通过

使用 Microsoft Entra 条件访问按位置阻止访问

  • 项目

您可以使用按位置阻止访问来限制用户的访问权限,以减少未经授权的访问。 通过使用条件访问策略,您可以根据需要应用适当的访问控制,帮助保护组织安全并在不需要时随时了解用户的方式。 条件访问分析信号(例如用户、设备和位置)以自动做出决策,并强制执行资源的组织访问策略。 例如,当在用户的配置文件中设置位置限制时,如果用户尝试从被阻止的位置登录,访问客户互动应用(Dynamics 365 Sales、Dynamics 365 Customer Service、Dynamics 365 Field Service、Dynamics 365 Marketing、Dynamics 365 Project Service Automation)和财务和运营应用将被拒绝。 有关条件访问的详细信息,请参阅条件访问文档。

要求

其他安全注意事项

阻止访问只在验证用户身份时执行。 这通过 Microsoft Entra ID 条件性访问功能完成。 客户互动以及财务和运营应用设置会话超时限制,以在保护用户数据与提示用户登录凭证的次数方面保持平衡。 只有在会话超时时,才应用设备(包括笔记本电脑)的阻止访问。

例如,将阻止访问设置为仅在用户在公司办公室工作时允许访问客户互动以及财务和运营应用。 当用户在办公室使用笔记本电脑登录客户互动以及财务和运营应用并建立会话后,直到会话超时以前,用户即使离开办公室也仍然可以继续访问客户互动以及财务和运营应用。 此行为同样适用于移动设备和站外连接,如:适用于手机和平板电脑的 Dynamics 365、Dynamics 365 App for Outlook 和财务和运营 (Dynamics 365) 移动应用。

创建安全组(可选)

可以阻止所有用户或用户组访问。 如果仅有部分 Microsoft Entra 用户访问客户互动以及财务和运营应用,按群组进行限制更为有效。

有关信息,请参阅:使用 Microsoft Entra ID 创建基本组和添加成员

创建按位置阻止访问

按位置阻止访问是使用 Microsoft Entra ID (AD) 条件访问设置的。 对于云应用,选择 Common Data Service 来控制对客户互动应用(如 Dynamics 365 Sales 和 Customer Service)的访问,或者对于云应用,选择 Microsoft Dynamics ERP 来控制对财务和运营应用的访问。

备注

设置条件性访问仅在使用 Microsoft Entra ID Premium 许可证时才可用。 在 Microsoft 365 管理中心将您的 Microsoft Entra 升级为 Premium 许可证(https://admin.microsoft.com>记帐>购买服务)。

若要为用户设置按位置阻止访问:

  1. 创建一个命名位置。 请参阅定义位置
  2. 创建一个条件访问策略。 请参阅创建条件访问策略

对于步骤 6. 在云应用或操作下,选择 Microsoft Dataverse 应用程序。

受限 IP Dataverse 云应用。

或者

对于步骤 6. 在云应用或操作下,选择适用于财务和运营应用程序的 Microsoft Dynamics ERP。

受限 IP Microsoft Dynamics ERP 云应用。

另请参见

如何设置基于 Microsoft Entra 设备的条件性访问策略,以控制访问连接 Microsoft Entra 的应用程序
条件访问文档
使用条件访问限制财务和运营应用的访问