Použití podmínky umístění v zásadách podmíněného přístupu

Jak je vysvětleno v článku s přehledem o zásadách podmíněného přístupu, jsou jejich nejzákladnější výrazy, které kombinují signály, k rozhodování a vynucování zásad organizace. Jedním z těchto signálů, které je možné začlenit do rozhodovacího procesu, je umístění.

Koncepční podmíněný signál plus rozhodnutí o vynucování

Organizace můžou toto umístění použít pro běžné úlohy, jako jsou:

  • Vyžadování vícefaktorového ověřování pro uživatele, kteří přistupují ke službě, když jsou mimo podnikovou síť.
  • Blokování přístupu pro uživatele, kteří přistupují ke službě z konkrétních zemí nebo oblastí

Umístění je určeno veřejnou IP adresou, kterou klient poskytuje souřadnicím Azure Active Directory nebo GPS poskytovaným aplikací Microsoft Authenticator. Zásady podmíněného přístupu se standardně vztahují na všechny adresy IPv4 a IPv6.

Pojmenovaná umístění

Umístění jsou pojmenovaná v Azure Portal vumístěních s názvem Podmíněný přístup zabezpečení>>Azure Active Directory>. Tato pojmenovaná síťová umístění můžou zahrnovat umístění, jako jsou rozsahy sítí ústředí organizace, rozsahy sítí VPN nebo rozsahy, které chcete blokovat. Pojmenovaná umístění je možné definovat podle rozsahů adres IPv4/IPv6 nebo podle zemí.

Pojmenovaná umístění v Azure Portal

Rozsahy IP adres

Pokud chcete definovat pojmenované umístění podle rozsahů adres IPv4/IPv6, musíte zadat:

  • Název umístění
  • Jeden nebo více rozsahů IP adres
  • Volitelně označit jako důvěryhodné umístění

Nová IP umístění v Azure Portal

Pojmenovaná umístění definovaná rozsahy adres IPv4/IPv6 podléhají následujícím omezením:

  • Konfigurace až 195 pojmenovaných umístění
  • Konfigurace až 2000 rozsahů IP adres na pojmenované umístění
  • Podporují se rozsahy IPv4 i IPv6.
  • Rozsahy privátních IP adres nejde nakonfigurovat
  • Počet IP adres obsažených v rozsahu je omezený. Při definování rozsahu IP adres jsou povoleny pouze masky CIDR větší než /8.

Důvěryhodná umístění

Správci můžou pojmenovat umístění definovaná rozsahy IP adres, které mají být důvěryhodné pojmenované umístění.

Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika služby Identity Protection Azure AD a snižují riziko přihlášení uživatele při ověřování z umístění označeného jako důvěryhodné. Důvěryhodná pojmenovaná umístění se navíc dají cílit v zásadách podmíněného přístupu. Registraci vícefaktorového ověřování můžete například omezit na důvěryhodná umístění.

Země

Organizace mohou určit umístění země podle IP adresy nebo souřadnic GPS.

Pokud chcete definovat pojmenované umístění podle země, musíte zadat:

  • Název umístění
  • Volba určení polohy podle IP adresy nebo souřadnic GPS
  • Přidání jedné nebo více zemí
  • Volitelně můžete zahrnout neznámé země nebo oblasti.

Země jako umístění v Azure Portal

Pokud vyberete Možnost Určit umístění podle IP adresy (pouze IPv4), systém shromáždí IP adresu zařízení, ke které se uživatel přihlašuje. Když se uživatel přihlásí, Azure AD přeloží adresu IPv4 uživatele do země nebo oblasti a mapování se pravidelně aktualizuje. Organizace můžou používat pojmenovaná umístění definovaná zeměmi k blokování provozu ze zemí, kde neprobíjí.

Poznámka

Přihlášení z adres IPv6 nelze mapovat na země nebo oblasti a považují se za neznámé oblasti. Na země nebo oblasti je možné mapovat jenom adresy IPv4.

Pokud vyberete Možnost Určit polohu podle souřadnic GPS, uživatel bude muset mít na svém mobilním zařízení nainstalovanou aplikaci Microsoft Authenticator. Systém každou hodinu kontaktuje aplikaci Microsoft Authenticator uživatele a shromáždí polohu GPS mobilního zařízení uživatele.

Když je uživatel poprvé nutný ke sdílení polohy z aplikace Microsoft Authenticator, uživateli se v aplikaci zobrazí oznámení. Uživatel bude muset aplikaci otevřít a udělit oprávnění k poloze.

Po dobu následujících 24 hodin, pokud uživatel stále přistupuje k prostředku a udělil aplikaci oprávnění ke spuštění na pozadí, bude umístění zařízení sdíleno bezobslužně jednou za hodinu.

  • Po 24 hodinách musí uživatel aplikaci otevřít a oznámení schválit.
  • Uživatelé, kteří mají v aplikaci Microsoft Authenticator povolené porovnávání čísel nebo další kontext, nebudou dostávat oznámení bezobslužně a musí aplikaci otevřít, aby schvalovala oznámení.

Pokaždé, když uživatel sdílí polohu GPS, aplikace provede detekci jailbreaků (pomocí stejné logiky jako sada Intune MAM SDK). Pokud je zařízení jailbreak, umístění není považováno za platné a uživatel nemá udělený přístup.

Zásady podmíněného přístupu s pojmenovanými umístěními založenými na GPS v režimu jen pro sestavy zobrazí uživatelům výzvu ke sdílení polohy GPS, i když nejsou blokovaní v přihlášení.

Umístění GPS nefunguje s metodami ověřování bez hesla.

Před použitím všech zásad podmíněného přístupu můžou aplikace zásad podmíněného přístupu uživatele vyzvat k zadání polohy GPS. Z důvodu způsobu použití zásad podmíněného přístupu může být uživateli odepřen přístup, pokud předá kontrolu polohy, ale selže jiná zásada. Další informace o vynucení zásad najdete v článku Vytváření zásad podmíněného přístupu.

Důležité

Uživatelé můžou dostávat výzvy každou hodinu a můžou jim dát vědět, že Azure AD kontroluje jejich umístění v aplikaci Authenticator. Verze Preview by se měla používat jenom k ochraně velmi citlivých aplikací v případě, že je toto chování přijatelné nebo kde je potřeba omezit přístup na konkrétní zemi nebo oblast.

Zahrnout neznámé země/oblasti

Některé IP adresy se nemapují na konkrétní zemi nebo oblast, včetně všech IPv6 adres. Pokud chcete zaznamenat tato umístění IP adres, zaškrtněte políčko Zahrnout neznámé země nebo oblasti při definování geografického umístění. Tato možnost umožňuje zvolit, jestli mají být tyto IP adresy zahrnuté do pojmenovaného umístění. Toto nastavení použijte, pokud zásady používající pojmenované umístění by se měly vztahovat na neznámá umístění.

Konfigurace důvěryhodných IP adres MFA

Rozsahy IP adres, které představují místní intranet vaší organizace, můžete také nakonfigurovat v nastavení služby vícefaktorového ověřování. Tato funkce umožňuje nakonfigurovat až 50 rozsahů IP adres. Rozsahy IP adres jsou ve formátu CIDR. Další informace najdete v článku Důvěryhodné IP adresy.

Pokud máte nakonfigurované důvěryhodné IP adresy, zobrazí se v seznamu umístění pro podmínku umístění jako důvěryhodné IP adresy MFA .

Přeskočení vícefaktorového ověřování

Na stránce nastavení služby vícefaktorového ověřování můžete identifikovat podnikové intranetové uživatele výběrem možnosti Přeskočit vícefaktorové ověřování pro požadavky federovaných uživatelů na mém intranetu. Toto nastavení označuje, že deklarace identity uvnitř podnikové sítě, která je vystavena službou AD FS, by měla být důvěryhodná a použita k identifikaci uživatele jako uživatele v podnikové síti. Další informace naleznete v tématu Povolení funkce Důvěryhodné IP adresy pomocí podmíněného přístupu.

Po zaškrtnutí této možnosti, včetně pojmenovaného umístění důvěryhodných IP adres MFA , budou platit pro všechny zásady s touto vybranou možností.

U mobilních a desktopových aplikací, které mají dlouhou životnost relací, se podmíněný přístup pravidelně znovuhodnotí. Výchozí hodnota je jednou za hodinu. Pokud se deklarace identity v podnikové síti vydává pouze v době počátečního ověřování, Azure AD nemusí mít seznam důvěryhodných rozsahů IP adres. V tomto případě je obtížnější určit, jestli je uživatel stále v podnikové síti:

  1. Zkontrolujte, jestli je IP adresa uživatele v jednom z důvěryhodných rozsahů IP adres.
  2. Zkontrolujte, jestli první tři oktety IP adresy uživatele odpovídají prvním třem oktetům IP adresy počátečního ověřování. IP adresa se porovnává s počátečním ověřováním, když byla původně vydána deklarace identity v podnikové síti a bylo ověřeno umístění uživatele.

Pokud oba kroky selžou, považuje se uživatel za to, že už není na důvěryhodné IP adrese.

Podmínka umístění v zásadách

Když konfigurujete podmínku umístění, můžete rozlišovat mezi těmito hodnotami:

  • Libovolné umístění
  • Všechna důvěryhodná umístění
  • Vybraná umístění

Libovolné umístění

Ve výchozím nastavení výběr libovolného umístění způsobí použití zásady pro všechny IP adresy, což znamená libovolnou adresu na internetu. Toto nastavení není omezeno na IP adresy, které jste nakonfigurovali jako pojmenované umístění. Když vyberete Libovolné umístění, můžete z zásad přesto vyloučit konkrétní umístění. Můžete například použít zásadu pro všechna umístění kromě důvěryhodných umístění a nastavit obor na všechna umístění s výjimkou podnikové sítě.

Všechna důvěryhodná umístění

Tato možnost platí pro:

  • Všechna umístění označená jako důvěryhodná umístění
  • Důvěryhodné IP adresy MFA (pokud jsou nakonfigurované)

Vybraná umístění

Pomocí této možnosti můžete vybrat jedno nebo více pojmenovaných umístění. Aby se zásady s tímto nastavením použily, musí se uživatel připojit z libovolného vybraného umístění. Když vyberete ovládací prvek pro výběr pojmenované sítě, který zobrazí seznam pojmenovaných sítí, otevře se. Seznam také ukazuje, jestli je síťové umístění označené jako důvěryhodné. Pojmenované umístění s názvem Vícefaktorové důvěryhodné IP adresy se používá k zahrnutí nastavení PROTOKOLU IP, která je možné nakonfigurovat na stránce s nastavením vícefaktorové služby ověřování.

Přenosy protokolu IPv6

Ve výchozím nastavení se zásady podmíněného přístupu použijí pro veškerý provoz IPv6. Konkrétní rozsahy adres IPv6 můžete vyloučit ze zásad podmíněného přístupu, pokud nechcete zásady vynucovat pro konkrétní rozsahy IPv6. Pokud například nechcete vynucovat zásady pro použití ve vaší podnikové síti a vaše podniková síť je hostovaná ve veřejných rozsahech IPv6.

Identifikace provozu protokolu IPv6 v sestavách aktivit přihlášení Azure AD

Provoz protokolu IPv6 ve vašem tenantovi můžete zjistit tak, že přejdete na sestavy aktivit přihlášení Azure AD. Po otevření sestavy aktivit přidejte sloupec IP adresa. Tento sloupec vám poskytne identifikaci provozu IPv6.

IP adresu klienta najdete také kliknutím na řádek v sestavě a následným přechodem na kartu Umístění v podrobnostech o aktivitě přihlášení.

Kdy bude mít můj tenant provoz IPv6?

Azure Active Directory (Azure AD) v současné době nepodporuje přímá síťová připojení, která používají protokol IPv6. Existují však některé případy, kdy se ověřovací provoz proxiuje prostřednictvím jiné služby. V těchto případech se adresa IPv6 použije během vyhodnocení zásad.

Většina přenosů IPv6, které se proxidují na Azure AD pochází z Microsoft Exchange Online. Pokud je k dispozici, Bude Exchange upřednostňovat připojení IPv6. Pokud tedy máte nějaké zásady podmíněného přístupu pro Exchange, které jsou nakonfigurované pro konkrétní rozsahy IPv4, měli byste se ujistit, že jste přidali také rozsahy IPv6 vaší organizace. Zahrnutí rozsahů IPv6 způsobí neočekávané chování následujících dvou případů:

  • Když se poštovní klient používá k připojení k Exchange Online se starším ověřováním, může Azure AD obdržet adresu IPv6. Počáteční žádost o ověření přejde na Exchange a pak se proxiuje na Azure AD.
  • Když se Outlook Web Access (OWA) používá v prohlížeči, bude pravidelně ověřovat, že všechny zásady podmíněného přístupu budou dál splněné. Tato kontrola se používá k zachycení případů, kdy se uživatel mohl přesunout z povolené IP adresy na nové místo, jako je kavárna dole na ulici. V takovém případě se použije adresa IPv6 a pokud adresa IPv6 není v nakonfigurované oblasti, může být relace přerušena a přesměrována zpět na Azure AD k opětovnému ověření.

Pokud používáte virtuální sítě Azure, budete mít provoz přicházející z adresy IPv6. Pokud máte provoz virtuální sítě blokovaný zásadami podmíněného přístupu, zkontrolujte přihlášení Azure AD. Jakmile zjistíte provoz, můžete získat použitou adresu IPv6 a vyloučit ji ze zásad.

Poznámka

Pokud chcete zadat rozsah CIDR PROTOKOLU IP pro jednu adresu, použijte masku /128 bitů. Pokud se zobrazí adresa IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a a chtěla vyloučit tuto jednu adresu jako rozsah, použijte 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Co byste měli vědět

Kdy se vyhodnocuje umístění?

Zásady podmíněného přístupu se vyhodnocují, když:

  • Uživatel se zpočátku přihlásí k webové aplikaci, mobilní nebo desktopové aplikaci.
  • Mobilní nebo desktopová aplikace, která používá moderní ověřování, používá obnovovací token k získání nového přístupového tokenu. Ve výchozím nastavení je tato kontrola jednou za hodinu.

Tato kontrola znamená, že mobilní a desktopové aplikace používající moderní ověřování by se během hodiny změny síťového umístění zjistilo, že došlo ke změně umístění v síti. Pro mobilní a desktopové aplikace, které nepoužívají moderní ověřování, se zásady použijí pro jednotlivé žádosti o token. Frekvence požadavku se může lišit v závislosti na aplikaci. Podobně platí, že u webových aplikací se zásada použije při počátečním přihlášení a je vhodná pro dobu životnosti relace ve webové aplikaci. Vzhledem k rozdílům v životnosti relací napříč aplikacemi se doba mezi vyhodnocením zásad také bude lišit. Pokaždé, když aplikace požádá o nový přihlašovací token, použije se zásada.

Ve výchozím nastavení Azure AD vydá token po hodinách. Po přesunutí z podnikové sítě se zásada vynucuje pro aplikace využívající moderní ověřování do hodiny.

IP adresa uživatele

IP adresa použitá v vyhodnocení zásad je veřejná IP adresa uživatele. U zařízení v privátní síti tato IP adresa není IP adresa klienta zařízení uživatele v intranetu, je to adresa používaná sítí pro připojení k veřejnému internetu.

Hromadné nahrávání a stahování pojmenovaných umístění

Při vytváření nebo aktualizaci pojmenovaných umístění můžete pro hromadné aktualizace nahrát nebo stáhnout soubor CSV s rozsahy IP adres. Nahrávání nahradí rozsahy IP adres v seznamu těmito rozsahy ze souboru. Každý řádek souboru obsahuje jeden rozsah IP adres ve formátu CIDR.

Cloudové proxy servery a sítě VPN

Při použití cloudového hostovaného proxy serveru nebo řešení VPN se IP adresa Azure AD používá při vyhodnocování zásady IP adresa proxy serveru. Hlavička X-Forwarded-For (XFF), která obsahuje veřejnou IP adresu uživatele, se nepoužívá, protože neexistuje žádné ověření, že pochází z důvěryhodného zdroje, takže by se zobrazila metoda pro fakování IP adresy.

Pokud je spuštěný cloudový proxy server, je možné použít zásadu, která vyžaduje hybridní Azure AD připojené zařízení, nebo deklarace identity uvnitř corpnetu ze služby AD FS.

Podpora rozhraní API a PowerShell

K dispozici je verze Preview Graph API pro pojmenovaná umístění. Další informace najdete v rozhraní API pojmenované polohy.

Další kroky