Использование условия расположения в политике условного доступа

Как описано в обзорной статье , политики условного доступа — это наиболее простая инструкция if-then, объединяющая сигналы, для принятия решений и применения политик организации. Один из этих сигналов, который может быть включен в процесс принятия решений, — это сетевое расположение.

Концептуальный условный сигнал и решение о принудительном применении

Организации могут использовать это сетевое расположение для распространенных задач, таких как:

  • Требование многофакторной проверки подлинности для пользователей, которые пытаются получить доступ к службе, но пока отключены от корпоративной сети.
  • Блокировка доступа для пользователей, которые пытаются получить доступ к службе из определенных стран или регионов.

Сетевое расположение определяется общедоступным IP-адресом, предоставляемым клиентом для Azure Active Directory. Политики условного доступа по умолчанию применяются ко всем адресам IPv4 и IPv6.

Совет

Диапазоны IPv6 поддерживаются только в интерфейсе именованного расположения (Предварительная версия) .

Именованные расположения

Расположения назначаются в портал Azure в разделе Azure Active Directory > Безопасность > условного доступа > именованные расположения. Эти именованные сетевые расположения могут включать в себя такие расположения, как диапазоны сетей центрального офиса организации, диапазоны VPN-сетей или диапазоны, которые вы хотите заблокировать.

Именованные расположения в портал Azure

Чтобы настроить расположение, необходимо указать по крайней мере имя и диапазон IP-адресов.

Количество именованных расположений, которые можно настроить, ограничено размером соответствующего объекта в Azure AD. Расположения можно настроить на основе следующих ограничений.

  • Одно именованное расположение с диапазонами адресов до 1200.
  • Максимум 90 именованных расположений, каждому из которых назначен один диапазон IP-адресов.

Совет

Диапазоны IPv6 поддерживаются только в интерфейсе именованного расположения (Предварительная версия) .

Надежные расположения

При создании сетевого расположения администратор может пометить расположение как надежное расположение.

Надежные расположения в портал Azure

Этот параметр может быть включен в политики условного доступа, где, например, требуется регистрация многофакторной проверки подлинности из надежного сетевого расположения. Он также учитывает факторы защита идентификации Azure AD, снижая риск входа пользователей, когда поступает из расположения, помеченного как доверенное.

Страны и регионы

Некоторые организации могут определить границы IP-адресов для всех стран или регионов в виде именованных расположений для политик условного доступа. Они могут использовать эти расположения при блокировании ненужного трафика, если пользователи узнают, что они никогда не поступают из таких мест, как Северная Корея. Эти сопоставления IP-адреса со страной периодически обновляются.

Примечание

Диапазоны IPv6-адресов не могут сопоставляться с странами. Только IPv4-адреса соответствуют странам.

Создайте новое расположение на основе страны или региона в портал Azure

Включить неизвестные области

Некоторые IP-адреса не сопоставлены с определенной страной или регионом, включая все IPv6-адреса. Для записи этих IP-адресов установите флажок включить неизвестные области при определении расположения. Этот параметр позволяет указать, нужно ли включать эти IP-адреса в именованное расположение. Используйте данный параметр, когда политика, использующая именованное расположение, должна применяться к неизвестным расположениям.

Настройка надежных IP-адресов MFA

Вы также можете настроить диапазоны IP-адресов, представляющие локальную интрасеть в параметрах службы многофакторной проверки подлинности. Эта функция позволяет настроить до 50 диапазонов IP-адресов. Диапазоны IP-адресов имеют формат CIDR. Дополнительные сведения см. в разделе Надежные IP-адреса.

Если настроены доверенные IP-адреса, они отображаются как Надежные IP-адреса MFA в списке расположений для условия расположения.

Пропуск многофакторной проверки подлинности

На странице параметров службы многофакторной проверки подлинности можно определить пользователей корпоративной интрасети, установив флажок Пропустить многофакторную проверку подлинности для запросов от федеративных пользователей из моей интрасети. Этот параметр указывает, что внутреннее утверждение корпоративной сети, выдаваемое сервером служб федерации Active Directory (AD FS), должно быть надежным и использоваться для идентификации пользователя в корпоративной сети. Дополнительные сведения см. в разделе Включение функции надежных IP-адресов с помощью условного доступа.

После выбора этого параметра, включая именованное расположение, Надежные IP-адреса MFA будут применяться к политикам с выбранным параметром.

Для мобильных и настольных приложений, которые имеют продолжительное время существования сеанса, периодически проверяется условный доступ. По умолчанию — один раз в час. Если внутренне утверждение корпоративной сети выпускается только во время первоначальной проверки подлинности, Azure AD может не иметь списка диапазонов надежных IP-адресов. В этом случае трудно определить, находится ли по-прежнему пользователь в корпоративной сети.

  1. Проверьте, входит ли IP-адрес пользователя в один из диапазонов надежных IP-адресов.
  2. Проверьте, соответствуют ли первые три октета IP-адреса пользователя первым трем октетам IP-адреса первоначальной проверки подлинности. IP-адрес сравнивается с первоначальной проверкой подлинности, когда первоначально выдавалось внутреннее утверждение корпоративной сети и было проверено расположение пользователя.

Если оба этапа завершатся ошибкой, считается, что пользователь больше не использует надежный IP-адрес.

Предварительная версия функций

Помимо общедоступной функции именованного расположения, существует также именованное расположение (Предварительная версия). Вы можете получить доступ к предварительному просмотру именованного расположения, используя баннер в верхней части колонки именованного расположения.

Попробуйте предварительный просмотр именованных расположений

С помощью предварительного просмотра именованного расположения вы можете

  • Настройка до 195 именованных расположений
  • Настройка до 2000 диапазонов IP-адресов на именованное расположение
  • Настройка адресов IPv6 вместе с IPv4-адресами

Мы также добавили некоторые дополнительные проверки, которые помогут снизить изменяющие настройки.

  • Диапазоны частных IP-адресов больше не могут быть настроены
  • Количество IP-адресов, которые могут быть включены в диапазон, ограничено. При настройке диапазона IP-адресов будут разрешены только маски CIDR, превышающие/8.

В предварительной версии теперь доступны два варианта создания:

  • Расположение стран
  • Расположение диапазонов IP-адресов

Примечание

Диапазоны IPv6-адресов не могут сопоставляться с странами. Только IPv4-адреса соответствуют странам.

Интерфейс предварительного просмотра именованных расположений

Условие расположения в политике

При настройке условия расположения вы можете выбрать:

  • Любое расположение
  • Все надежные расположения
  • Выбранные расположения

Любое расположение

По умолчанию выбор варианта Любое местонахождение приводит к тому, что политика применяется ко всем IP-адресам (то есть к любому адресу в Интернете). Этот параметр не ограничивается IP-адресами, настроенными как именованное расположение. Выбрав вариант Любое местонахождение, вы все равно можете исключить определенные расположения из политики. Например, можно применить политику ко всем расположениям (за исключением надежных расположений), чтобы задать для области все расположения (за исключением корпоративной сети).

Все надежные расположения

Этот параметр применяется:

  • ко всем расположениям, помеченным как надежное расположение;
  • надежным IP-адресам MFA (если настроены).

Выбранные расположения

С помощью этого параметра можно выбрать одно или несколько именованных расположений. Для применения политики с этим параметром пользователю необходимо подключиться из любого из выбранных расположений. Если щелкнуть Выбрать, откроется элемент управления со списком именованных сетей. В списке также показано, является ли надежным расположение в сети. Именованное расположение Надежные IP-адреса MFA используется для включения параметров IP-адресов, которые можно настроить на странице параметров службы многофакторной проверки подлинности.

Трафик IPv6

По умолчанию политики условного доступа применяются ко всему трафику IPv6. С помощью предварительного просмотра именованного расположенияможно исключить определенные диапазоны IPv6-адресов из политики условного доступа. Этот параметр полезен в тех случаях, когда политика не должна применяться для конкретных диапазонов IPv6. Например, если не требуется применять политику для использования в корпоративной сети, а корпоративная сеть размещается в общедоступных диапазонах IPv6.

Когда мой клиент получит трафик IPv6?

Azure Active Directory (Azure AD) в настоящее время не поддерживает прямые сетевые подключения, использующие IPv6. Однако в некоторых случаях трафик проверки подлинности передается через другую службу. В этих случаях IPv6-адрес будет использоваться во время оценки политики.

Большая часть трафика IPv6, который передается в Azure AD через прокси-сервер, поставляется с Microsoft Exchange Online. Если это возможно, Exchange будет предпочитать IPv6-подключения. Поэтому при наличии политик условного доступа для Exchange, настроенных для конкретных диапазонов IPv4, необходимо также добавить диапазоны IPv6 организаций. Не включая диапазоны IPv6, это приведет к непредвиденному поведению в следующих двух случаях:

  • Если почтовый клиент используется для подключения к Exchange Online с использованием устаревшей проверки подлинности, Azure AD может получить IPv6-адрес. Первоначальный запрос проверки подлинности переходит в Exchange и затем подключается к Azure AD через прокси-сервер.
  • Когда в браузере используется Outlook Веб-доступ (OWA), он периодически проверяет, все ли политики условного доступа будут удовлетворены. Эта проверка используется для того, чтобы отслеживать случаи, когда пользователь мог переместиться с разрешенного IP-адреса в новое место, например, в кафе на улице. В этом случае, если используется IPv6-адрес, а IPv6-адрес не находится в настроенном диапазоне, пользователь может прервать сеанс и направить обратно в Azure AD для повторной проверки подлинности.

Это наиболее распространенные причины, по которым может потребоваться настроить диапазоны IPv6 в именованных расположениях. Кроме того, если вы используете Azure виртуальных сетей, трафик будет поступил с адреса IPv6. Если трафик виртуальной сети заблокирован политикой условного доступа, проверьте свой журнал входа в Azure AD. Определив трафик, можно получить используемый IPv6-адрес и исключить его из политики.

Примечание

Если необходимо указать диапазон CIDR IP для одного адреса, примените битовую маску/128. Если вы указали IPv6-адрес 2607: fb90: b27a: 6f69: f8d5: dea0: FB39:74A и хотели бы исключить этот один адрес в качестве диапазона, используйте 2607: fb90: b27a: 6f69: f8d5: dea0: FB39:74A/128.

Определение трафика IPv6 в отчетах о действиях входа в Azure AD

Вы можете обнаружить трафик IPv6 в клиенте, выполнив отчеты о действиях при входе в Azure AD. После открытия отчета о действиях добавьте столбец "IP-адрес". В этой статье вы узнаете, как задать трафик IPv6.

Клиентский IP-адрес можно также найти, щелкнув строку в отчете, а затем перейдя на вкладку "расположение" в разделе сведения о действии входа.

Необходимая информация

Когда выполняется проверка расположения

Политики условного доступа оцениваются в следующих случаях:

  • Изначально пользователь входит в веб-приложение, мобильное или классическое приложение.
  • Мобильное или классическое приложение, в котором применяется современная аутентификация, использует маркер обновления для получения нового маркера доступа. По умолчанию эта проверка длится один раз в час.

Эта проверка означает, что для мобильных и настольных приложений, использующих современную проверку подлинности, изменение расположения будет обнаружено в течение часа изменения сетевого расположения. Для мобильных и классических приложений, которые не используют современную аутентификацию, к каждому запросу на маркер применяется политика. Частота выполнения запроса зависит от приложения. Для веб-приложений политика также применяется во время начального входа и действует в течение времени существования сеанса веб-приложения. Так как в разных приложениях время сеанса будет разным, время между оценкам политики также может изменяться. Каждый раз, когда приложение запрашивает новый маркер входа, применяется политика.

По умолчанию Azure AD выдает токен на почасовой основе. После перемещения из корпоративной сети в течение часа политика применяется для приложений, использующих современную проверку подлинности.

IP-адрес пользователя

При оценке политики используется общедоступный IP-адрес пользователя. Для устройств в частной сети этот IP-адрес не является клиентом IP-адреса устройства пользователя в интрасети. это адрес, используемый сетью для подключения к общедоступному Интернету.

Массовое обновление и загрузка именованных расположений

При создании или обновлении именованных расположений для массовых обновлений можно передать или скачать CSV-файл с диапазонами IP-адресов. При передаче диапазоны IP-адресов в списке заменяются этими диапазонами из файла. Каждая строка файла содержит один диапазон IP-адресов в формате CIDR.

Облачные прокси-серверы и виртуальные частные сети (VPN)

Если используется прокси-сервер, размещенный в облаке, или решение VPN, при оценке политики Azure AD использует IP-адрес прокси-сервера. Заголовок X-Forwarded-For (XFF), содержащий общедоступный IP-адрес пользователей, не используется, так как нет подтверждения того, что он поступает из надежного источника, а значит может быть поддельным.

Если используется облачный прокси-сервер, можно использовать политику, которая требует гибридного устройства, присоединенного к Azure AD, или утверждение внутренней корпоративной сети от AD FS.

Поддержка API и PowerShell

Доступна предварительная версия API Graph для именованных расположений. Дополнительные сведения см. в разделе API намедлокатион.

Примечание

Именованные расположения, созданные с помощью PowerShell, отображаются только в именованных расположениях (Предварительная версия). В старом представлении не отображаются именованные расположения.

Дальнейшие действия