A helyfeltétel használata feltételes hozzáférési szabályzatban

Amint azt az áttekintési cikkben ismertetettük, a feltételes hozzáférési szabályzatok a legalapvetőbb olyan if-then utasítások, amelyek a jeleket kombinálják, döntéseket hoznak, és kikényszerítik a szervezeti szabályzatokat. A döntéshozatali folyamatba beépíthető jelek egyike a helyszín.

Fogalmi feltételes jelzés és a végrehajtásra vonatkozó döntés

A szervezetek a következő gyakori feladatokhoz használhatják ezt a helyet:

  • Többtényezős hitelesítés megkövetelése a szolgáltatáshoz hozzáférő felhasználók számára, amikor nem csatlakoznak a vállalati hálózathoz.
  • Adott országokból vagy régiókból egy szolgáltatáshoz hozzáférő felhasználók hozzáférésének letiltása.

A helyet az ügyfél által az Azure Active Directorynak biztosított nyilvános IP-cím vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordináták határozzák meg. A feltételes hozzáférési szabályzatok alapértelmezés szerint az összes IPv4- és IPv6-címre érvényesek.

Nevesített helyek

A helyeket az Azure Active Directory>biztonsági>feltételes hozzáférés>nevesített helyei Azure Portal nevezik el. Ezek a megnevezett hálózati helyek tartalmazhatnak olyan helyeket, mint a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a blokkolni kívánt tartományok. A névvel ellátott helyeket IPv4/IPv6-címtartományok vagy országok határozzák meg.

Elnevezett helyek a Azure Portal

IP-címtartományok

Ha egy elnevezett helyet IPv4/IPv6-címtartományok alapján szeretne meghatározni, meg kell adnia a következőket:

  • A hely neve
  • Egy vagy több IP-címtartomány
  • Választható megjelölés megbízható helyként

Új IP-címek a Azure Portal

Az IPv4/IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:

  • Legfeljebb 195 megnevezett hely konfigurálása
  • Névvel ellátott helyenként legfeljebb 2000 IP-címtartomány konfigurálása
  • Az IPv4- és az IPv6-tartományok egyaránt támogatottak
  • A privát IP-címtartományok nem konfigurálhatók
  • A tartományban található IP-címek száma korlátozott. IP-tartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.

Megbízható helyek

A rendszergazdák az IP-címtartományok által meghatározott helyeket megbízható névvel ellátott helyeknek nevezhetik el.

A megbízható névvel ellátott helyekről történő bejelentkezések javítják Azure AD Identity Protection kockázatszámításának pontosságát, így csökkentik a felhasználó bejelentkezési kockázatát, ha megbízhatóként megjelölt helyről végez hitelesítést. Emellett a megbízható névvel ellátott helyek a feltételes hozzáférési szabályzatokban is megcélzhatók. Korlátozhatja például a többtényezős hitelesítés regisztrációt megbízható helyekre.

Országok

A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg az ország helyét.

A megnevezett hely országonkénti meghatározásához meg kell adnia a következőket:

  • A hely neve
  • A hely meghatározásának kiválasztása IP-cím vagy GPS-koordináták alapján
  • Egy vagy több ország hozzáadása
  • Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását

Ország mint hely a Azure Portal

Ha a Hely meghatározása IP-cím alapján (csak IPv4) lehetőséget választja, a rendszer összegyűjti annak az eszköznek az IP-címét, ahová a felhasználó bejelentkezik. Amikor egy felhasználó bejelentkezik, Azure AD feloldja a felhasználó IPv4-címét egy országra vagy régióra, és a leképezés rendszeres időközönként frissül. A szervezetek az országok által meghatározott elnevezett helyeket használva blokkolhatják az olyan országokból érkező forgalmat, ahol nem végeznek üzleti tevékenységet.

Megjegyzés

Az IPv6-címekről érkező bejelentkezések nem képezhetők le országokra vagy régiókra, és ismeretlen területeknek minősülnek. Csak IPv4-címek képezhetők le országokra vagy régiókra.

Ha GPS-koordináták alapján választja a helymeghatározást, a felhasználónak telepítenie kell a Microsoft Authenticator alkalmazást a mobileszközén. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy összegyűjtse a felhasználó mobileszközének GPS-helyét.

Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, a felhasználó értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnia.

A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futtatásra, az eszköz tartózkodási helye óránként egyszer, csendesen meg lesz osztva.

  • 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
  • Azok a felhasználók, akik számegyeztetés vagy további környezet engedélyezve vannak a Microsoft Authenticator alkalmazásban, nem kapnak csendes értesítéseket, és meg kell nyitniuk az alkalmazást az értesítések jóváhagyásához.

Minden alkalommal, amikor a felhasználó megosztja a GPS helyét, az alkalmazás jailbreakészlést végez (ugyanazt a logikát használja, mint a Intune MAM SDK). Ha az eszköz feltört, a hely nem minősül érvényesnek, és a felhasználó nem kap hozzáférést.

A csak jelentéskészítési módban lévő GPS-alapú elnevezett helyeket tartalmazó feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, még akkor is, ha nincsenek letiltva a bejelentkezésben.

A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.

Több feltételes hozzáférési szabályzat alkalmazása kérheti a felhasználóktól a GPS-hely megadását az összes feltételes hozzáférési szabályzat alkalmazása előtt. A feltételes hozzáférési szabályzatok alkalmazásának módja miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha átmegy a helyellenőrzésen, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítésével kapcsolatos további információkért tekintse meg a feltételes hozzáférési szabályzat létrehozásával foglalkozó cikket.

Fontos

A felhasználók óránként értesítést kaphatnak arról, hogy Azure AD ellenőrzik a helyüket az Authenticator alkalmazásban. Az előzetes verzió csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra kell korlátozni.

Ismeretlen országok/régiók belefoglalása

Egyes IP-címek nem egy adott országra vagy régióra vannak leképezve, beleértve az összes IPv6-címet. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással megadhatja, hogy ezek az IP-címek szerepeljenek-e a megnevezett helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.

Az MFA megbízható IP-címének konfigurálása

A többtényezős hitelesítési szolgáltatás beállításaiban a szervezet helyi intranetét képviselő IP-címtartományokat is konfigurálhat. Ez a funkció legfeljebb 50 IP-címtartomány konfigurálását teszi lehetővé. Az IP-címtartományok CIDR formátumban vannak. További információ: Megbízható IP-címek.

Ha megbízható IP-címek vannak konfigurálva, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.

Többtényezős hitelesítés kihagyása

A többtényezős hitelesítési szolgáltatás beállításai lapon a vállalati intranetes felhasználók azonosításához válassza a Többtényezős hitelesítés kihagyása lehetőséget az összevont felhasználóktól érkező kérelmekhez az intraneten. Ez a beállítás azt jelzi, hogy az AD FS által kiadott belső vállalati hálózati jogcímnek megbízhatónak kell lennie, és a felhasználó vállalati hálózatként való azonosítására kell használnia. További információ: A Megbízható IP-címek funkció engedélyezése feltételes hozzáféréssel.

A beállítás ellenőrzése után, beleértve a megnevezett helyet, az MFA megbízható IP-címeit is, minden olyan házirendre alkalmazni fog, amelynél ez a beállítás van kiválasztva.

A hosszú élettartamú mobil- és asztali alkalmazások esetében a feltételes hozzáférést rendszeresen újraértékelik. Az alapértelmezett érték óránként egyszer. Ha a belső vállalati hálózati jogcímet csak a kezdeti hitelesítéskor adják ki, előfordulhat, hogy Azure AD nem rendelkezik megbízható IP-tartományok listájával. Ebben az esetben nehezebb megállapítani, hogy a felhasználó még mindig a vállalati hálózaton van-e:

  1. Ellenőrizze, hogy a felhasználó IP-címe az egyik megbízható IP-címtartományban van-e.
  2. Ellenőrizze, hogy a felhasználó IP-címének első három oktettje megegyezik-e a kezdeti hitelesítés IP-címének első három oktettével. Az IP-címet a rendszer összehasonlítja a kezdeti hitelesítéssel, amikor a belső vállalati hálózati jogcímet eredetileg kiadták, és a felhasználói hely ellenőrzése megtörtént.

Ha mindkét lépés sikertelen, a rendszer úgy tekinti, hogy a felhasználó már nem rendelkezik megbízható IP-címekkel.

Helyfeltétel a szabályzatban

A helyfeltétel konfigurálásakor az alábbiakat különböztetheti meg:

  • Bármely hely
  • Minden megbízható hely
  • Kijelölt helyek

Bármely hely

Alapértelmezés szerint a Bármely hely kiválasztása esetén a rendszer minden IP-címre alkalmaz egy házirendet, ami az interneten található összes címet jelenti. Ez a beállítás nem korlátozódik a névvel ellátott helyként konfigurált IP-címekre. Ha a Bármely hely lehetőséget választja, akkor is kizárhat bizonyos helyeket a szabályzatból. Alkalmazhat például egy házirendet az összes helyre, kivéve a megbízható helyeket, így a hatókört az összes helyre beállíthatja, kivéve a vállalati hálózatot.

Minden megbízható hely

Ez a beállítás a következőkre vonatkozik:

  • Minden megbízható helyként megjelölt hely
  • MFA megbízható IP-címek (ha konfigurálva van)

Kijelölt helyek

Ezzel a beállítással kiválaszthat egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak a kiválasztott helyek bármelyikéről csatlakoznia kell. Amikor kiválasztja azt a névvel ellátott hálózatkijelölési vezérlőt, amely megjeleníti a megnevezett hálózatok listáját, megnyílik. A listában az is látható, hogy a hálózati hely megbízhatóként van-e megjelölve. Az MFA Megbízható IP-címek nevű megnevezett hely tartalmazza a többtényezős hitelesítési szolgáltatás beállítási lapján konfigurálható IP-beállításokat.

IPv6-forgalom

Alapértelmezés szerint a feltételes hozzáférési szabályzatok az összes IPv6-forgalomra érvényesek lesznek. Bizonyos IPv6-címtartományokat kizárhat a feltételes hozzáférési szabályzatokból, ha nem szeretné, hogy a házirendek kényszerítve legyenek adott IPv6-tartományokra. Ha például nem szeretne házirendet kikényszeríteni a vállalati hálózaton való használatra, és a vállalati hálózat nyilvános IPv6-tartományokon üzemel.

IPv6-forgalom azonosítása a Azure AD bejelentkezési tevékenység jelentéseiben

A bérlő IPv6-forgalmát a bejelentkezési tevékenységjelentések Azure AD segítségével derítheti fel. Miután megnyitotta a tevékenységjelentést, adja hozzá az "IP-cím" oszlopot. Ebben az oszlopban azonosíthatja az IPv6-forgalmat.

Az ügyfél IP-címét úgy is megkeresheti, ha a jelentés egy sorára kattint, majd a bejelentkezési tevékenység részletei között a "Hely" lapra lép.

Mikor lesz IPv6-forgalom a bérlőmnél?

Az Azure Active Directory (Azure AD) jelenleg nem támogatja az IPv6-ot használó közvetlen hálózati kapcsolatokat. Vannak azonban olyan esetek, amikor a hitelesítési forgalom egy másik szolgáltatáson keresztül halad át. Ezekben az esetekben az IPv6-címet fogja használni a szabályzat kiértékelése során.

A Azure AD felé haladó IPv6-forgalom nagy része Microsoft Exchange Online érkezik. Ha elérhető, az Exchange az IPv6-kapcsolatokat részesíti előnyben. Ha tehát rendelkezik az Exchange feltételes hozzáférési szabályzataival, amelyek meghatározott IPv4-tartományokhoz lettek konfigurálva, győződjön meg arról, hogy a szervezet IPv6-tartományait is hozzáadta. Az IPv6-tartományok kihagyása váratlan viselkedést okoz a következő két esetben:

  • Ha levelezési ügyfélprogrammal csatlakozik Exchange Online örökölt hitelesítéssel, Azure AD IPv6-címet kaphat. A kezdeti hitelesítési kérés az Exchange-hez kerül, majd a rendszer Azure AD.
  • Ha az Outlook Web Accesst (OWA) használja a böngészőben, rendszeres időközönként ellenőrzi, hogy az összes feltételes hozzáférési szabályzat továbbra is teljesül-e. Ez az ellenőrzés olyan eseteket észlel, amikor egy felhasználó egy engedélyezett IP-címről egy új helyre költözött, például az utcán lévő kávézóba. Ebben az esetben, ha IPv6-címet használ, és az IPv6-cím nincs konfigurált tartományban, előfordulhat, hogy a felhasználó munkamenete megszakad, és vissza lesz irányítva Azure AD az újbóli hitelesítéshez.

Ha Azure-beli virtuális hálózatokat használ, egy IPv6-címről érkező forgalom fog érkezni. Ha feltételes hozzáférési szabályzat blokkolja a virtuális hálózat forgalmát, ellenőrizze a Azure AD bejelentkezési naplóját. Miután azonosította a forgalmat, lekérheti a használt IPv6-címet, és kizárhatja azt a szabályzatból.

Megjegyzés

Ha egy IP CIDR-tartományt szeretne megadni egyetlen címhez, alkalmazza a /128 bites maszkot. Ha a 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a IPv6-cím jelenik meg, és tartományként ki szeretné zárni ezt az egyetlen címet, akkor a 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128 címet használná.

Alapismeretek

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:

  • A felhasználó először bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
  • Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.

Ez az ellenőrzés azt jelenti, hogy a modern hitelesítést használó mobil- és asztali alkalmazások esetében a rendszer a hálózati hely módosításától számított egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a rendszer minden jogkivonat-kérelemre alkalmazza a szabályzatot. A kérés gyakorisága az alkalmazástól függően változhat. Ehhez hasonlóan a webalkalmazások esetében a szabályzat a kezdeti bejelentkezéskor lesz alkalmazva, és a webalkalmazás munkamenetének teljes élettartama alatt megfelelő. Az alkalmazások munkamenet-élettartamának eltérései miatt a szabályzatok kiértékelése között eltelt idő is eltérő lesz. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a rendszer alkalmazza a szabályzatot.

Alapértelmezés szerint Azure AD óránként bocsát ki jogkivonatot. A vállalati hálózatról való áttérést követően egy órán belül a rendszer kikényszeríti a szabályzatot a modern hitelesítést használó alkalmazásokra.

Felhasználói IP-cím

A szabályzatértékelésben használt IP-cím a felhasználó nyilvános IP-címe. A magánhálózaton lévő eszközök esetében ez az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten, hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím.

Elnevezett helyek tömeges feltöltése és letöltése

Nevesített helyek létrehozásakor vagy frissítésekor tömeges frissítésekhez feltölthet vagy letölthet egy IP-címtartományokkal rendelkező CSV-fájlt. A feltöltés lecseréli a listában szereplő IP-címtartományokat a fájlból származó tartományokra. A fájl minden sora egy CIDR formátumú IP-címtartományt tartalmaz.

Felhőbeli proxyk és VPN-ek

Ha felhőben üzemeltetett proxyt vagy VPN-megoldást használ, a szabályzat kiértékelésekor Azure AD IP-cím a proxy IP-címe. A rendszer nem használja a felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejlécet, mert nem ellenőrzi, hogy megbízható forrásból származik-e, ezért egy IP-cím szimulálására szolgáló módszert mutatna be.

Ha a felhőproxy működik, egy hibrid Azure AD csatlakoztatott eszköz megkövetelésére szolgáló szabályzat, vagy az AD FS belső vállalati hálózatra vonatkozó jogcíme használható.

API-támogatás és PowerShell

A névvel ellátott helyek Graph API előzetes verziója érhető el. További információt a namedLocation API-ban talál.

Következő lépések