Wartość domyślna to raz na godzinę.The default is once an hour. Gdy wystąpiło tylko w trakcie uwierzytelniania wewnętrznego, usługa Azure AD może nie mieć listy zaufanych zakresów adresów IP.When the inside corporate network claim is only issued at the time of the initial authentication, Azure AD may not have a list of trusted IP ranges. W takim przypadku trudniejsze jest określenie, czy użytkownik nadal znajduje się w sieci firmowej:In this case, it is more difficult to determine if the user is still on the corporate network:

  1. Sprawdź, czy adres IP użytkownika należy do jednego z zaufanych zakresów adresów IP.Check if the user’s IP address is in one of the trusted IP ranges.
  2. Sprawdź, czy pierwsze trzy oktety adresu IP użytkownika pasują do pierwszych trzech oktetów adresu IP początkowego uwierzytelniania.Check whether the first three octets of the user’s IP address match the first three octets of the IP address of the initial authentication. Adres IP jest porównywany z początkowym uwierzytelnianiem, gdy pierwotne twierdzenie sieci firmowej zostało wystawione i zweryfikowano lokalizację użytkownika.The IP address is compared with the initial authentication when the inside corporate network claim was originally issued and the user location was validated.

Jeśli oba kroki zakończą się niepowodzeniem, użytkownik jest uznawany za niebędący już w zaufanym adresie IP.If both steps fail, a user is considered to be no longer on a trusted IP.

Konfiguracja warunku lokalizacjiLocation condition configuration

Podczas konfigurowania warunku lokalizacji można rozróżnić następujące opcje:When you configure the location condition, you have the option to distinguish between:

  • Dowolna lokalizacjaAny location
  • Wszystkie Zaufane lokalizacjeAll trusted locations
  • Wybrane lokalizacjeSelected locations

Konfiguracja warunku lokalizacji

Dowolna lokalizacjaAny location

Domyślnie wybranie dowolnej lokalizacji powoduje, że zasady mają być stosowane do wszystkich adresów IP, co oznacza dowolny adres w Internecie.By default, selecting Any location causes a policy to be applied to all IP addresses, which means any address on the Internet. To ustawienie nie jest ograniczone do adresów IP skonfigurowanych jako nazwana lokalizacja.This setting is not limited to IP addresses you have configured as named location. W przypadku wybrania dowolnej lokalizacjimożna nadal wykluczać określone lokalizacje z zasad.When you select Any location, you can still exclude specific locations from a policy. Na przykład można zastosować zasady do wszystkich lokalizacji, z wyjątkiem zaufanych lokalizacji, aby ustawić zakres dla wszystkich lokalizacji, z wyjątkiem sieci firmowej.For example, you can apply a policy to all locations except trusted locations to set the scope to all locations, except the corporate network.

Wszystkie Zaufane lokalizacjeAll trusted locations

Ta opcja ma zastosowanie do:This option applies to:

  • Wszystkie lokalizacje oznaczone jako zaufaneAll locations that have been marked as trusted location
  • Zaufane adresy IP usługi MFA (jeśli zostały skonfigurowane)MFA Trusted IPS (if configured)

Wybrane lokalizacjeSelected locations

Za pomocą tej opcji można wybrać jedną lub więcej nazwanych lokalizacji.With this option, you can select one or more named locations. Aby można było zastosować zasady z tym ustawieniem, użytkownik musi nawiązać połączenie z dowolnych z wybranych lokalizacji.For a policy with this setting to apply, a user needs to connect from any of the selected locations. Po kliknięciu przycisku Wybierz wybraną kontrolkę Wybieranie sieci, która wyświetla listę nazwanych sieci otwiera się.When you click Select the named network selection control that shows the list of named networks opens. Lista pokazuje również, czy lokalizacja sieciowa została oznaczona jako zaufana.The list also shows if the network location has been marked as trusted. Nazwana lokalizacja o nazwie Zaufane adresy IP usługi MFA służy do uwzględnienia ustawień protokołu IP, które można skonfigurować na stronie Ustawienia usługi uwierzytelniania wieloskładnikowego.The named location called MFA Trusted IPs is used to include the IP settings that can be configured in the multi-factor authentication service setting page.

Co należy wiedziećWhat you should know

Kiedy jest szacowana lokalizacja?When is a location evaluated?

Zasady dostępu warunkowego są oceniane, gdy:Conditional Access policies are evaluated when:

  • Użytkownik najpierw loguje się do aplikacji sieci Web, mobilnej lub klasycznej.A user initially signs in to a web app, mobile or desktop application.
  • Aplikacja mobilna lub klasyczna korzystająca z nowoczesnego uwierzytelniania korzysta z tokenu odświeżania w celu uzyskania nowego tokenu dostępu.A mobile or desktop application that uses modern authentication, uses a refresh token to acquire a new access token. Domyślnie to sprawdzenie jest za godzinę.By default this check is once an hour.

To sprawdzenie oznacza, że aplikacje mobilne i klasyczne używają nowoczesnego uwierzytelniania, zmiana lokalizacji zostanie wykryta w ciągu godziny zmiany lokalizacji sieciowej.This check means for mobile and desktop applications using modern authentication, a change in location would be detected within an hour of changing the network location. W przypadku aplikacji mobilnych i klasycznych, które nie korzystają z nowoczesnego uwierzytelniania, zasady są stosowane do każdego żądania tokenu.For mobile and desktop applications that don’t use modern authentication, the policy is applied on each token request. Częstotliwość żądania może się różnić w zależności od aplikacji.The frequency of the request can vary based on the application. Podobnie w przypadku aplikacji sieci Web zasady są stosowane podczas początkowego logowania i są dobre dla okresu istnienia sesji w aplikacji sieci Web.Similarly, for web applications, the policy is applied at initial sign-in and is good for the lifetime of the session at the web application. Ze względu na różnice w okresach istnienia sesji między aplikacjami, czas między oceną zasad będzie również różny.Due to differences in session lifetimes across applications, the time between policy evaluation will also vary. Za każdym razem, gdy aplikacja żąda nowego tokenu logowania, zasady są stosowane.Each time the application requests a new sign-in token, the policy is applied.

Domyślnie usługa Azure AD wystawia token co godzinę.By default, Azure AD issues a token on an hourly basis. Po przejściu z sieci firmowej w ciągu godziny zasady są wymuszane dla aplikacji korzystających z nowoczesnego uwierzytelniania.After moving off the corporate network, within an hour the policy is enforced for applications using modern authentication.

Adres IP użytkownikaUser IP address

Adres IP, który jest używany w ocenie zasad, to publiczny adres IP użytkownika.The IP address that is used in policy evaluation is the public IP address of the user. W przypadku urządzeń w sieci prywatnej ten adres IP nie jest adresem IP klienta urządzenia użytkownika w intranecie. jest to adres używany przez sieć do łączenia się z publicznym Internetem.For devices on a private network, this IP address is not the client IP of the user’s device on the intranet, it is the address used by the network to connect to the public internet.

Ostrzeżenie

Jeśli urządzenie ma tylko adres IPv6, skonfigurowanie warunku lokalizacji nie jest obsługiwane.If your device has only an IPv6 address, configuring the location condition is not supported.

Zbiorcze przekazywanie i pobieranie nazwanych lokalizacjiBulk uploading and downloading of named locations

Podczas tworzenia lub aktualizowania nazwanych lokalizacji w przypadku aktualizacji zbiorczych można przekazać lub pobrać plik CSV z zakresami adresów IP.When you create or update named locations, for bulk updates, you can upload or download a CSV file with the IP ranges. Przekazywanie zastępuje zakresy adresów IP na liście tymi z pliku.An upload replaces the IP ranges in the list with those from the file. Każdy wiersz pliku zawiera jeden zakres adresów IP w formacie CIDR.Each row of the file contains one IP Address range in CIDR format.

Serwery proxy w chmurze i sieci VPNCloud proxies and VPNs

W przypadku korzystania z serwera proxy hostowanego w chmurze lub rozwiązania sieci VPN adres IP używany przez usługę Azure AD podczas oceniania zasad jest adresem IP serwera proxy.When you use a cloud hosted proxy or VPN solution, the IP address Azure AD uses while evaluating a policy is the IP address of the proxy. Nagłówek X-Forwarded-For (XFF), który zawiera publiczny adres IP użytkownika, nie jest używany, ponieważ nie ma weryfikacji, że pochodzi on z zaufanego źródła, dlatego należy przedstawić metodę faking adresu IP.The X-Forwarded-For (XFF) header that contains the user’s public IP address is not used because there is no validation that it comes from a trusted source, so would present a method for faking an IP address.

Gdy serwer proxy w chmurze jest na miejscu, można użyć zasad, które są używane do wymagania urządzenia przyłączonego do domeny, lub wewnątrz roszczeń sieci firmowej z AD FS.When a cloud proxy is in place, a policy that is used to require a domain joined device can be used, or the inside corpnet claim from AD FS.

Obsługa interfejsu API i programu PowerShellAPI support and PowerShell

Interfejsy API i PowerShell nie są jeszcze obsługiwane dla nazwanych lokalizacji ani dla zasad dostępu warunkowego.API and PowerShell is not yet supported for named locations, or for Conditional Access policies.

Następne krokiNext steps