Använda platsvillkoret i en princip för villkorsstyrd åtkomst

  • Artikel
  • 9 minuter för att läsa

Enligt beskrivningen i översiktsartikeln är principer för villkorsstyrd åtkomst som mest grundläggande en if-then-instruktion som kombinerar signaler, fattar beslut och framtvingar organisationsprinciper. En av dessa signaler som kan införlivas i beslutsprocessen är platsen.

Konceptuell villkorlig signal plus beslut om att få framtvingande

Organisationer kan använda den här platsen för vanliga uppgifter som:

  • Kräva multifaktorautentisering för användare som har åtkomst till en tjänst när de är utanför företagsnätverket.
  • Blockera åtkomst för användare som har åtkomst till en tjänst från specifika länder eller regioner.

Platsen bestäms av den offentliga IP-adress som en klient tillhandahåller för att Azure Active Directory GPS-koordinater som tillhandahålls av Microsoft Authenticator appen. Principer för villkorlig åtkomst gäller som standard för alla IPv4- och IPv6-adresser.

Namngivna platser

Platser anges i den Azure Portal under Azure Active Directory > security conditional > access named > locations. Dessa namngivna nätverksplatser kan innehålla platser som en organisations huvudkontors nätverksintervall, VPN-nätverksintervall eller intervall som du vill blockera. Namngivna platser kan definieras av IPv4/IPv6-adressintervall eller av länder.

Namngivna platser i Azure Portal

IP-adressintervall

Om du vill definiera en namngiven plats efter IPv4/IPv6-adressintervall måste du ange:

  • Ett namn för platsen
  • Ett eller flera IP-intervall
  • Du kan också markera som betrodd plats

Nya IP-platser i Azure Portal

Namngivna platser som definieras av IPv4-/IPv6-adressintervall omfattas av följande begränsningar:

  • Konfigurera upp till 195 namngivna platser
  • Konfigurera upp till 2 000 IP-intervall per namngiven plats
  • Både IPv4- och IPv6-intervall stöds
  • Privata IP-intervall kan inte konfigureras
  • Antalet IP-adresser i ett intervall är begränsat. Endast CIDR-masker som är större än /8 tillåts när du definierar ett IP-intervall.

Betrodda platser

Administratörer kan ange platser som definieras av IP-adressintervall som betrodda namngivna platser.

Inloggningar från betrodda namngivna platser förbättrar noggrannheten för Azure AD Identity Protection riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd. Dessutom kan betrodda namngivna platser vara mål för principer för villkorlig åtkomst. Du kan till exempel begränsa registreringen av multifaktorautentisering till betrodda platser.

Länder

Organisationer kan fastställa landsplats efter IP-adress eller GPS-koordinater.

Om du vill definiera en namngiven plats efter land måste du ange:

  • Ett namn för platsen
  • Välj att fastställa plats efter IP-adress eller GPS-koordinater
  • Lägga till ett eller flera länder
  • Du kan också välja att inkludera okända länder/regioner

Land som en plats i Azure Portal

Om du väljer Fastställ plats efter IP-adress (endast IPv4) samlar systemet in IP-adressen för enheten som användaren loggar in på. När en användare loggar in matchar Azure AD användarens IPv4-adress till ett land eller en region och mappningen uppdateras regelbundet. Organisationer kan använda namngivna platser som definieras av länder för att blockera trafik från länder där de inte gör affärer.

Anteckning

Inloggningar från IPv6-adresser kan inte mappas till länder eller regioner och betraktas som okända områden. Endast IPv4-adresser kan mappas till länder eller regioner.

Om du väljer Fastställ plats med GPS-koordinater måste användaren ha appen Microsoft Authenticator installerad på sin mobila enhet. Varje timme kontaktar systemet användarens app Microsoft Authenticator för att samla in GPS-platsen för användarens mobila enhet.

Första gången användaren måste dela sin plats från Microsoft Authenticator app får användaren ett meddelande i appen. Användaren måste öppna appen och bevilja platsbehörigheter.

Under de kommande 24 timmarna, om användaren fortfarande har åtkomst till resursen och beviljat appen behörighet att köra i bakgrunden, delas enhetens plats tyst en gång i timmen. Efter 24 timmar måste användaren öppna appen och godkänna meddelandet. Varje gång användaren delar sin GPS-plats gör appen upplåsningsidentifiering (med samma logik som Intune MAM SDK). Om enheten är jailbroken betraktas inte platsen som giltig och användaren beviljas inte åtkomst.

En princip för villkorsstyrd åtkomst med GPS-baserade namngivna platser i rapportläge uppmanar användarna att dela sin GPS-plats, även om de inte blockeras från att logga in.

Viktigt

Användarna kan få meddelanden varje timme om att Azure AD kontrollerar deras plats i Authenticator appen. Förhandsversionen bör endast användas för att skydda mycket känsliga appar där det här beteendet är acceptabelt eller där åtkomsten måste begränsas till ett visst land/en viss region.

Inkludera okända länder/regioner

Vissa IP-adresser mappas inte till ett visst land eller en viss region, inklusive alla IPv6-adresser. Om du vill avbilda dessa IP-platser markerar du kryssrutan Inkludera okända länder/regioner när du definierar en geografisk plats. Med det här alternativet kan du välja om dessa IP-adresser ska inkluderas på den namngivna platsen. Använd den här inställningen när principen som använder den namngivna platsen ska gälla för okända platser.

Konfigurera betrodda IP-adresser för MFA

Du kan också konfigurera IP-adressintervall som representerar din organisations lokala intranät i inställningarna för multifaktorautentiseringstjänsten. Med den här funktionen kan du konfigurera upp till 50 IP-adressintervall. IP-adressintervallen är i CIDR-format. Mer information finns i Tillförlitliga IP-adresser.

Om du har konfigurerat tillförlitliga IP-adresser visas de som betrodda IP-adresser för MFA i listan över platser för platsvillkoret.

Hoppa över multifaktorautentisering

På sidan med inställningar för multifaktorautentiseringstjänsten kan du identifiera företagets intranätanvändare genom att välja Hoppa över multifaktorautentisering för begäranden från federerade användare på mitt intranät. Den här inställningen anger att det inuti företagets nätverksanspråk, som utfärdas av AD FS, ska vara betrott och användas för att identifiera att användaren finns i företagsnätverket. Mer information finns i Aktivera funktionen betrodda IP-adresser med villkorlig åtkomst.

När du har markerat det här alternativet gäller MFA Betrodda IP-adresser för den namngivna platsen för alla principer med det här alternativet valt.

För mobila och stationära program som har lång livslängd för sessioner omvärderas villkorlig åtkomst regelbundet. Standardvärdet är en gång i timmen. När anspråket i företagsnätverket endast utfärdas vid tidpunkten för den första autentiseringen kanske inte Azure AD har en lista över betrodda IP-intervall. I det här fallet är det svårare att avgöra om användaren fortfarande är i företagsnätverket:

  1. Kontrollera om användarens IP-adress finns i ett av de betrodda IP-intervallen.
  2. Kontrollera om de tre första oktetterna i användarens IP-adress matchar de första tre oktetterna i IP-adressen för den inledande autentiseringen. IP-adressen jämförs med den första autentiseringen när anspråket i företagsnätverket ursprungligen utfärdades och användarens plats verifierades.

Om båda stegen misslyckas anses en användare inte längre ha en betrodd IP-adress.

Platsvillkor i principen

När du konfigurerar platsvillkoret kan du skilja mellan:

  • Valfri plats
  • Alla betrodda platser
  • Valda platser

Valfri plats

Om du väljer Valfri plats tillämpas som standard en princip på alla IP-adresser, vilket innebär alla adresser på Internet. Den här inställningen är inte begränsad till IP-adresser som du har konfigurerat som namngiven plats. När du väljer Valfri plats kan du fortfarande undanta specifika platser från en princip. Du kan till exempel tillämpa en princip på alla platser utom betrodda platser för att ange omfånget för alla platser, utom företagsnätverket.

Alla betrodda platser

Det här alternativet gäller för:

  • Alla platser som har markerats som betrodda platser
  • Betrodda IP-adresser för MFA (om konfigurerat)

Valda platser

Med det här alternativet kan du välja en eller flera namngivna platser. För att en princip med den här inställningen ska tillämpas måste en användare ansluta från någon av de valda platserna. När du väljer den namngivna kontrollen för val av nätverk som visar att listan över namngivna nätverk öppnas. Listan visar också om nätverksplatsen har markerats som betrodd. Den namngivna platsen med namnet Betrodda IP-adresser för MFA används för att inkludera DE IP-inställningar som kan konfigureras på inställningssidan för multifaktorautentiseringstjänsten.

IPv6-trafik

Som standard gäller principer för villkorlig åtkomst för all IPv6-trafik. Du kan undanta specifika IPv6-adressintervall från en princip för villkorsstyrd åtkomst om du inte vill att principer ska tillämpas för specifika IPv6-intervall. Om du till exempel inte vill framtvinga en princip för användning i företagsnätverket och företagsnätverket finns i offentliga IPv6-intervall.

Identifiera IPv6-trafik i rapporter om Azure AD-inloggningsaktiviteter

Du kan identifiera IPv6-trafik i din klientorganisation genom att gå till azure AD-inloggningsaktivitetsrapporterna. När du har öppnat aktivitetsrapporten lägger du till kolumnen "IP-adress". I den här kolumnen får du information om IPv6-trafiken.

Du kan också hitta klientens IP-adress genom att klicka på en rad i rapporten och sedan gå till fliken "Plats" i inloggningsaktivitetsinformationen.

När kommer min klient ha IPv6-trafik?

Azure Active Directory (Azure AD) stöder för närvarande inte direkta nätverksanslutningar som använder IPv6. Det finns dock vissa fall där autentiseringstrafiken proxieras via en annan tjänst. I dessa fall används IPv6-adressen under principutvärderingen.

Merparten av IPv6-trafiken som får proxy till Azure AD kommer från Microsoft Exchange Online. När det är Exchange IPv6-anslutningar. Så om du har några principer för villkorsstyrd åtkomst för Exchange, som har konfigurerats för specifika IPv4-intervall, bör du kontrollera att du även har lagt till dina organisationers IPv6-intervall. Om du inte inkluderar IPv6-intervall kommer det att leda till oväntat beteende i följande två fall:

  • När en e-postklient används för att ansluta Exchange Online med äldre autentisering kan Azure AD få en IPv6-adress. Den första autentiseringsbegäran går till Exchange och sedan proxieras till Azure AD.
  • När Outlook Web Access (OWA) används i webbläsaren verifierar den regelbundet att alla principer för villkorsstyrd åtkomst fortsätter att vara uppfyllda. Den här kontrollen används för att fånga fall där en användare kan ha flyttat från en tillåten IP-adress till en ny plats, till exempel ett kafé på gatan. I det här fallet, om en IPv6-adress används och om IPv6-adressen inte är inom ett konfigurerat intervall, kan användaren få sessionen avbruten och dirigeras tillbaka till Azure AD för att återauktorera.

Om du använder virtuella Azure-nätverk har du dessutom trafik som kommer från en IPv6-adress. Om du har blockerad VNet-trafik av en princip för villkorsstyrd åtkomst kontrollerar du inloggningsloggen för Azure AD. När du har identifierat trafiken kan du hämta IPv6-adressen som används och exkludera den från principen.

Anteckning

Om du vill ange ett IP CIDR-intervall för en enskild adress använder du /128-bitarsmasken. Om du ser IPv6-adressen 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a och vill undanta den enskilda adressen som ett intervall använder du 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Det här bör du veta

När utvärderas en plats?

Principer för villkorlig åtkomst utvärderas när:

  • En användare loggar in på en webbapp, mobil eller skrivbordsapp.
  • Ett mobil- eller skrivbordsprogram som använder modern autentisering använder en uppdateringstoken för att hämta en ny åtkomsttoken. Som standard är den här kontrollen en gång i timmen.

Den här kontrollen innebär att för mobila och stationära program som använder modern autentisering identifieras en platsändring inom en timme efter att nätverksplatsen har ändrats. För mobila och stationära program som inte använder modern autentisering tillämpas principen på varje tokenbegäran. Frekvensen för begäran kan variera beroende på programmet. På samma sätt tillämpas principen vid den första inloggningen för webbprogram och är bra för sessionens livslängd i webbappen. På grund av skillnader i sessionslivslängd mellan program varierar även tiden mellan principutvärderingen. Varje gång programmet begär en ny inloggningstoken tillämpas principen.

Som standard utfärdar Azure AD en token per timme. När du har flyttat från företagsnätverket framtvingas principen inom en timme för program som använder modern autentisering.

Användarens IP-adress

IP-adressen som används i principutvärderingen är användarens offentliga IP-adress. För enheter i ett privat nätverk är den här IP-adressen inte klient-IP-adressen för användarens enhet på intranätet, det är den adress som används av nätverket för att ansluta till det offentliga Internet.

Massuppladdning och nedladdning av namngivna platser

När du skapar eller uppdaterar namngivna platser för massuppdateringar kan du ladda upp eller ladda ned en CSV-fil med IP-intervallen. En uppladdning ersätter IP-intervallen i listan med de intervallen från filen. Varje rad i filen innehåller ett IP-adressintervall i CIDR-format.

Molnproxies och VPN:er

När du använder en molnbaserad proxy eller VPN-lösning använder DEN IP-adress som Azure AD använder vid utvärdering av en princip IP-adressen för proxyn. Huvudet X-Forwarded-For (XFF) som innehåller användarens offentliga IP-adress används inte eftersom det inte finns någon validering av att den kommer från en betrodd källa, så skulle presentera en metod för att faking av en IP-adress.

När en molnproxy är på plats kan en princip som används för att kräva en Azure AD-ansluten hybridenhet användas, eller det inifrån corpnet-anspråket från AD FS.

API-stöd och PowerShell

Det finns en förhandsversion av Graph API för namngivna platser. Mer information finns i namedLocation API.

Nästa steg