使用條件式存取原則中的位置條件 (機器翻譯)

  • 發行項

條件式存取原則最基本的是結合訊號的 if-then 語句,以做出決策,並強制執行組織原則。 其中一個訊號是位置。

Conceptual Conditional signal plus decision to get enforcement

如部落格文章 IPv6 即將推出 Microsoft Entra ID 中所述,我們現在在 Microsoft Entra 服務中支援 IPv6。

組織可以將這些位置用於一般工作,例如:

  • 要求在用戶離開公司網路時存取服務的多重要素驗證。
  • 封鎖使用者從貴組織從未運作的特定國家或地區存取服務。

使用用戶端提供給 Microsoft Entra ID 或 Microsoft Authenticator 應用程式所提供的 GPS 座標的公用 IP 位址,找到位置。 條件式存取原則預設會套用至所有 IPv4 和 IPv6 位址。 如需 IPv6 支援的詳細資訊,請參閱 Microsoft Entra ID 中的 IPv6 支援一文

提示

完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。

具名位置

位置存在於 [保護>條件式存取>具名位置] 底下。 這些具名網路位置可能包含組織總部網路範圍、VPN 網路範圍或您想要封鎖的範圍等位置。 具名位置是由 IPv4 和 IPv6 位址範圍或國家/地區所定義。

IPv4 和 IPv6 位址範圍

若要依 IPv4/IPv6 位址範圍定義具名位置,您需要提供:

  • 位置的名稱。
  • 一或多個IP範圍。
  • 選擇性地 將 [標示為信任的位置]。

New IP locations

IPv4/IPv6 位址範圍所定義的具名位置受限於下列限制:

  • 設定最多195個具名位置。
  • 設定每個具名位置最多 2000 個 IP 範圍。
  • 支援 IPv4 和 IPv6 範圍。
  • 範圍中包含的IP位址數目有限。 定義IP範圍時,只允許大於 /8的 CIDR 遮罩。

信任的位置

組織公用網路範圍等位置可以標示為受信任。 這項標記是透過數種方式由功能使用。

  • 條件式存取原則可以包含或排除這些位置。
  • 來自受信任具名位置的登入可改善 Microsoft Entra ID Protection 風險計算的正確性,降低使用者在從標示為受信任之位置進行驗證時的登入風險。
  • 無法刪除標示為受信任的位置。 在嘗試刪除之前,請先移除受信任的指定。

警告

即使您知道網路並將它標示為受信任,也不表示您應該將它排除在套用的原則中。 明確確認是 零信任 架構的核心原則。 若要深入瞭解 零信任 和其他讓組織與指導原則保持一致的方式,請參閱 零信任 指引中心

國家/地區

組織可以依IP位址或 GPS 座標來判斷國家/地區位置。

若要依國家/地區定義具名位置,您需要提供:

  • 位置的名稱。
  • 選擇依IP位址或 GPS 座標來判斷位置。
  • 新增一或多個國家/地區。
  • 選擇性地選擇 [ 包含未知國家/地區]。

Country as a location

如果您選取 [ 依IP位址判斷位置],系統會收集使用者登入之裝置的IP位址。 當使用者登入時,Microsoft Entra ID 會將使用者的 IPv4 或 IPv6 位址(從 2023 年 4 月 3 日起)解析為國家或地區,並定期更新對應。 組織可以使用國家/地區所定義的具名位置,來封鎖其沒有業務的國家/地區的流量。

如果您選取 [ 依 GPS 座標判斷位置],用戶必須在其行動裝置上安裝 Microsoft Authenticator 應用程式。 系統每小時都會連絡使用者的 Microsoft Authenticator 應用程式,以收集用戶行動裝置的 GPS 位置。

使用者第一次必須從 Microsoft Authenticator 應用程式共用其位置時,使用者就會在應用程式中收到通知。 用戶必須開啟應用程式並授與位置許可權。 在接下來的 24 小時內,如果使用者仍在存取資源,並授與應用程式在背景中執行的許可權,則裝置的位置會每小時以無訊息方式共用一次。

  • 24 小時之後,用戶必須開啟應用程式並核准通知。
  • 在 Microsoft Authenticator 應用程式中啟用數位比對或其他內容的使用者不會以無訊息方式接收通知,且必須開啟應用程式以核准通知。

每次用戶共用其 GPS 位置時,應用程式都會進行越獄偵測(使用與 Intune MAM SDK 相同的邏輯)。 如果裝置遭到越獄,則位置不會被視為有效,且使用者未獲授與存取權。 Android 上的 Microsoft Authenticator 應用程式會使用 Google Play 完整性 API 來協助進行越獄偵測。 如果 Google Play 完整性 API 無法使用,要求會遭到拒絕,而且除非停用條件式存取原則,否則使用者無法存取要求的資源。 如需 Microsoft Authenticator 應用程式的詳細資訊,請參閱 Microsoft Authenticator 應用程式的常見問題一文

注意

在僅報告模式中使用 GPS 型具名位置的條件式存取原則會提示使用者共用其 GPS 位置,即使他們並未遭到封鎖而無法登入。

GPS 位置不適用於 無密碼驗證方法

在套用所有條件之前,多個條件式存取原則可能會提示使用者輸入其 GPS 位置。 由於套用條件式存取原則的方式,如果用戶通過位置檢查但失敗另一個原則,可能會拒絕存取。 如需原則強制執行的詳細資訊,請參閱建置條件式存取原則一文

重要

使用者可能會每小時收到提示,讓他們知道 Microsoft Entra ID 正在驗證器應用程式中檢查其位置。 預覽應該只用來保護可接受此行為的非常敏感的應用程式,或必須限制特定國家/地區的存取。

拒絕具有已修改位置的要求

用戶可以修改 iOS 和 Android 裝置所報告的位置。 因此,Microsoft Authenticator 正在更新其位置型條件式存取原則的安全性基準。 驗證器會拒絕驗證使用者可能使用與 Authenticator 安裝之行動裝置的實際 GPS 位置不同的位置。

在 2023 年 11 月版本的 Authenticator 中,在嘗試以位置為基礎的驗證時,修改裝置位置的使用者會在 Authenticator 中取得拒絕訊息。 從 2024 年 1 月開始,執行舊版 Authenticator 的任何使用者都遭到封鎖,而無法進行位置型驗證:

  • Android 上的驗證器版本 6.2309.6329 或更早版本
  • iOS 上的驗證器 6.7.16 版或更早版本

若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API

包含未知的國家/地區

某些IP位址不會對應至特定國家或地區。 若要擷取這些IP位置,請在定義地理位置時勾選 [包含未知的國家/地區 ]。 此選項可讓您選擇這些IP位址是否應該包含在具名位置中。 當使用具名位置的原則應該套用至未知的位置時,請使用此設定。

設定 MFA 信任的IP

您也可以在多重要素驗證服務設定設定代表組織本機內部網路的IP位址範圍。 此功能可讓您設定最多50個IP位址範圍。 IP 位址範圍是 CIDR 格式。 如需詳細資訊,請參閱信任的 IP

如果您已設定信任的 IP,這些 IP 會在在位置條件的位置清單中顯示為 MFA 信任的 IP

略過多重要素驗證

在 [多重要素驗證服務設定] 頁面上,您可以選取 [略過來自內部網络同盟使用者的要求多重要素驗證],以識別公司內部網络使用者。 此設定表示 AD FS 所發出的公司內部網路宣告應該受到信任,並用來識別使用者為公司網路上的使用者。 如需詳細資訊,請參閱 使用條件式存取啟用受信任的IP功能。

核取此選項之後,包括具名位置 MFA 信任 IP 將會套用至選取此選項的任何原則。

對於具有長期會話存留期的行動和傳統型應用程式,會定期重新評估條件式存取。 預設值為每小時一次。 當內部網路宣告只在初始驗證時發出時,我們可能沒有受信任的IP範圍清單。 在此情況下,判斷使用者是否仍在公司網路上比較困難:

  1. 檢查使用者的IP位址是否位於其中一個受信任的IP範圍中。
  2. 檢查使用者IP位址的前三個八位是否符合初始驗證IP位址的前三個八位。 當公司內部網路宣告最初發出且使用者位置經過驗證時,IP 位址會與初始驗證進行比較。

如果這兩個步驟都失敗,則會將用戶視為不再位於受信任的IP上。

定義位置

  1. 以至少條件式存取 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [保護>條件式存取>具名位置]。
  3. 選擇 [新增位置]
  4. 為您的位置命名。
  5. 如果您知道構成該位置的特定外部可存取 IPv4 位址範圍,請選擇 [IP 範圍],或選擇 [國家/地區]
    1. 提供IP範圍,或選取您所指定位置的國家/地區
      • 如果您選擇 [國家/地區],則可以選擇是否要包含未知的區域。
  6. 選擇 [ 儲存]

原則中的位置條件

在設定位置條件時,您可以區別:

  • 任何位置
  • 所有信任的位置
  • 所有符合規範的網路位置
  • 選取的位置

任何位置

根據預設,選取 [ 任何位置 ] 會導致原則套用至所有IP位址,這表示因特網上的任何位址。 此設定不限於您已設定為具名位置的IP位址。 當您選取 [ 任何位置] 時,仍然可以從原則中排除特定位置。 例如,您可以將原則套用至信任位置以外的所有位置,以將範圍設定為公司網路以外的所有位置。

所有信任的位置

這個選項適用於:

  • 標示為受信任位置的所有位置。
  • 如果已設定 MFA 信任 IP,則為 。

多重要素驗證受信任的IP

不再建議使用多重要素驗證服務設定的受信任 IP 區段。 此控件只接受 IPv4 位址,且只應用於設定 Microsoft Entra 多重要素驗證設定中所述 的特定案例

如果您已設定這些受信任的IP,則會在 位置條件的位置清單中顯示為 MFA 信任 IP

所有符合規範的網路位置

可存取 Global Secure Access 預覽功能的組織會列出另一個位置,這些位置是由符合您組織安全策略的使用者和裝置所組成。 如需詳細資訊,請參閱啟用條件式存取的全域安全存取訊號一節。 它可與條件式存取原則搭配使用,以執行相容的網路檢查,以存取資源。

選取的位置

使用此選項,您可以選取一或多個具名位置。 若要套用此設定的原則,用戶必須從任何選取的位置連線。 當您 選取 顯示具名網路清單的具名網路選取控件時,即會開啟。 此清單也會顯示網路位置是否標示為受信任。

IPv6 流量

條件式存取原則適用於所有 IPv4 IPv6 流量(從 2023 年 4 月 3 日起)。

使用 Microsoft Entra 登入活動報告識別 IPv6 流量

您可以前往 Microsoft Entra 登入活動報告,探索租使用者中的 IPv6 流量。 開啟活動報告之後,請新增 [IP 位址] 數據行,並將冒號 () 新增至欄位。 此篩選有助於區分 IPv6 流量與 IPv4 流量。

您也可以按下報表中的數據列來尋找用戶端 IP,然後在登入活動詳細數據中移至 [位置] 索引標籤。

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

注意

來自服務端點的 IPv6 位址可能會出現在登入記錄中,因為其處理流量的方式而失敗。 請務必注意, 不支援服務端點。 如果使用者看到這些 IPv6 位址,請從其虛擬網路子網設定中移除服務端點。

您應該知道的內容

雲端 Proxy 和 VPN

當您使用雲端託管 Proxy 或 VPN 解決方案時,評估原則時,Microsoft Entra ID 所使用的 IP 位址是 Proxy 的 IP 位址。 未使用包含使用者公用IP位址的 X-Forwarded-For (XFF) 標頭,因為沒有來自受信任來源的驗證,因此會呈現偽造IP位址的方法。

當雲端 Proxy 就緒時,需要 加入 Microsoft Entra 混合式或相容裝置 的原則可能會更容易管理。 將雲端託管 Proxy 或 VPN 解決方案所使用的 IP 位址清單保持在最新狀態幾乎是不可能的。

我們建議組織利用全域安全存取來啟用 來源IP還原 ,以避免此位址變更並簡化管理。

何時評估位置?

條件式存取原則會在下列情況下進行評估:

  • 使用者一開始登入 Web 應用程式、行動裝置或傳統型應用程式。
  • 使用新式驗證的行動或傳統型應用程式,使用重新整理令牌來取得新的存取令牌。 根據預設,這項檢查是每小時一次。

這項檢查表示使用新式驗證的行動和桌面應用程式,會在變更網路位置的一小時內偵測到位置變更。 對於不使用新式驗證的行動和傳統型應用程式,原則適用於每個令牌要求。 要求的頻率可能會根據應用程式而有所不同。 同樣地,對於 Web 應用程式,原則會在初始登入時套用,而且適用於 Web 應用程式會話的存留期。 由於應用程式之間的會話存留期差異,原則評估之間的時間會有所不同。 每次應用程式要求新的登入令牌時,都會套用原則。

根據預設,Microsoft Entra ID 會每小時發出令牌。 使用者移出公司網路之後,會在一小時內針對使用新式驗證的應用程式強制執行原則。

使用者IP位址

原則評估中使用的IP位址是使用者的公用IPv4或IPv6位址。 對於專用網上的裝置,此IP位址不是內部網路上使用者裝置的用戶端IP,它是網路用來連線到公用因特網的位址。

何時可能會封鎖位置?

使用位置條件來封鎖存取的原則會被視為限制性,而且應在徹底測試之後小心完成。 使用位置條件封鎖驗證的某些實體可能包括:

  • 封鎖貴組織永不執行業務的國家/地區。
  • 封鎖特定的IP範圍,例如:
    • 防火牆原則可以變更之前已知的惡意IP。
    • 對於高度敏感或特殊許可權的動作和雲端應用程式。
    • 根據使用者特定的IP範圍,例如存取會計或薪資應用程式。

使用者排除

條件式存取原則是功能強大的工具,建議您從您的原則中排除下列帳戶:

  • 緊急存取急用帳戶,以防止整個租用戶帳戶鎖定。 在不太可能的情況下,所有系統管理員都會鎖定您的租使用者,您的緊急存取系統管理帳戶可用來登入租使用者,以採取復原存取權的步驟。
  • [服務帳戶] 和 [服務主體],例如 Microsoft Entra Connect 同步帳戶。 服務帳戶是未繫結至任何特定使用者的非互動式帳戶。 後端服務通常會使用它們,允許以程式設計方式存取應用程式,但也可用來登入系統以進行系統管理。 請排除這類服務帳戶,因為您無法透過程式設計方式來完成 MFA。 服務主體所進行的呼叫不會遭到範圍設定為用戶的條件式存取原則封鎖。 使用工作負載身分識別的條件式存取來定義以服務主體為目標的原則。
    • 如果您的組織在指令碼或程式碼中使用這些帳戶,請考慮將它們取代為受管理的身分識別。 您可以在基準原則中排除這些特定帳戶,暫時解決此問題。

大量上傳和下載具名位置

當您建立或更新具名位置時,您可以上傳或下載具有IP範圍的 CSV 檔案。 上傳會將清單中的IP範圍取代為檔案中的那些範圍。 檔案的每個數據列都包含一個 CIDR 格式的 IP 位址範圍。

API 支援和 PowerShell

如需詳細資訊, 請參閱 namedLocation API 的圖形 API 預覽版本。

下一步

  • 使用位置設定條件式存取原則範例,請參閱條件式存取:依位置封鎖存取一文