Условный доступ: назначение сети

  • Статья

Администратор istrator может создавать политики, предназначенные для определенных сетевых расположений в качестве сигнала, а также других условий в процессе принятия решений. Они могут включать или исключать эти сетевые расположения в рамках конфигурации политики. Эти сетевые расположения могут включать общедоступную информацию о сети IPv4 или IPv6, страны, неизвестные области, которые не сопоставляют с определенными странами или совместимой сетью глобального безопасного доступа.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Примечание.

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Организации могут использовать эти расположения для распространенных задач, таких как:

  • требование многофакторной проверки подлинности для пользователей, которые пытаются получить доступ к службе, но пока отключены от корпоративной сети;
  • Блокировка доступа из определенных стран, из которых ваша организация никогда не работает.

Расположение пользователя найдено с помощью общедоступного IP-адреса или координат GPS, предоставляемых приложением Microsoft Authenticator. Политики условного доступа применяются ко всем расположениям по умолчанию.

Совет

Условие расположения перемещено и переименовано в сеть. Сначала это условие будет отображаться как на уровне назначения, так и в разделе "Условия".

Снимок экрана: условие назначения сети в политике условного доступа.

При настройке в политике

При настройке условия расположения вы можете выбрать:

  • Любая сеть или расположение
  • Все доверенные сети и расположения
  • Все соответствующие расположения сети
  • Выбранные сети и расположения

Любая сеть или расположение

По умолчанию выбор любого расположения приводит к применению политики ко всем IP-адресам, что означает любой адрес в Интернете. Этот параметр не ограничивается IP-адресами, настроенными в качестве именованных расположений. Выбрав вариант Любое местонахождение, вы все равно можете исключить определенные расположения из политики. Например, можно применить политику ко всем расположениям (за исключением надежных расположений), чтобы задать для области все расположения (за исключением корпоративной сети).

Все доверенные сети и расположения

Этот параметр применяется:

  • Все расположения, помеченные как надежные расположения.
  • Многофакторная проверка подлинности доверенных IP-адресов, если настроена.

Многофакторная проверка подлинности доверенных IP-адресов

Использование раздела доверенных IP-адресов параметров службы многофакторной проверки подлинности больше не рекомендуется. Этот элемент управления принимает только IPv4-адреса и должен использоваться только для определенных сценариев, описанных в статье "Настройка параметров многофакторной проверки подлинности Microsoft Entra".

Если у вас настроены доверенные IP-адреса, они отображаются как доверенные IP-адреса MFA в списке расположений для условия расположения.

Все соответствующие расположения сети

Организации с доступом к функциям предварительной версии Global Secure Access имеют другое расположение, состоящее из пользователей и устройств, которые соответствуют политикам безопасности вашей организации. Дополнительные сведения см. в разделе "Включение сигнала глобального безопасного доступа для условного доступа". Его можно использовать с политиками условного доступа для выполнения соответствующих сетевых проверка для доступа к ресурсам.

Выбранные сети и расположения

С помощью этого параметра можно выбрать одно или несколько именованных расположений. Для применения политики с этим параметром пользователю необходимо подключиться из любого из выбранных расположений. При нажатии кнопки "Выбрать" откроется список определенных расположений. В этом списке показано имя, тип и расположение сети, помеченное как доверенное.

Как определены эти расположения?

Расположения определяются и существуют в Центре администрирования Microsoft Entra в разделе "Именованные расположения условного доступа>защиты".> Администратор istrator с по крайней мере Роль условного доступа Администратор istrator может создавать и обновлять именованные расположения.

Снимок экрана: именованные расположения в Центре администрирования Microsoft Entra.

Именованные расположения могут включать такие расположения, как диапазоны сети штаб-квартиры организации, диапазоны VPN-сети или диапазоны, которые вы хотите заблокировать. Именованные расположения содержат диапазоны адресов IPv4, диапазоны адресов IPv6 или страны.

Диапазоны адресов IPv4 и IPv6

Чтобы определить именованное расположение по общедоступным диапазонам адресов IPv4 или IPv6, необходимо указать следующее:

  • Имя расположения.
  • Один или несколько диапазонов общедоступных IP-адресов.
  • При необходимости помечается как надежное расположение.

К именованным расположениям, определяемым диапазонами адресов IPv4/IPv6, применяются следующие ограничения:

  • Не более 195 именованных расположений.
  • Не более 2000 диапазонов IP-адресов на именованное расположение.
  • При определении диапазона IP-адресов разрешены только маски CIDR длиной больше /8.

Для устройств в частной сети IP-адрес не является IP-адресом клиента устройства пользователя в интрасети (например, 10.55.99.3), это адрес, используемый сетью для подключения к общедоступному Интернету (например, 198.51.100.3).

Надежные расположения

Администратор istrator может при необходимости пометить расположения на основе IP-адресов, такие как диапазоны общедоступных сетевых сетей вашей организации как доверенные. Эта маркировка используется различными способами.

  • Политики условного доступа могут включать или исключать эти расположения.
  • Входы из доверенных именованных расположений повышают точность вычисления рисков Защита идентификации Microsoft Entra.

Расположения, помеченные как доверенные, не могут быть удалены без первого удаления доверенного обозначения.

Страны

Организации могут определить географическое расположение страны по IP-адресу или координатам GPS.

Чтобы определить именованное расположение по стране, необходимо:

  • Укажите имя расположения.
  • Выберите расположение по IP-адресу или координатам GPS.
  • Добавьте один или несколько стран или регионов.
  • При необходимости выберите включить неизвестные страны или регионы.

Снимок экрана: создание нового расположения с помощью стран.

При выборе определения расположения по IP-адресу идентификатор Microsoft Entra разрешает IPv4-адрес пользователя или IPv6-адрес в страну или регион на основе периодической обновленной таблицы сопоставления.

При выборе местоположения по координатам GPS пользователи должны установить приложение Microsoft Authenticator на мобильном устройстве. Каждый час система обращается к приложению Microsoft Authenticator пользователя, чтобы получить расположение GPS своего мобильного устройства.

  • Первый раз, когда пользователь должен предоставить общий доступ к своему расположению из приложения Microsoft Authenticator, он получает уведомление в приложении. Пользователь должен открыть приложение и предоставить разрешения на расположение. Если пользователь по-прежнему будет обращаться к ресурсу, предоставив разрешение на выполнение приложения в фоновому режиме, на протяжении следующих 24 часов, данные о расположении устройства будут автоматически передаваться каждый час.
  • Спустя 24 часа пользователь должен открыть приложение и подтвердить уведомление.
  • Каждый раз, когда пользователь делится своим расположением GPS, приложение выполняет обнаружение с помощью той же логики, что и пакет SDK Microsoft Intune MAM. Если устройство взломано, расположение не считается допустимым и пользователю не предоставляется доступ.
    • Приложение Microsoft Authenticator на Android использует API целостности Google Play для упрощения обнаружения взлома. Если API целостности Google Play недоступна, запрос отклоняется, и пользователь не сможет получить доступ к запрошенному ресурсу, если политика условного доступа не отключена. Дополнительные сведения о приложении Microsoft Authenticator см. в статье Распространенные вопросы о приложении Microsoft Authenticator.
  • Пользователи могут изменить расположение GPS, как сообщается устройствами iOS и Android. В результате приложение Microsoft Authenticator запрещает проверку подлинности, в которой пользователь может использовать другое расположение, отличное от фактического расположения GPS мобильного устройства, на котором установлено приложение. Пользователи, изменяющие расположение устройства, получают сообщение об отказе в политиках на основе местоположения GPS.

Примечание.

Политика условного доступа с именованными расположениями на основе GPS в режиме "только отчет" предлагает пользователям предоставить доступ к их GPS-расположениям, даже если им запрещен вход.

GPS-расположения не работают со способами проверки подлинности без пароля.

Перед применением нескольких политик условного доступа пользователи могут запрашивать расположение GPS. Из-за того, как применяются политики условного доступа, пользователь может быть отказано в доступе, если они передают расположение проверка но не удается выполнить другую политику. Дополнительные сведения о применении политик см. в статье о создании политики условного доступа.

Внимание

Пользователи могут получать запросы каждый час, сообщая им, что идентификатор Microsoft Entra проверка их расположение в приложении Authenticator. Эта функция должна использоваться только для защиты очень конфиденциальных приложений, где это поведение приемлемо или где доступ должен быть ограничен для определенной страны или региона.

Включение неизвестных стран и регионов

Некоторые IP-адреса не сопоставляют с определенной страной или регионом. Чтобы собирать данные об этих IP-адресах, установите флажок Включить неизвестные страны и регионы при определении географического расположения. Этот параметр позволяет указать, нужно ли включать эти IP-адреса в именованное расположение. Используйте данный параметр, когда политика, использующая именованное расположение, должна применяться к неизвестным расположениям.

Часто задаваемые вопросы

Поддерживается ли API Graph?

Поддержка API Graph для именованных расположений доступна, дополнительные сведения см. в api именованного расположения.

Что делать, если я использую облачный прокси-сервер или VPN?

При использовании облачного размещенного прокси-сервера или VPN-адреса идентификатора Microsoft Entra, используемого при оценке политики, является IP-адресом прокси-сервера. Заголовок X-Forwarded-For (XFF), содержащий общедоступный IP-адрес пользователей, не используется, так как нет подтверждения того, что он поступает из надежного источника, а значит может быть поддельным.

При использовании облачного прокси-сервера политика, требующая гибридного соединения Или совместимого устройства Microsoft Entra, может быть проще управлять. Хранение списка IP-адресов, используемых облачным прокси-сервером или VPN-решением, практически невозможно.

Мы рекомендуем организациям использовать глобальный безопасный доступ, чтобы включить восстановление исходного IP-адреса, чтобы избежать этого изменения в адресе и упрощения управления.

Когда выполняется проверка расположения

Политики условного доступа оцениваются:

  • Изначально пользователь входит в веб-приложение, мобильное или классическое приложение.
  • Мобильное или классическое приложение, в котором применяется современная аутентификация, использует маркер обновления для получения нового маркера доступа. По умолчанию проверка происходит один раз в час.

Это проверка означает для мобильных и классических приложений с использованием современной проверки подлинности, изменение расположения обнаруживается в течение часа после изменения сетевого расположения. Для мобильных и классических приложений, которые не используют современную проверку подлинности, политика применяется к каждому запросу маркера. Частота выполнения запроса зависит от приложения. Аналогичным образом, для веб-приложений политики применяются при первоначальном входе и хорошо подходит для времени существования сеанса в веб-приложении. Из-за различий в времени существования сеансов в приложениях время между оценкой политики зависит. Каждый раз, когда приложение запрашивает новый маркер входа, применяется политика.

По умолчанию идентификатор Microsoft Entra id выдает маркер почасовой основе. После перехода пользователей из корпоративной сети в течение часа политика применяется для приложений с использованием современной проверки подлинности.

Когда вы можете заблокировать расположения?

Политика, которая использует условие расположения для блокировки доступа, считается ограничивающим и должна выполняться с осторожностью после тщательного тестирования. Некоторые экземпляры использования условия расположения для блокировки проверки подлинности могут включать:

  • Блокировка стран или регионов, в которых ваша организация никогда не работает.
  • Блокировка определенных диапазонов IP-адресов, например:
    • Известные вредоносные IP-адреса перед изменением политики брандмауэра.
    • Высокочувствительные или привилегированные действия и облачные приложения.
    • На основе определенного диапазона IP-адресов пользователя, например доступа к приложениям для учета или заработной платы.

Связанный контент