Bir koşullu erişim ilkesinde konum koşulunu kullanma

Genel bakış makalesinde açıklandığı gibi, koşullu erişim ilkeleri en temel bir if-then deyimlerinin birleştirme sinyallerinde, kararlar almak ve kuruluş ilkelerini zorlamak için kullanılır. Karar verme işlemine dahil edilebilir sinyallerden biri konum.

Kavramsal koşullu sinyal ve zorlaması alma kararı

Kuruluşlar, aşağıdaki gibi yaygın görevler için bu konumu kullanabilir:

  • Şirket ağı kapalıyken bir hizmete erişen kullanıcılar için Multi-Factor Authentication gerektirme.
  • Belirli ülkelerden veya bölgelerden bir hizmete erişen kullanıcılar için erişimi engelleme.

Konum, istemcinin Microsoft Authenticator uygulama tarafından sağlanan Azure Active Directory veya GPS koordinatlarını sağlayan genel IP adresi tarafından belirlenir. Koşullu erişim ilkeleri, varsayılan olarak tüm IPv4 ve IPv6 adresleri için geçerlidir.

Adlandırılmış konumlar

Konumlar, Azure Active Directory > güvenlik > koşullu erişim > adlı konumlarda Azure Portal belirlenir. Bu adlandırılmış ağ konumları, bir kuruluşun Yönetim Merkezi ağ aralıkları, VPN ağ aralıkları veya engellemek istediğiniz aralıklar gibi konumlar içerebilir. Adlandırılmış konumlar, IPv4/IPv6 adres aralıkları veya ülkeler tarafından tanımlanabilir.

Azure portal adlandırılmış konumlar

IP adresi aralıkları

IPv4/IPv6 adres aralıklarına göre adlandırılmış bir konum tanımlamak için şunu sağlamanız gerekir:

  • Konum için bir ad
  • Bir veya daha fazla IP aralığı
  • İsteğe bağlı olarak güvenilir konum olarak işaretle

Azure portal yeni IP konumları

IPv4/IPv6 adres aralıkları tarafından tanımlanan adlandırılmış konumlar aşağıdaki sınırlamalara tabidir:

  • En fazla 195 adlandırılmış konum yapılandırın
  • Adlandırılmış Konum başına en fazla 2000 IP aralığı yapılandırın
  • Hem IPv4 hem de IPv6 aralıkları desteklenir
  • Özel IP aralıkları yapılandırılamaz
  • Bir aralıkta bulunan IP adresi sayısı sınırlıdır. IP aralığı tanımlanırken yalnızca/8 ' den büyük CıDR maskelerine izin verilir.

Güvenilen konumlar

Yöneticiler, IP adresi aralıkları tarafından tanımlanan konumları, konum adı güvenilen olarak belirleyebilirler.

Güvenilen adlandırılmış konumlardan oturum açma işlemleri, Azure AD Kimlik Koruması risk hesaplamasının doğruluğunu artırır ve güvenilir olarak işaretlenmiş bir konumdan kimlik doğrulamasından geçen bir kullanıcının oturum açma riskini azaltmaktadır. Ayrıca, güvenilen adlandırılmış konumlar koşullu erişim ilkelerine hedeflenmiş olabilir. Örneğin, çok faktörlü kimlik doğrulaması kaydını güvenilen konumlara kısıtlayabilirsiniz.

Ülkeler

Kuruluşlar, ülke konumunu IP adresine veya GPS koordinatlarına göre belirleyebilir.

Ülkeye göre adlandırılmış bir konum tanımlamak için şunları sağlamanız gerekir:

  • Konum için bir ad
  • IP adresi veya GPS koordinatlarıyla konumu belirlemek için seçin
  • Bir veya daha fazla ülke ekleyin
  • İsteğe bağlı olarak Bilinmeyen ülkelerin/bölgelerin dahil edileceğini seçin

Azure portal konum olarak ülke

Konumu IP adresine göre belirle (yalnızca IPv4) seçeneğini belirlerseniz, sistem kullanıcının oturum açtığı cihazın IP adresini toplar. Bir Kullanıcı oturum açtığında Azure AD kullanıcının IPv4 adresini bir ülke veya bölgeye çözümler ve eşleme düzenli aralıklarla güncelleştirilir. Kuruluşlar, iş yapabilecekleri ülkelerden gelen trafiği engellemek için ülkeler tarafından tanımlanan adlandırılmış konumları kullanabilir.

Not

IPv6 adreslerinden oturum açma işlemleri, ülkelere veya bölgelere eşlenemez ve bilinmeyen alanları kabul edemez. Ülkelere veya bölgelere yalnızca IPv4 adresleri eşlenebilir.

Konumu GPS koordinatları (Önizleme) Ile belirle' yi seçerseniz, kullanıcının mobil cihazlarında Microsoft Authenticator uygulamasının yüklü olması gerekir. Her saat, sistem kullanıcının mobil cihazının GPS konumunu toplamak için kullanıcının Microsoft Authenticator uygulamasına başvuracaktır.

Kullanıcının Microsoft Authenticator uygulamadan konumlarını ilk kez paylaşması gerektiğinde, Kullanıcı uygulamada bir bildirim alır. Kullanıcının uygulamayı açması ve konum izinleri vermesi gerekir.

Sonraki 24 saat boyunca, Kullanıcı kaynağa erişmeye devam ediyorsa ve uygulamanın arka planda çalışmasına izin verildiyse, cihazın konumu saatte sessizce paylaşılır. 24 saat sonra, Kullanıcı uygulamayı açmalı ve bildirimi onaylamalıdır. Kullanıcı GPS konumunu her paylaştığında, uygulama jailbreak algılama işlemini yapar (Intune MAM SDK ile aynı mantığı kullanarak). Cihaz jailbreak uygulanmış ise, konum geçerli kabul edilmez ve kullanıcıya erişim izni verilmez.

Yalnızca rapor modunda, GPS tabanlı adlandırılmış konumlara sahip bir koşullu erişim ilkesi, kullanıcıların oturum açması engellenmese de, bunların GPS konumunu paylaşmasını ister.

Bilinmeyen ülkeleri/bölgeleri dahil et

Bazı IP adresleri, tüm IPv6 adresleri dahil olmak üzere belirli bir ülkeye veya bölgeye eşlenmedi. Bu IP konumlarını yakalamak için, coğrafi bir konum tanımlarken Bilinmeyen ülkeleri/bölgeleri dahil et kutusunu işaretleyin. Bu seçenek, bu IP adreslerinin adlandırılmış konuma dahil edilip edilmeyeceğini seçmenizi sağlar. Adlandırılmış konumu kullanan ilke bilinmeyen konumlara uygulanacaksa bu ayarı kullanın.

MFA güvenilir IP 'lerini yapılandırma

Ayrıca, Multi-Factor Authentication hizmeti ayarlarındakikuruluşunuzun yerel intranetinizi temsıl eden IP adresi aralıklarını yapılandırabilirsiniz. Bu özellik, en fazla 50 IP adresi aralığı yapılandırmanızı sağlar. IP adresi aralıkları CıDR biçimindedir. Daha fazla bilgi için bkz. Güvenilen IP 'ler.

Güvenilen IP 'Ler yapılandırdıysanız, konum koşulunun Konum listesinde MFA güvenilir IP 'leri olarak gösterilir.

Multi-Factor Authentication atlanıyor

Multi-Factor Authentication hizmet ayarları sayfasında, intranetteki şirket içi kullanıcılardan gelen istekler için Multi-Factor Authentication 'ı atla' yı seçerek kurumsal intranet kullanıcılarını belirleyebilirsiniz. Bu ayar, AD FS tarafından verilen şirket içi ağ talebinin güvenilen ve Kullanıcı tarafından şirket ağı üzerinde olduğunu belirlemek için kullanılması gerektiğini belirtir. Daha fazla bilgi için bkz. koşullu erişim kullanarak güvenilir IP 'ler özelliğini etkinleştirme.

Bu seçeneği denetledikten sonra, MFA güvenilir IP 'leri de dahil olmak üzere bu seçenek belirlenmiş olan her ilke için geçerlidir.

Uzun süreli oturum yaşam süreleri olan mobil ve masaüstü uygulamalarında, koşullu erişim düzenli aralıklarla yeniden değerlendirilecektir. Varsayılan değer bir saattir. Şirket içi ağ talebi yalnızca ilk kimlik doğrulama sırasında verildiğinde, Azure AD 'nin güvenilir IP aralıkları listesi olmayabilir. Bu durumda, kullanıcının hala şirket ağında olup olmadığını belirlemek daha zordur:

  1. Kullanıcının IP adresinin güvenilir IP aralıklarından birinde olup olmadığını denetleyin.
  2. Kullanıcının IP adresinin ilk üç sekizlinin ilk kimlik doğrulamanın IP adresinin ilk üç sekizlisi ile eşleşip eşleşmediğini denetleyin. Şirket içi ağ talebi ilk yayımlandığında ve Kullanıcı konumu doğrulandığında, IP adresi ilk kimlik doğrulamasıyla karşılaştırılır.

Her iki adım da başarısız olursa, kullanıcının artık güvenilen bir IP 'de olmaması kabul edilir.

İlkede konum koşulu

Konum koşulunu yapılandırırken şunları ayırt edebilirsiniz:

  • Herhangi bir konum
  • Tüm güvenilen konumlar
  • Seçili konumlar

Herhangi bir konum

Varsayılan olarak, herhangi bir konumun seçilmesi bir ILKENIN tüm IP adreslerine uygulanmasına neden olur, bu da Internet 'teki herhangi bir adres anlamına gelir. Bu ayar, adlandırılmış konum olarak yapılandırdığınız IP adresleriyle sınırlı değildir. Herhangi bir konum seçtiğinizde, hala belirli konumları bir ilkeden dışlayabilirsiniz. Örneğin, şirket ağı dışında, kapsamı tüm konumlara ayarlamak için güvenilen konumlar hariç tüm konumlara bir ilke uygulayabilirsiniz.

Tüm güvenilen konumlar

Bu seçenek şu şekilde geçerlidir:

  • Güvenilen konum olarak işaretlenen tüm konumlar
  • MFA güvenilir IP 'leri (yapılandırıldıysa)

Seçili konumlar

Bu seçenekle, bir veya daha fazla adlandırılmış konum seçebilirsiniz. Bu ayarın uygulanacağı bir ilke için, bir kullanıcının seçili konumlardan herhangi birinden bağlanması gerekir. Adlandırılmış ağların listesini gösteren adlandırılmış ağ seçim denetimini seçtiğinizde açılır. Liste ayrıca ağ konumunun güvenilir olarak işaretlenip işaretlenmediğini gösterir. MFA güvenilir IP 'ler adlı adlandırılmış konum, Multi-Factor Authentication hizmet ayarı sayfasında yapılandırılabilecek IP ayarlarını eklemek için kullanılır.

IPv6 trafiği

Varsayılan olarak, koşullu erişim ilkeleri tüm IPv6 trafiği için geçerlidir. Belirli IPv6 aralıkları için ilkelerin uygulanmasını istemiyorsanız, belirli IPv6 adres aralıklarını koşullu erişim ilkesinden dışlayabilirsiniz. Örneğin, kurumsal ağınızda kullanım için bir ilkeyi zorunlu kılmak istiyorsanız ve şirket ağınız genel IPv6 aralıklarında barındırılır.

Azure AD oturum açma etkinlik raporlarında IPv6 trafiğini tanımlama

Azure AD oturum açma etkinlik raporları' na giderek Kiracınızdaki IPv6 trafiğini bulabilirsiniz. Etkinlik raporunu açtıktan sonra, "IP adresi" sütununu ekleyin. Bu sütun, IPv6 trafiğini tanımlamanızı sağlayacak.

Ayrıca, rapordaki bir satıra tıklayarak ve ardından oturum açma etkinliği ayrıntılarından "konum" sekmesine giderek istemci IP 'sini bulabilirsiniz.

Kiracımın IPv6 trafiği var mı?

Azure Active Directory (Azure AD) Şu anda IPv6 kullanan doğrudan ağ bağlantılarını desteklememektedir. Ancak, kimlik doğrulama trafiğinin başka bir hizmet aracılığıyla proxy olduğu bazı durumlar vardır. Bu durumlarda, IPv6 adresi ilke değerlendirmesi sırasında kullanılacaktır.

Azure AD 'ye kullanan IPv6 trafiğinin çoğu Microsoft Exchange Online 'dan gelir. Kullanılabilir olduğunda, Exchange IPv6 bağlantılarını tercih edecektir. Bu nedenle, belirli IPv4 aralıkları için yapılandırılmış Exchange için koşullu erişim ilkelerinize sahipseniz, kuruluşların IPv6 aralıklarını de eklediğinizden emin olmak isteyeceksiniz. IPv6 aralıklarının dahil edilmesi, aşağıdaki iki durum için beklenmeyen davranışlara neden olur:

  • Exchange Online 'a eski kimlik doğrulamasıyla bağlanmak için bir posta istemcisi kullanıldığında, Azure AD bir IPv6 adresi alabilir. İlk kimlik doğrulama isteği Exchange 'e gider ve daha sonra Azure AD 'ye gönderilir.
  • Tarayıcıda Outlook Web Erişimi (OWA) kullanıldığında, tüm koşullu erişim ilkelerinin karşılanmasını düzenli olarak doğrular. Bu denetim, bir kullanıcının izin verilen bir IP adresinden yeni bir konuma taşındığı, kafeteryi aşağı doğru bir yere yakalayabildiği durumlarda kullanılır. Bu durumda, bir IPv6 adresi kullanılıyorsa ve IPv6 adresi yapılandırılmış bir aralıkta değilse, Kullanıcı oturumunun kesintiye uğratılmasını ve yeniden kimlik doğrulaması için Azure AD 'ye yönlendirilmesini sağlayabilir.

Ayrıca, Azure sanal ağları 'nı kullanıyorsanız bir IPv6 adresinden gelen trafiğe sahip olursunuz. Bir koşullu erişim ilkesi tarafından engellenen VNet trafiği varsa, Azure AD oturum açma günlüğlerinizi kontrol edin. Trafiği tanımladıktan sonra, kullanılan IPv6 adresini alabilir ve ilkenize dışlayabilirsiniz.

Not

Tek bir adres için bir IP CıDR aralığı belirtmek istiyorsanız/128 bit maskesini uygulayın. 2607: fb90: b27a: 6f69: f8d5: dea0: fb39:74A IPv6 adresini görürseniz ve bu tek adresi bir Aralık olarak dışlamak istiyorsanız 2607: fb90: b27a: 6f69: f8d5: dea0: fb39:74A/128 kullanın.

Bilmeniz gerekenler

Bir konum ne zaman değerlendirilir?

Koşullu erişim ilkeleri şu durumlarda değerlendirilir:

  • Kullanıcı başlangıçta bir Web uygulaması, mobil veya masaüstü uygulamasında oturum açar.
  • Modern kimlik doğrulaması kullanan bir mobil veya masaüstü uygulaması, yeni bir erişim belirteci almak için yenileme belirteci kullanır. Varsayılan olarak, bu denetim bir saattir.

Bu denetim, modern kimlik doğrulaması kullanan mobil ve Masaüstü uygulamaları için, ağ konumunun değiştirilmesi için bir saat içinde konum değişikliği tespit edilebilir. Modern kimlik doğrulaması kullanmayan mobil ve Masaüstü uygulamaları için her bir belirteç isteğine ilke uygulanır. İsteğin sıklığı uygulamaya göre farklılık gösterebilir. Benzer şekilde, Web uygulamaları için ilke ilk oturum açma sırasında uygulanır ve Web uygulamasındaki oturumun kullanım ömrü boyunca iyidir. Uygulamalar arasındaki oturum yaşam sürelerinin farklılığı nedeniyle, ilke değerlendirmesi arasındaki süre de farklılık gösterecektir. Uygulama yeni bir oturum açma belirteci istediğinde, ilke uygulanır.

Varsayılan olarak, Azure AD, saatlik olarak bir belirteç yayınlar. Şirket ağını kapattıktan sonra, bir saat içinde ilke modern kimlik doğrulaması kullanan uygulamalar için zorlanır.

Kullanıcı IP adresi

İlke değerlendirmesinde kullanılan IP adresi, kullanıcının genel IP adresidir. Özel bir ağdaki cihazlar için, bu IP adresi intranetteki Kullanıcı cihazının istemci IP 'si değildir, ağ tarafından genel İnternet 'e bağlanmak için kullanılan adrestir.

Adlandırılmış konumların toplu karşıya yüklenmesi ve indirilmesi

Adlandırılmış konumları oluştururken veya güncelleştirdiğinizde, toplu güncelleştirmeler için IP aralıklarıyla bir CSV dosyasını karşıya yükleyebilir veya indirebilirsiniz. Karşıya yükleme, listedeki IP aralıklarını, dosyadaki aralıklar ile değiştirir. Dosyanın her satırı CıDR biçiminde bir IP adresi aralığı içerir.

Bulut proxy 'leri ve VPN 'Ler

Bir bulut barındırılan proxy veya VPN çözümü kullandığınızda, bir ilkeyi değerlendirirken Azure AD 'nin kullandığı IP adresi, proxy 'nin IP adresidir. Kullanıcının genel IP adresini içeren X-Iletilmiş-for (XFF) üst bilgisi kullanılmıyor çünkü güvenilen bir kaynaktan geldiğini belirten bir doğrulama olmadığından, bir IP adresi için bir yöntem sunar.

Bir bulut proxy 'si olduğunda, karma bir Azure AD 'ye katılmış cihaz istemek için kullanılan bir ilke veya AD FS ' den iç Corpnet talebi kullanılabilir.

API desteği ve PowerShell

Adlandırılmış konumlar için Graph API önizleme sürümü kullanılabilir. daha fazla bilgi için, Namedlocation API 'sinebakın.

Sonraki adımlar