Použití podmínky umístění v zásadách podmíněného přístupu

  • Článek

Zásady podmíněného přístupu představují nejzásadnější příkazy, které kombinují signály, provádějí rozhodnutí a vynucují zásady organizace. Jedním z těchto signálů je umístění.

Conceptual Conditional signal plus decision to get enforcement

Jak je uvedeno v blogovém příspěvku IPv6, přichází na Microsoft Entra ID, nyní podporujeme IPv6 ve službách Microsoft Entra.

Organizace můžou tato umístění používat pro běžné úlohy, jako jsou:

  • Vyžadování vícefaktorového ověřování pro uživatele, kteří přistupují ke službě, když jsou mimo podnikovou síť.
  • Blokování přístupu pro uživatele, kteří přistupují ke službě z konkrétních zemí nebo oblastí, ze kterých vaše organizace nikdy nepracuje.

Umístění se nachází pomocí veřejné IP adresy, kterou klient poskytuje do souřadnic Microsoft Entra ID nebo GPS poskytované aplikací Microsoft Authenticator. Zásady podmíněného přístupu se ve výchozím nastavení vztahují na všechny adresy IPv4 a IPv6. Další informace o podpoře IPv6 najdete v článku Podpora protokolu IPv6 v Microsoft Entra ID.

Tip

Zásady podmíněného přístupu se vynucují po dokončení prvního ověření. Podmíněný přístup není určen jako první linie obrany organizace pro scénáře, jako jsou útoky doS (DoS), ale může k určení přístupu používat signály z těchto událostí.

Pojmenovaná umístění

Umístění existují v části Umístění s názvem Podmíněný přístup ochrany>>. Tato pojmenovaná síťová umístění můžou zahrnovat umístění, jako jsou rozsahy sítí ústředí organizace, rozsahy sítí VPN nebo rozsahy, které chcete blokovat. Pojmenovaná umístění jsou definována rozsahy adres IPv4 a IPv6 nebo podle zemí/oblastí.

Rozsahy adres IPv4 a IPv6

Pokud chcete definovat pojmenované umístění podle rozsahů adres IPv4/IPv6, musíte zadat:

  • Název umístění.
  • Jeden nebo více rozsahů IP adres.
  • Volitelně můžete označit jako důvěryhodné umístění.

New IP locations

Pojmenovaná umístění definovaná rozsahy adres IPv4/IPv6 podléhají následujícím omezením:

  • Nakonfigurujte až 195 pojmenovaných umístění.
  • Nakonfigurujte až 2 000 rozsahů IP adres na pojmenované umístění.
  • Podporují se rozsahy IPv4 i IPv6.
  • Počet IP adres obsažených v rozsahu je omezený. Při definování rozsahu IP adres jsou povoleny pouze masky CIDR větší než /8.

Důvěryhodná umístění

Umístění, jako jsou rozsahy veřejných sítí vaší organizace, se dají označit jako důvěryhodné. Toto označení používají funkce několika způsoby.

  • Zásady podmíněného přístupu můžou zahrnovat nebo vyloučit tato umístění.
  • Přihlášení z důvěryhodných pojmenovaných umístění zlepšují přesnost výpočtu rizika microsoft Entra ID Protection a snižují riziko přihlášení uživatele při ověřování z umístění označeného jako důvěryhodné.
  • Umístění označená jako důvěryhodná nelze odstranit. Před pokusem o odstranění odeberte důvěryhodné označení.

Upozorňující

I když znáte síť a označíte ji jako důvěryhodnou, neznamená to, že byste ji měli vyloučit ze zásad. Ověřte, že explicitně představuje základní princip architektury nulová důvěra (Zero Trust). Další informace o nulová důvěra (Zero Trust) a dalších nulová důvěra (Zero Trust)způsobch

Země/oblasti

Organizace můžou určit umístění země/oblasti podle IP adresy nebo souřadnic GPS.

Pokud chcete definovat pojmenované umístění podle země nebo oblasti, musíte zadat:

  • Název umístění.
  • Zvolte, zda chcete určit polohu podle IP adresy nebo souřadnic GPS.
  • Přidejte jednu nebo více zemí nebo oblastí.
  • Volitelně můžete zahrnout neznámé země nebo oblasti.

Country as a location

Pokud vyberete Možnost Určit umístění podle IP adresy, systém shromažďuje IP adresu zařízení, ke které se uživatel přihlašuje. Když se uživatel přihlásí, Microsoft Entra ID přeloží adresu IPv4 nebo IPv6 uživatele (od 3. dubna 2023) do země nebo oblasti a mapování se pravidelně aktualizuje. Organizace můžou používat pojmenovaná umístění definovaná zeměmi nebo oblastmi k blokování provozu ze zemí nebo oblastí, kde nedělají obchodní činnost.

Pokud vyberete Možnost Určit polohu podle souřadnic GPS, musí mít uživatel na svém mobilním zařízení nainstalovanou aplikaci Microsoft Authenticator. Každou hodinu systém kontaktuje aplikaci Microsoft Authenticator uživatele, aby shromáždil polohu GPS mobilního zařízení uživatele.

Když uživatel musí poprvé sdílet svoji polohu z aplikace Microsoft Authenticator, uživatel obdrží v aplikaci oznámení. Uživatel musí aplikaci otevřít a udělit oprávnění k poloze. Po dobu následujících 24 hodin, pokud uživatel stále přistupuje k prostředku a udělil aplikaci oprávnění ke spuštění na pozadí, bude umístění zařízení sdíleno bezobslužně jednou za hodinu.

  • Po 24 hodinách musí uživatel aplikaci otevřít a schválit oznámení.
  • Uživatelé, kteří mají v aplikaci Microsoft Authenticator povolené párování čísel nebo další kontext, nebudou dostávat oznámení bezobslužně a musí aplikaci otevřít, aby oznámení schválili.

Pokaždé, když uživatel sdílí svoji polohu GPS, aplikace detekuje jailbreak (používá stejnou logiku jako Intune MAM SDK). Pokud je zařízení jailbreakem, umístění se nepovažuje za platné a uživatel nemá udělený přístup. Aplikace Microsoft Authenticator na Androidu používá rozhraní API integrity Google Play k usnadnění detekce jailbreaků. Pokud rozhraní API integrity Google Play není k dispozici, žádost se odmítne a uživatel nebude mít přístup k požadovanému prostředku, pokud není zásada podmíněného přístupu zakázaná. Další informace o aplikaci Microsoft Authenticator najdete v článku Běžné dotazy k aplikaci Microsoft Authenticator.

Poznámka:

Zásady podmíněného přístupu s pojmenovanými umístěními založenými na GPS v režimu pouze sestavy vyzve uživatele, aby sdíleli svoji polohu GPS, i když nejsou blokovaní v přihlášení.

Umístění GPS nefunguje s metodami ověřování bez hesla.

Několik zásad podmíněného přístupu může uživatele vyzvat k zadání polohy GPS před použitím všech. Z důvodu způsobu, jakým se používají zásady podmíněného přístupu, může být uživateli odepřen přístup, pokud projde kontrolou polohy, ale selže jiná zásada. Další informace o vynucování zásad najdete v článku Vytvoření zásady podmíněného přístupu.

Důležité

Uživatelům se můžou každou hodinu zobrazit výzvy s informacemi o tom, že ID Microsoft Entra kontroluje jejich umístění v aplikaci Authenticator. Náhled by se měl použít jenom k ochraně velmi citlivých aplikací, pokud je toto chování přijatelné nebo kde je potřeba omezit přístup na konkrétní zemi nebo oblast.

Zamítnutí požadavků s upraveným umístěním

Uživatelé můžou změnit umístění hlášené zařízeními s iOSem a Androidem. V důsledku toho Microsoft Authenticator aktualizuje směrný plán zabezpečení pro zásady podmíněného přístupu na základě umístění. Authenticator odmítne ověřování, kde uživatel může používat jiné umístění než skutečné umístění GPS mobilního zařízení, na kterém je nainstalována aplikace Authenticator.

Ve verzi Authenticatoru z listopadu 2023 se uživatelům, kteří upravují umístění svého zařízení, při pokusu o ověření na základě polohy zobrazí v authenticatoru zprávu o odepření. Od ledna 2024 se všem uživatelům se staršími verzemi Authenticatoru zablokuje ověřování na základě polohy:

  • Authenticator verze 6.2309.6329 nebo starší v Androidu
  • Authenticator verze 6.7.16 nebo starší v iOSu

Pokud chcete zjistit, kteří uživatelé používají starší verze Authenticatoru, použijte rozhraní Microsoft Graph API.

Zahrnout neznámé země nebo oblasti

Některé IP adresy se nemapuje na konkrétní zemi nebo oblast. Pokud chcete zachytit tato umístění IP adres, zaškrtněte políčko Zahrnout neznámé země nebo oblasti při definování geografického umístění. Tato možnost umožňuje zvolit, jestli mají být tyto IP adresy zahrnuty do pojmenovaného umístění. Toto nastavení použijte, když zásady používající pojmenované umístění by se měly vztahovat na neznámá umístění.

Konfigurace důvěryhodných IP adres MFA

Rozsahy IP adres, které představují místní intranet vaší organizace, můžete také nakonfigurovat v nastavení vícefaktorové ověřovací služby. Tato funkce umožňuje nakonfigurovat až 50 rozsahů IP adres. Rozsahy IP adres jsou ve formátu CIDR. Další informace najdete v článku Důvěryhodné IP adresy.

Pokud máte nakonfigurované důvěryhodné IP adresy, zobrazí se v seznamu umístění pro podmínku umístění jako důvěryhodné IP adresy MFA.

Přeskočení vícefaktorového ověřování

Na stránce nastavení služby vícefaktorového ověřování můžete identifikovat uživatele podnikového intranetu výběrem možnosti Přeskočit vícefaktorové ověřování pro žádosti federovaných uživatelů v mém intranetu. Toto nastavení označuje, že deklarace identity uvnitř podnikové sítě, která je vydána službou AD FS, by měla být důvěryhodná a použita k identifikaci uživatele jako uživatele v podnikové síti. Další informace naleznete v tématu Povolení funkce Důvěryhodné IP adresy pomocí podmíněného přístupu.

Po zaškrtnutí této možnosti, včetně pojmenovaného umístění důvěryhodných IP adres vícefaktorového ověřování, budou platit pro všechny zásady s vybranou možností.

U mobilních a desktopových aplikací, které mají dlouhou životnost relace, se podmíněný přístup pravidelně znovuhodnotí. Výchozí hodnota je jednou za hodinu. Pokud se deklarace identity uvnitř podnikové sítě vydává pouze v době počátečního ověřování, nemusíme mít seznam důvěryhodných rozsahů IP adres. V tomto případě je obtížnější určit, jestli je uživatel stále v podnikové síti:

  1. Zkontrolujte, jestli je IP adresa uživatele v jednom z důvěryhodných rozsahů IP adres.
  2. Zkontrolujte, jestli první tři oktety IP adresy uživatele odpovídají prvním třem oktetům IP adresy počátečního ověřování. IP adresa se porovnává s počátečním ověřováním, když byla původně vydána deklarace identity uvnitř podnikové sítě a bylo ověřeno umístění uživatele.

Pokud oba kroky selžou, považuje se uživatel za uživatele, který už nemá důvěryhodnou IP adresu.

Definování umístění

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň podmíněný přístup Správa istrator.
  2. Přejděte k pojmenovaným umístěním> podmíněného přístupu ochrany.>
  3. Zvolte Nové umístění.
  4. Pojmenujte umístění.
  5. Zvolte rozsahy IP adres , pokud znáte konkrétní externě přístupné rozsahy adres IPv4, které tvoří toto umístění nebo země/ oblasti.
    1. Zadejte rozsahy IP adres nebo vyberte země nebo oblasti pro zadané umístění.
      • Pokud zvolíte Země/oblasti, můžete volitelně zvolit zahrnutí neznámých oblastí.
  6. Zvolte Uložit.

Podmínka umístění v zásadách

Když konfigurujete podmínku umístění, můžete rozlišovat mezi těmito hodnotami:

  • Libovolné umístění
  • Všechna důvěryhodná umístění
  • Všechna umístění v síti vyhovující předpisům
  • Vybraná umístění

Libovolné umístění

Ve výchozím nastavení výběr libovolného umístění způsobí, že se zásada použije na všechny IP adresy, což znamená jakoukoli adresu na internetu. Toto nastavení se neomezuje na IP adresy, které jste nakonfigurovali jako pojmenované umístění. Když vyberete Možnost Libovolné umístění, můžete z zásady přesto vyloučit konkrétní umístění. Můžete například použít zásadu pro všechna umístění s výjimkou důvěryhodných umístění a nastavit obor na všechna umístění s výjimkou podnikové sítě.

Všechna důvěryhodná umístění

Tato možnost platí pro:

  • Všechna umístění označená jako důvěryhodná umístění.
  • Důvěryhodné IP adresy MFA, pokud jsou nakonfigurované.

Důvěryhodné IP adresy s vícefaktorovým ověřováním

Použití oddílu důvěryhodných IP adres pro nastavení služby vícefaktorového ověřování se už nedoporučuje. Tento ovládací prvek přijímá pouze adresy IPv4 a měl by být použit pouze pro konkrétní scénáře popsané v článku Konfigurace nastavení vícefaktorového ověřování Microsoft Entra.

Pokud máte tyto důvěryhodné IP adresy nakonfigurované, zobrazí se v seznamu umístění pro podmínku umístění jako důvěryhodné IP adresy MFA.

Všechna umístění v síti vyhovující předpisům

Organizace s přístupem k funkcím Global Secure Access Preview mají jiné umístění, které se skládá z uživatelů a zařízení, která vyhovují zásadám zabezpečení vaší organizace. Další informace najdete v části Povolení globálního zabezpečeného přístupu pro podmíněný přístup. Dá se použít se zásadami podmíněného přístupu k provedení kontroly kompatibilní sítě pro přístup k prostředkům.

Vybraná umístění

Pomocí této možnosti můžete vybrat jedno nebo více pojmenovaných umístění. Aby se zásada s tímto nastavením použila, musí se uživatel připojit z libovolného vybraného umístění. Když vyberete ovládací prvek pro výběr pojmenované sítě, který zobrazí seznam pojmenovaných sítí, otevře se. Seznam také ukazuje, jestli je síťové umístění označené jako důvěryhodné.

Provoz IPv6

Zásady podmíněného přístupu se vztahují na veškerý provoz IPv4 aIPv6 (od 3. dubna 2023).

Identifikace provozu IPv6 pomocí sestav aktivit přihlašování Microsoft Entra

Provoz IPv6 ve vašem tenantovi můžete zjistit tak, že přejdete do sestav aktivit přihlašování k Microsoft Entra. Po otevření sestavy aktivit přidejte sloupec IP adresa a do pole přidejte dvojtečku (:). Tento filtr pomáhá rozlišit provoz IPv6 od provozu IPv4.

IP adresu klienta najdete také kliknutím na řádek v sestavě a následným přechodem na kartu Umístění v podrobnostech o aktivitě přihlašování.

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

Poznámka:

Adresy IPv6 z koncových bodů služby se můžou zobrazovat v protokolech přihlašování s chybami kvůli způsobu, jakým zpracovávají provoz. Je důležité si uvědomit, že koncové body služby nejsou podporované. Pokud se uživatelům zobrazují tyto adresy IPv6, odeberte koncový bod služby z konfigurace podsítě virtuální sítě.

Co byste měli vědět

Cloudové proxy servery a sítě VPN

Pokud používáte cloudový proxy server nebo řešení VPN, IP adresa Microsoft Entra ID používá při vyhodnocování zásady IP adresu proxy serveru. Hlavička X-Forwarded-For (XFF), která obsahuje veřejnou IP adresu uživatele, se nepoužívá, protože neexistuje žádné ověření, že pochází z důvěryhodného zdroje, takže by se zobrazila metoda pro předstírání IP adresy.

Když je spuštěný cloudový proxy server, může být snazší spravovat zásady, které vyžadují hybridní nebo vyhovující zařízení Microsoft Entra. Udržování seznamu IP adres používaných vaším cloudovým proxy serverem nebo řešením VPN v aktualizovaném stavu může být téměř nemožné.

Doporučujeme organizacím využívat globální zabezpečený přístup k povolení obnovení zdrojových IP adres, aby se zabránilo této změně adresy a zjednodušení správy.

Kdy se vyhodnotí umístění?

Zásady podmíněného přístupu se vyhodnocují, když:

  • Uživatel se zpočátku přihlásí k webové aplikaci, mobilní nebo desktopové aplikaci.
  • Mobilní nebo desktopová aplikace, která používá moderní ověřování, používá obnovovací token k získání nového přístupového tokenu. Ve výchozím nastavení je tato kontrola jednou za hodinu.

Tato kontrola znamená, že u mobilních a desktopových aplikací využívajících moderní ověřování se během hodiny od změny síťového umístění zjistí změna umístění. Pro mobilní a desktopové aplikace, které nepoužívají moderní ověřování, platí zásady pro každou žádost o token. Frekvence požadavku se může lišit v závislosti na aplikaci. Podobně platí pro webové aplikace zásady při počátečním přihlášení a jsou vhodné po celou dobu života relace ve webové aplikaci. Vzhledem k rozdílům v životnosti relací napříč aplikacemi se doba mezi vyhodnocením zásad liší. Pokaždé, když aplikace požádá o nový přihlašovací token, použije se zásada.

Ve výchozím nastavení Microsoft Entra ID vydává token po hodinách. Jakmile se uživatelé přestěhují z podnikové sítě, vynutí se během hodiny zásady pro aplikace využívající moderní ověřování.

IP adresa uživatele

IP adresa použitá při vyhodnocování zásad je veřejná IPv4 nebo IPv6 adresa uživatele. U zařízení v privátní síti tato IP adresa není IP adresou klienta zařízení uživatele v intranetu, je to adresa používaná sítí pro připojení k veřejnému internetu.

Kdy můžete blokovat umístění?

Zásada, která používá podmínku umístění k blokování přístupu, je považována za omezující a měla by být provedena opatrně po důkladném testování. Mezi instance použití podmínky umístění k blokování ověřování může patřit:

  • Blokování zemí nebo oblastí, ve kterých vaše organizace nikdy neprovádí podnikání.
  • Blokování konkrétních rozsahů IP adres, jako jsou:
    • Známé škodlivé IP adresy před změnou zásad brány firewall.
    • Pro vysoce citlivé nebo privilegované akce a cloudové aplikace.
    • Na základě rozsahu IP adres pro konkrétní uživatele, jako je přístup k účetním nebo mzdových aplikacím.

Vyloučení uživatelů

Zásady podmíněného přístupu jsou výkonné nástroje, doporučujeme z vašich zásad vyloučit následující účty:

  • Nouzový přístup nebo prolomení účtů, aby se zabránilo uzamčení účtu v rámci celého tenanta. V nepravděpodobném scénáři jsou všichni správci uzamčeni z vašeho tenanta, váš účet pro správu tísňového volání se dá použít k přihlášení k tenantovi a provést kroky pro obnovení přístupu.
  • Účty služeb a instanční objekty, jako je účet Microsoft Entra Připojení Sync. Účty služeb jsou neinteraktivní účty, které nejsou svázané s žádným konkrétním uživatelem. Obvykle je používají back-endové služby, které umožňují programový přístup k aplikacím, ale používají se také k přihlášení k systémům pro účely správy. Účty služeb, jako jsou tyto, by se měly vyloučit, protože vícefaktorové ověřování není možné dokončit programově. Volání instančních objektů nebudou blokovaná zásadami podmíněného přístupu vymezenými pro uživatele. Pomocí podmíněného přístupu pro identity úloh definujte zásady, které cílí na instanční objekty.
    • Pokud má vaše organizace tyto účty používané ve skriptech nebo kódu, zvažte jejich nahrazení spravovanými identitami. Jako dočasné alternativní řešení můžete tyto konkrétní účty vyloučit ze základních zásad.

Hromadné nahrávání a stahování pojmenovaných umístění

Při vytváření nebo aktualizaci pojmenovaných umístění pro hromadné aktualizace můžete nahrát nebo stáhnout soubor CSV s rozsahy IP adres. Nahrání nahradí rozsahy IP adres v seznamu těmito rozsahy ze souboru. Každý řádek souboru obsahuje jeden rozsah IP adres ve formátu CIDR.

Podpora rozhraní API a PowerShell

K dispozici je verze Preview rozhraní Graph API pro pojmenovaná umístění. Další informace najdete v rozhraní API s názvemLocation.

Další kroky