Usar a condição de localização em uma política de Acesso condicional

Conforme explicado no artigo de visão geral, as políticas de acesso condicional estão em sua instrução mais básica if-then que combina sinais para tomar decisões e impor políticas da organização. Um desses sinais que pode ser incorporado ao processo de tomada de decisão é a localização.

Sinal condicional conceitual mais decisão para obter a imposição

As organizações podem usar essa localização em tarefas comuns, tais como:

  • Exigir autenticação multifator para usuários que acessam um serviço quando estão fora da rede corporativa.
  • Bloqueando o acesso para usuários que acessam um serviço de países e regiões específicas.

A localização é determinada pelo endereço IP público que um cliente fornece ao Azure Active Directory ou coordenadas GPS fornecidas pelo aplicativo Microsoft Authenticator. Por padrão, as políticas de acesso condicional se aplicam a todos os endereços IPv4 e IPv6.

Localizações nomeadas

Os locais são designados no portal do Azure em Azure Active Directory > Segurança > Acesso condicional > Localizações nomeadas. Esses locais de rede nomeados podem incluir locais como intervalos de rede da sede de uma organização, intervalos de rede VPN ou intervalos que você deseja bloquear. Localizações nomeadas podem ser definidos por intervalos de endereços IPv4/IPv6 ou por países.

Localizações nomeadas no portal do Azure

Intervalos de endereços IP

Para definir uma localização nomeada por intervalos de endereços IPv4/IPv6, você precisará fornecer:

  • Um Nome para a localização
  • Um ou mais intervalos de IP
  • Como opção, Marcar como localização confiável

Novas localizações IP no portal do Azure

As localizações nomeadas definidas pelos intervalos de endereços IPv4/IPv6 estão sujeitas às seguintes limitações:

  • Configurar até 195 localizações nomeadas
  • Configurar até 2000 intervalos de IP por localização nomeada
  • Há suporte para intervalos IPv4 e IPv6
  • Não podem ser configurados intervalos de IP privado
  • O número de endereços IP contidos em um intervalo é limitado. Somente máscaras CIDR maiores que /8 são permitidas ao definir um intervalo de IP.

Localizações confiáveis

Os administradores podem designar localizações definidas por intervalos de endereços IP para serem localizações nomeadas confiáveis.

As credenciais de localizações nomeadas confiáveis melhoram a precisão do cálculo de risco do Azure AD Identity Protection, reduzindo o risco de credenciais do usuário quando ele se autentica de uma localização marcada como confiável. Além disso, as localizações nomeadas confiáveis podem ser direcionadas em políticas de Acesso Condicional. Por exemplo, você pode restringir o registro de autenticação multifator a localizações confiáveis.

Países

As organizações podem determinar a localização do país por endereço IP ou coordenadas de GPS.

Para definir uma localização nomeada por país, você precisará fornecer:

  • Um Nome para a localização
  • Escolher como determinar a localização por endereço IP ou coordenadas GPS
  • Adicionar um ou mais países
  • Opcionalmente, escolher para Incluir países/regiões desconhecidas

País como uma localização no portal do Azure

Se você selecionar Determinar localização por endereço IP (somente IPv4) , o sistema coletará o endereço IP do dispositivo no qual o usuário está fazendo login. Quando o usuário entra, o Azure AD resolve o endereço IPv4 dele para um país ou região e o mapeamento é atualizado periodicamente. As organizações podem usar localizações nomeadas definidas por países para bloquear o tráfego de países em que não fazem negócios.

Observação

Os logins com endereços IPv6 não podem ser mapeados para países ou regiões e são considerados áreas desconhecidas. Somente endereços IPv4 podem ser mapeados para países ou regiões.

Se você selecionar Determinar a localização por coordenadas GPS (versão prévia) , o usuário precisará ter o aplicativo Microsoft Authenticator instalado no dispositivo móvel. A cada hora, o sistema entrará em contato com o aplicativo Microsoft Authenticator para coletar a localização GPS do dispositivo móvel do usuário.

Na primeira vez que o usuário precisar compartilhar a localização do aplicativo Microsoft Authenticator, ele receberá uma notificação no aplicativo. O usuário precisará abrir o aplicativo e conceder as permissões de localização.

Nas próximas 24 horas, se o usuário ainda estiver acessando o recurso e tiver concedido a permissão do aplicativo para ser executado em segundo plano, a localização do dispositivo será compartilhada silenciosamente uma vez por hora. Após 24 horas, o usuário deve abrir o aplicativo e aprovar a notificação. Sempre que o usuário compartilha sua localização GPS, o aplicativo faz a detecção de jailbreak (usando a mesma lógica que o SDK do MAM do Intune). Se o dispositivo estiver com jailbreak, a localização não será considerada válida e o acesso não será concedido ao usuário.

Uma política de Acesso Condicional com localizações nomeadas baseadas em GPS no modo somente relatório solicita que os usuários compartilhem sua localização GPS, mesmo que não sejam impedidos de entrar.

Importante

Os usuários podem receber prompts toda hora informando que o Azure AD está verificando a localização deles no aplicativo Authenticator. A versão prévia deve ser usada somente para proteger aplicativos muito confidenciais em que esse comportamento é aceitável ou nos quais o acesso precisa ser restrito a um país/uma região específica.

Incluir países/regiões desconhecidas

Alguns endereços IP não são mapeados para um país ou região específica, incluindo todos os endereços IPv6. Para capturar essas localizações de IP, marque a caixa Incluir países/regiões desconhecidas ao definir uma localização geográfica. Esta opção permite que você escolha se esses endereços IP devem ser incluídos na localização nomeada. Use essa configuração quando a política usando a localização nomeada deve aplicar-se a localizações desconhecidas.

Configurar IPs confiáveis de MFA

Você também pode configurar intervalos de endereços IP que representam a Intranet local da sua organização nas configurações do serviço de autenticação multifator. Esse recurso permite que você configure até 50 intervalos de endereços IP. Os intervalos de endereços IP estão no formato CIDR. Para obter mais informações, consulte IPs confiáveis.

Se você tem IPs confiáveis configurados, eles aparecem como IPs confiáveis de MFA na lista de locais para a condição de localização.

Ignorando a autenticação multifator

Na página de configurações do serviço de autenticação multifator, você pode identificar os usuários da Intranet corporativa selecionando Ignorar autenticação multifator para solicitações de usuários federados na minha Intranet. Essa configuração indica que a declaração de rede corporativa interna, que é emitida pelo AD FS, deve ser confiável e usada para identificar o usuário como estando na rede corporativa. Para obter mais informações, consulte Habilitar o recurso de IPs confiáveis por meio do acesso condicional.

Depois de marcar essa opção, incluir a localização nomeada IPs confiáveis de MFA será aplicado a todas as políticas com essa opção selecionada.

Para aplicativos móveis e de desktop, que têm vida útil de sessões ativas longa, o acesso condicional é reavaliado periodicamente. O padrão é uma vez a cada hora. Quando a declaração da rede corporativa interna é emitida somente no momento da autenticação inicial, o Microsoft Azure AD pode não ter uma lista de intervalos de IP confiáveis. Nesse caso, é mais difícil determinar se o usuário ainda está na rede corporativa:

  1. Verifique se o endereço IP do usuário está em um dos intervalos de IP confiáveis.
  2. Verifique se os três primeiros octetos do endereço IP do usuário correspondem aos três primeiros octetos do endereço IP da autenticação inicial. O endereço IP é comparado com a autenticação inicial quando a declaração da rede corporativa interna foi originalmente emitida e o local do usuário foi validado.

Se ambas as etapas falharem, um usuário é considerado como não estando em um IP confiável.

Condição de localização na política

Quando você configurar a condição de localização, você pode distinguir entre:

  • Qualquer local
  • Todos os locais confiáveis
  • Locais selecionados

Qualquer local

Por padrão, selecionar Qualquer local faz com que uma política seja aplicada a todos os endereços IP, o que significa qualquer endereço na Internet. Essa configuração não está limitada aos endereços IP que você configurou como localização nomeada. Quando seleciona Qualquer local, você ainda pode excluir locais específicos de uma política. Por exemplo, você pode aplicar uma política para todos os locais confiáveis de exceções de locais para definir o escopo para todos os locais, exceto a rede corporativa.

Todos os locais confiáveis

Esta opção se aplica a:

  • Todos os locais que foram marcados como local confiável
  • IPs confiáveis de MFA (se configurado)

Locais selecionados

Com essa opção, você pode selecionar uma ou mais localizações nomeadas. Para uma política com essa configuração a ser aplicada, um usuário precisa se conectar de qualquer um dos locais selecionados. Ao escolher Selecionar, é aberto o controle de seleção da rede nomeada que mostra a lista de redes nomeadas. A lista também mostra se o local de rede foi marcado como confiável. A localização nomeada chamada IPs confiáveis de MFA é usada para incluir as configurações de IP podem ser configuradas na página de configuração do serviço de autenticação multifator.

Tráfego IPv6

Por padrão, as políticas de acesso condicional serão aplicadas a todo o tráfego IPv6. Você poderá excluir intervalos de endereços IPv6 específicos de uma política de Acesso Condicional se não quiser que as políticas sejam impostas para intervalos IPv6 específicos. Por exemplo, se você quiser não impor uma política para usos em sua rede corporativa, e sua rede corporativa estiver hospedada em intervalos IPv6 públicos.

Identificar o tráfego IPv6 nos relatórios de atividade de entrada do Azure AD

Você pode descobrir o tráfego IPv6 em seu locatário acessando os Relatórios de atividade de entrada do Azure AD. Depois de abrir o relatório de atividades, adicione a coluna "Endereço IP". Esta coluna fornecerá a você a identificação do tráfego IPv6.

Você também pode encontrar o IP do cliente clicando em uma linha no relatório e, em seguida, acessando a guia "Local" nos detalhes da atividade de entrada.

Quando meu locatário terá o tráfego IPv6?

O Azure Active Directory (Azure AD) atualmente não oferece suporte a conexões de rede diretas que usam IPv6. No entanto, há alguns casos em que o tráfego de autenticação é em proxy por meio de outro serviço. Nesses casos, o endereço IPv6 será usado durante a avaliação da política.

A maior parte do tráfego IPv6 que recebe o proxy do Azure AD vem do Microsoft Exchange Online. Quando disponível, o Exchange prefere as conexões IPv6. Portanto, se você tiver políticas de acesso condicional para o Exchange, que foram configuradas para intervalos IPv4 específicos, convém ter certeza de que também adicionou os intervalos IPv6 das organizações. Não incluir intervalos IPv6 causará um comportamento inesperado para os dois casos a seguir:

  • Quando um cliente de email é usado para se conectar ao Exchange Online com autenticação herdada, o Azure AD pode receber um endereço IPv6. A solicitação de autenticação inicial vai para o Exchange e, em seguida, é colocada em proxy no Azure AD.
  • Quando o Outlook Web Access (OWA) é usado no navegador, ele verifica periodicamente se todas as políticas de acesso condicional continuam a ser atendidas. Essa verificação é usada para capturar casos em que um usuário pode ter se movido de um endereço IP permitido para um novo local, como o café no final da rua. Nesse caso, se um endereço IPv6 for usado e se o endereço IPv6 não estiver em um intervalo configurado, o usuário poderá ter sua sessão interrompida e ser direcionado para o Azure AD para autenticar novamente.

Além disso, se você estiver usando o Azure VNets, terá o tráfego proveniente de um endereço IPv6. Se você tiver o tráfego de VNet bloqueado por uma política de acesso condicional, verifique seu log de entrada do Azure AD. Depois de identificar o tráfego, você pode obter o endereço IPv6 que está sendo usado e excluí-lo da política.

Observação

Se você quiser especificar um intervalo de CIDR de IP para um único endereço, aplique a máscara de 128 bits. Se você vir o endereço IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a e quiser excluir esse endereço único como um intervalo, use 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

O que você deve saber

Quando um local é avaliado?

Políticas de acesso condicional são avaliadas quando:

  • Um usuário inicialmente entra em um aplicativo Web, aplicativo da área de trabalho ou móvel.
  • Um aplicativo da área de trabalho ou móvel que usa autenticação moderna, usa um token de atualização para adquirir um novo token de acesso. Por padrão, essa verificação acontece uma vez a cada hora.

Essa verificação significa que para aplicativos móveis e da área de trabalho que utilizam autenticação moderna, uma alteração no local seria detectada dentro de uma hora da alteração do local de rede. Para aplicativos da área de trabalho e móveis que não utilizam autenticação moderna, a política é aplicada em cada solicitação de token. A frequência da solicitação pode variar de acordo com o aplicativo. Da mesma forma, para aplicativos Web, a política é aplicada no início da entrada e é adequada para o tempo de vida da sessão no aplicativo Web. Devido às diferenças nos tempos de vida da sessão em todos os aplicativos, o tempo entre a avaliação de política também varia. Sempre que o aplicativo solicitar um novo token de entrada, a política será aplicada.

Por padrão, o Microsoft Azure AD emite um token de hora em hora. Depois de remover a rede corporativa, em uma hora a política é aplicada para aplicativos que usam autenticação moderna.

Endereço IP do usuário

O endereço IP usado na avaliação de política é o endereço IP público do usuário. Para dispositivos em uma rede privada, esse endereço IP não é o IP do cliente do dispositivo do usuário na Intranet, é o endereço usado pela rede para se conectar à Internet pública.

Carregamento em massa e download de localizações nomeadas

Quando você cria ou atualiza localizações nomeadas, para atualizações em massa, você pode carregar ou fazer o download de um arquivo CSV com os intervalos de IP. Um carregamento substitui os intervalos de IP na lista com aqueles intervalos do arquivo. Cada linha do arquivo contém um intervalo de endereços IP no formato CIDR.

Proxies e VPNs na nuvem

Quando você usa um proxy ou solução VPN hospedado na nuvem, o endereço IP que o Microsoft Azure AD usa ao avaliar uma política é o endereço IP do proxy. O cabeçalho de X-Forwarded-For (XFF) que contém o endereço IP público dos usuários não é usado porque não há validações que venham de uma fonte confiável, portanto apresentaria um método para simular um endereço IP.

Quando um proxy na nuvem está em uso, uma política que é usada para solicitar um dispositivo ingressado no Azure AD híbrido pode ser usada, ou a declaração corpnet interna do AD FS.

Suporte à API e PowerShell

Uma versão prévia da API do Graph para localizações nomeadas está disponível. Para obter mais informações, confira API namedLocation.

Próximas etapas