Ограничение доступа с помощью правил на базе доверенных IP-адресов

Применимо к Dynamics 365 (сетевая версия), версия 9.0

Для снижения вероятности несанкционированного доступа вы можете разрешить доступ к Dynamics 365 (Online) только пользователям с доверенными IP-адресами. Когда в профиле пользователя установлены ограничения по доверенным IP-адресам и пользователь пытается войти в систему с IP-адреса, который не является доверенным, доступ к Dynamics 365 (Online) блокируется.

Требования

  • Подписка на Azure Active Directory Premium.

  • Федеративный или управляемый клиент Azure Active Directory.

  • Для федеративных клиентов требуется, чтобы была включена многофакторная проверка подлинности (MFA).

Дополнительные рекомендации по безопасности

Ограничение IP-адресов действует только во время проверки подлинности пользователя. Это делается с помощью функции условного доступа Azure Active Directory. Dynamics 365 (Online) устанавливает ограничение времени ожидания сеанса для балансирования защиты пользовательских данных и количества приглашений пользователю на ввод своих учетных данных. Ограничение доверенными IP-адресами для устройств (включая ноутбуки) не применяется, пока не истечет время ожидания сеанса Dynamics 365 (Online).

Например, ограничение доверенных IP-адресов настроено так, чтобы разрешать доступ к Dynamics 365 только пользователям из корпоративного офиса. Когда пользователь Dynamics 365 входит в Dynamics 365 с помощью ноутбука из офиса и устанавливает сеанс Dynamics 365, пользователь будет по-прежнему иметь доступ к Dynamics 365 после выхода из офиса, пока не истечет время ожидания сеанса Dynamics 365. Это поведение также применяется для мобильных и сторонних подключений, например: Dynamics 365 для телефонов и планшетов и Приложение Dynamics 365 для Outlook.

Создание группы безопасности (необязательно)

Можно ограничить доступ для всех пользователей или групп пользователей. Эффективнее ограничивать группами, если только часть пользователей Azure Active Directory (AAD) обращаются к Dynamics 365 (Online).

  1. Войдите на портал Azure.

  2. Щелкните Обзор > Active Directory, затем выберите свой каталог Dynamics 365 (Online).

  3. Щелкните Группы > Добавить группу, затем заполните параметры для создания новой группы.

  4. Щелкните созданную группу и добавьте участников.

Создание правила доступа на основе местоположения

Ограничение доступа задается с помощью условного доступа Azure Active Directory (AD). См. Введение в условный доступ к Azure AD. Управление условным доступом производится посредством правила доступа.

Примечание

Задание условного доступа возможно только при наличии лицензии Azure Active Directory Premium. Обновите Azure AD до лицензии Premium в Центре администрирования Office 365 (https://portal.office.com > Выставление счетов > Приобрести службы).

  1. Войдите на портал Azure.

  2. Щелкните Обзор > Active Directory, затем выберите свой каталог Dynamics 365 (Online).

  3. Щелкните Приложения, затем щелкните веб-приложение Dynamics 365 Online.

  4. Щелкните Настроить.

  5. Задайте следующие параметры на странице "Свойства":

    1. Задайте для параметра Включить правило доступа значение Вкл..

    2. Необязательно: задайте для параметра Применить к значение Группы.

    3. Необязательно: щелкните Добавить группу, чтобы выбрать группу.

    4. Задайте для параметра Правила значение Блокировать доступ, если не на работе.

    5. Нажмите кнопку Сохранить > OK.

    6. Щелкните Щелкните здесь, чтобы определить или изменить сетевое расположение работы.

  6. Введите доверенные IP-адреса (используя нотацию CIDR).

  7. Нажмите кнопку Сохранить.

См. также

Как настроить в Azure Active Directory политику условного доступа на основе устройств для управления доступом к приложениям, подключенным к Azure Active Directory