Använda platsvillkoret i en policy för villkorsstyrd åtkomst

Principer för villkorsstyrd åtkomst är som mest grundläggande och en if-then-instruktion som kombinerar signaler, fattar beslut och tillämpar organisationsprinciper. En av dessa signaler är plats.

Som vi nämnde i blogginlägget IPv6 kommer till Microsoft Entra ID, stöder vi nu IPv6 i Microsoft Entra-tjänster.

Organisationer kan använda dessa platser för vanliga uppgifter som:

• Kräver multifaktorautentisering för användare som har åtkomst till en tjänst när de är utanför företagsnätverket.
• Blockera åtkomst för användare som har åtkomst till en tjänst från specifika länder eller regioner som din organisation aldrig arbetar från.

Platsen hittas med hjälp av den offentliga IP-adress som en klient tillhandahåller till Microsoft Entra-ID eller GPS-koordinater som tillhandahålls av Microsoft Authenticator-appen. Principer för villkorlig åtkomst gäller som standard för alla IPv4- och IPv6-adresser. Mer information om IPv6-stöd finns i artikeln om IPv6-support i Microsoft Entra-ID.

Dricks

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Namngivna platser

Platser finns under Skydd>Villkorlig åtkomst>Namngivna platser. Dessa namngivna nätverksplatser kan innehålla platser som en organisations huvudkontorsnätverksintervall, VPN-nätverksintervall eller intervall som du vill blockera. Namngivna platser definieras av IPv4- och IPv6-adressintervall eller av länder/regioner.

Adressintervall för IPv4 och IPv6

Om du vill definiera en namngiven plats efter IPv4/IPv6-adressintervall måste du ange:

• Ett namn på platsen.
• Ett eller flera IP-intervall.
• Du kan också markera som betrodd plats.

Namngivna platser som definieras av IPv4/IPv6-adressintervall omfattas av följande begränsningar:

• Konfigurera upp till 195 namngivna platser.
• Konfigurera upp till 2 000 IP-intervall per namngiven plats.
• Både IPv4- och IPv6-intervall stöds.
• Antalet IP-adresser som finns i ett intervall är begränsat. Endast CIDR-masker som är större än /8 tillåts när du definierar ett IP-intervall.

Betrodda platser

Platser som organisationens offentliga nätverksintervall kan markeras som betrodda. Den här märkningen används av funktioner på flera sätt.

• Principer för villkorsstyrd åtkomst kan inkludera eller exkludera dessa platser.
• Inloggningar från betrodda namngivna platser förbättrar noggrannheten i Microsoft Entra ID Protections riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd.
• Det går inte att ta bort platser som markerats som betrodda. Ta bort den betrodda beteckningen innan du försöker ta bort den.

Varning

Även om du känner till nätverket och markerar det som betrott betyder det inte att du ska undanta det från principer som tillämpas. Verifiera uttryckligen är en grundläggande princip för en Nolltillit arkitektur. Mer information om Nolltillit och andra sätt att anpassa din organisation till de vägledande principerna finns i Nolltillit Guidance Center.

Länder/regioner

Organisationer kan fastställa plats för land/region efter IP-adress eller GPS-koordinater.

Om du vill definiera en namngiven plats efter land/region måste du ange:

• Ett namn på platsen.
• Välj att fastställa plats efter IP-adress eller GPS-koordinater.
• Lägg till ett eller flera länder/regioner.
• Du kan också välja Att inkludera okända länder/regioner.

Om du väljer Bestäm plats efter IP-adress samlar systemet in IP-adressen för den enhet som användaren loggar in på. När en användare loggar in löser Microsoft Entra-ID användarens IPv4- eller IPv6-adress (från och med 3 april 2023) till ett land eller en region och mappningen uppdateras regelbundet. Organisationer kan använda namngivna platser som definierats av länder/regioner för att blockera trafik från länder/regioner där de inte gör affärer.

Om du väljer Bestäm plats efter GPS-koordinater måste användaren ha Microsoft Authenticator-appen installerad på sin mobila enhet. Varje timme kontaktar systemet användarens Microsoft Authenticator-app för att samla in GPS-platsen för användarens mobila enhet.

Första gången användaren måste dela sin plats från Microsoft Authenticator-appen får användaren ett meddelande i appen. Användaren måste öppna appen och bevilja platsbehörigheter. Under de kommande 24 timmarna delas enhetens plats tyst en gång i timmen om användaren fortfarande har åtkomst till resursen och beviljat appen behörighet att köra den i bakgrunden.

• Efter 24 timmar måste användaren öppna appen och godkänna meddelandet.
• Användare som har nummermatchning eller ytterligare kontext aktiverat i Microsoft Authenticator-appen tar inte emot meddelanden tyst och måste öppna appen för att godkänna meddelanden.

Varje gång användaren delar sin GPS-plats gör appen jailbreak-identifiering (med samma logik som Intune MAM SDK). Om enheten är jailbrokad anses platsen inte vara giltig och användaren beviljas inte åtkomst. Microsoft Authenticator-appen på Android använder Google Play Integrity API för att underlätta identifiering av jailbreak. Om Google Play Integrity-API:et inte är tillgängligt nekas begäran och användaren kan inte komma åt den begärda resursen om inte principen för villkorsstyrd åtkomst är inaktiverad. Mer information om Microsoft Authenticator-appen finns i artikeln Vanliga frågor om Microsoft Authenticator-appen.

Kommentar

En princip för villkorsstyrd åtkomst med GPS-baserade namngivna platser i rapportläge uppmanar användarna att dela sin GPS-plats, även om de inte blockeras från att logga in.

GPS-platsen fungerar inte med lösenordslösa autentiseringsmetoder.

Flera principer för villkorsstyrd åtkomst kan uppmana användarna att ange sin GPS-plats innan alla tillämpas. På grund av hur principer för villkorsstyrd åtkomst tillämpas kan en användare nekas åtkomst om de klarar platskontrollen men misslyckas med en annan princip. Mer information om principframtvingande finns i artikeln Skapa en princip för villkorsstyrd åtkomst.

Viktigt!

Användare kan få frågor varje timme som meddelar dem att Microsoft Entra-ID kontrollerar deras plats i Authenticator-appen. Förhandsversionen bör endast användas för att skydda mycket känsliga appar där det här beteendet är acceptabelt eller där åtkomsten måste begränsas till ett visst land/en viss region.

Neka begäranden med ändrad plats

Användare kan ändra den plats som rapporteras av iOS- och Android-enheter. Därför uppdaterar Microsoft Authenticator sin säkerhetsbaslinje för platsbaserade principer för villkorsstyrd åtkomst. Authenticator nekar autentisering där användaren kan använda en annan plats än den faktiska GPS-platsen för den mobila enhet där Authenticator installerades.

I november 2023-versionen av Authenticator får användare som ändrar platsen för sin enhet ett avslagsmeddelande i Authenticator när de provar platsbaserad autentisering. Från och med januari 2024 blockeras alla användare som kör äldre Authenticator-versioner från platsbaserad autentisering:

• Authenticator version 6.2309.6329 eller tidigare på Android
• Authenticator version 6.7.16 eller tidigare på iOS

Om du vill ta reda på vilka användare som kör äldre versioner av Authenticator använder du Microsoft Graph-API:er.

Inkludera okända länder/regioner

Vissa IP-adresser mappas inte till ett visst land eller en viss region. Om du vill samla in dessa IP-platser markerar du kryssrutan Inkludera okända länder/regioner när du definierar en geografisk plats. Med det här alternativet kan du välja om dessa IP-adresser ska inkluderas på den namngivna platsen. Använd den här inställningen när principen som använder den namngivna platsen ska gälla för okända platser.

Konfigurera betrodda IP-adresser för MFA

Du kan också konfigurera IP-adressintervall som representerar organisationens lokala intranät i inställningarna för multifaktorautentiseringstjänsten. Med den här funktionen kan du konfigurera upp till 50 IP-adressintervall. IP-adressintervallen är i CIDR-format. Mer information finns i Betrodda IP-adresser.

Om du har konfigurerat betrodda IP-adresser visas de som Tillförlitliga MFA IP-adresser i listan över platser för platsvillkoret.

Hoppar över multifaktorautentisering

På sidan inställningar för multifaktorautentiseringstjänsten kan du identifiera företags intranätanvändare genom att välja Hoppa över multifaktorautentisering för begäranden från federerade användare i mitt intranät. Den här inställningen anger att inifrån företagets nätverksanspråk, som utfärdas av AD FS, ska vara betrott och användas för att identifiera användaren som i företagsnätverket. Mer information finns i Aktivera funktionen Betrodda IP-adresser med hjälp av villkorsstyrd åtkomst.

När du har kontrollerat det här alternativet, inklusive den namngivna platsen MFA Betrodda IP-adresser kommer att gälla för alla principer med det här alternativet valt.

För mobil- och skrivbordsprogram, som har lång livslängd för sessioner, utvärderas villkorsstyrd åtkomst regelbundet. Standardvärdet är en gång i timmen. När det invändigt företagsnätverksanspråket endast utfärdas vid tidpunkten för den första autentiseringen kanske vi inte har någon lista över betrodda IP-intervall. I det här fallet är det svårare att avgöra om användaren fortfarande är i företagsnätverket:

1. Kontrollera om användarens IP-adress finns i något av de betrodda IP-intervallen.
2. Kontrollera om de tre första oktetterna i användarens IP-adress matchar de tre första oktetterna i IP-adressen för den första autentiseringen. IP-adressen jämförs med den första autentiseringen när invändigt företagsnätverksanspråk ursprungligen utfärdades och användarplatsen verifierades.

Om båda stegen misslyckas anses en användare inte längre ha en betrodd IP-adress.

Definiera platser

1. Logga in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst.
2. Bläddra till Skydd>Villkorlig åtkomst>Namngivna platser.
3. Välj Ny plats.
4. Ge platsen ett namn.
5. Välj IP-intervall om du känner till de specifika externt tillgängliga IPv4-adressintervallen som utgör den platsen eller länder/regioner.
   1. Ange IP-intervallen eller välj Länder/regioner för den plats som du anger.
      • Om du väljer Länder/regioner kan du välja att inkludera okända områden.
6. Välj Spara

Platsvillkor i principen

När du konfigurerar platsvillkor kan du skilja mellan:

• Valfri plats
• Alla betrodda platser
• Alla kompatibla nätverksplatser
• Valda platser

Valfri plats

Om du väljer Valfri plats tillämpas som standard en princip på alla IP-adresser, vilket innebär alla adresser på Internet. Den här inställningen är inte begränsad till IP-adresser som du har konfigurerat som namngiven plats. När du väljer Valfri plats kan du fortfarande exkludera specifika platser från en princip. Du kan till exempel tillämpa en princip på alla platser utom betrodda platser för att ange omfånget till alla platser, förutom företagsnätverket.

Alla betrodda platser

Det här alternativet gäller för:

• Alla platser som har markerats som betrodda platser.
• MFA-betrodda IP-adresser, om de är konfigurerade.

Betrodda IP-adresser för multifaktorautentisering

Användning av avsnittet betrodda IP-adresser i tjänstinställningarna för multifaktorautentisering rekommenderas inte längre. Den här kontrollen accepterar endast IPv4-adresser och bör endast användas för specifika scenarier som beskrivs i artikeln Konfigurera inställningar för Multifaktorautentisering i Microsoft Entra

Om du har konfigurerat dessa betrodda IP-adresser visas de som betrodda IP-adresser för MFA i listan över platser för platsvillkoret.

Alla kompatibla nätverksplatser

Organisationer med åtkomst till förhandsversionsfunktioner för global säker åtkomst har en annan plats som består av användare och enheter som följer organisationens säkerhetsprinciper. Mer information finns i avsnittet Aktivera global säker åtkomstsignalering för villkorsstyrd åtkomst. Den kan användas med principer för villkorsstyrd åtkomst för att utföra en kompatibel nätverkskontroll för åtkomst till resurser.

Valda platser

Med det här alternativet kan du välja en eller flera namngivna platser. För att en princip med den här inställningen ska gälla måste en användare ansluta från någon av de valda platserna. När du väljer den namngivna nätverksvalskontrollen som visar listan över namngivna nätverk öppnas. Listan visar också om nätverksplatsen är markerad som betrodd.

IPv6-trafik

Principer för villkorsstyrd åtkomst gäller för all IPv4 - ochIPv6-trafik (från och med 3 april 2023).

Identifiera IPv6-trafik med rapporter om Microsoft Entra-inloggningsaktivitet

Du kan identifiera IPv6-trafik i din klientorganisation genom att gå till rapporter om Microsoft Entra-inloggningsaktivitet. När du har öppnat aktivitetsrapporten lägger du till kolumnen "IP-adress" och lägger till ett kolon (:) i fältet. Det här filtret hjälper till att skilja IPv6-trafik från IPv4-trafik.

Du kan också hitta klientens IP-adress genom att klicka på en rad i rapporten och sedan gå till fliken Plats i inloggningsaktivitetsinformationen.

Kommentar

IPv6-adresser från tjänstslutpunkter kan visas i inloggningsloggarna med fel på grund av hur de hanterar trafik. Det är viktigt att observera att tjänstslutpunkter inte stöds. Om användarna ser dessa IPv6-adresser tar du bort tjänstslutpunkten från konfigurationen av det virtuella nätverkets undernät.

Det här bör du känna till

Molnproxy och VPN

När du använder en molnbaserad proxy eller VPN-lösning är IP-adressen som Microsoft Entra-ID använder när du utvärderar en princip PROXY-adressen. XFF-huvudet (X-Forwarded-For) som innehåller användarens offentliga IP-adress används inte eftersom det inte finns någon verifiering av att den kommer från en betrodd källa, så den skulle presentera en metod för att fejka en IP-adress.

När en molnproxy finns på plats kan en princip som kräver en Microsoft Entra-hybridanslutning eller kompatibel enhet vara enklare att hantera. Det kan vara nästan omöjligt att hålla en lista över IP-adresser som används av din molnbaserade proxy eller VPN-lösning uppdaterad.

Vi rekommenderar att organisationer använder global säker åtkomst för att aktivera käll-IP-återställning för att undvika den här ändringen i adress och förenkla hanteringen.

När utvärderas en plats?

Principer för villkorlig åtkomst utvärderas när:

• En användare loggar först in på en webbapp, ett mobilt eller skrivbordsprogram.
• Ett mobil- eller skrivbordsprogram som använder modern autentisering använder en uppdateringstoken för att hämta en ny åtkomsttoken. Som standard är den här kontrollen en gång i timmen.

Den här kontrollen innebär att för mobil- och skrivbordsprogram som använder modern autentisering identifieras en platsändring inom en timme efter att nätverksplatsen har ändrats. För mobil- och skrivbordsprogram som inte använder modern autentisering gäller principen för varje tokenbegäran. Frekvensen för begäran kan variera beroende på programmet. På samma sätt gäller principer för webbprogram vid inledande inloggning och är bra för sessionens livslängd i webbprogrammet. På grund av skillnader i sessionslivslängd mellan program varierar tiden mellan principutvärderingen. Varje gång programmet begär en ny inloggningstoken tillämpas principen.

Som standard utfärdar Microsoft Entra-ID en token per timme. När användarna har flyttat från företagsnätverket tillämpas principen inom en timme för program med modern autentisering.

Användarens IP-adress

IP-adressen som används i principutvärderingen är användarens offentliga IPv4- eller IPv6-adress. För enheter i ett privat nätverk är den här IP-adressen inte klientens IP-adress för användarens enhet i intranätet, det är adressen som används av nätverket för att ansluta till det offentliga Internet.

När kan du blockera platser?

En princip som använder platsvillkoret för att blockera åtkomst anses vara restriktiv och bör utföras med försiktighet efter noggrann testning. Vissa instanser av att använda platsvillkoret för att blockera autentisering kan vara:

• Blockera länder/regioner där din organisation aldrig gör affärer.
• Blockera specifika IP-intervall som:
  • Kända skadliga IP-adresser innan en brandväggsprincip kan ändras.
  • För mycket känsliga eller privilegierade åtgärder och molnprogram.
  • Baserat på användarspecifikt IP-intervall som åtkomst till redovisning eller löneprogram.

Användarundantag

Principer för villkorlig åtkomst är kraftfulla verktyg. Vi rekommenderar att du undantar följande konton från dina principer:

• Nödåtkomst eller break-glass-konton för att förhindra kontoutelåsning i hela klientorganisationen. I det osannolika scenariot är alla administratörer utelåst från din klientorganisation, och ditt administrationskonto för nödåtkomst kan användas för att logga in på klientorganisationen för att vidta åtgärder för att återställa åtkomsten.
  • Mer information finns i artikeln Hantera konton för nödåtkomst i Microsoft Entra-ID.
• Tjänstkonton och tjänstens huvudnamn, till exempel Microsoft Entra Anslut Sync-konto. Tjänstkonton är icke-interaktiva konton som inte är knutna till någon viss användare. De används normalt av serverdelstjänster som tillåter programmatisk åtkomst till program, men används också för att logga in på system i administrativa syften. Tjänstkonton som dessa bör undantas eftersom MFA inte kan slutföras programmatiskt. Anrop som görs av tjänstens huvudnamn blockeras inte av principer för villkorsstyrd åtkomst som begränsas till användare. Använd villkorsstyrd åtkomst för arbetsbelastningsidentiteter för att definiera principer som riktar sig till tjänstens huvudnamn.
  • Om din organisation har dessa konton som används i skript eller kod kan du överväga att ersätta dem med hanterade identiteter. Som en tillfällig lösning kan du exkludera dessa specifika konton från baslinjeprincipen.

Massuppladdning och nedladdning av namngivna platser

När du skapar eller uppdaterar namngivna platser kan du för massuppdateringar ladda upp eller ladda ned en CSV-fil med IP-intervallen. En uppladdning ersätter IP-intervallen i listan med dessa intervall från filen. Varje rad i filen innehåller ett IP-adressintervall i CIDR-format.

API-stöd och PowerShell

Det finns en förhandsversion av Graph API för namngivna platser. Mer information finns i api:et namedLocation.

Nästa steg

• Konfigurera ett exempel på en princip för villkorsstyrd åtkomst med hjälp av plats, se artikeln Villkorsstyrd åtkomst: Blockera åtkomst efter plats.