Feltételes hozzáférés: Hálózati hozzárendelés

  • Cikk

Rendszergazda istratorok olyan szabályzatokat hozhatnak létre, amelyek a döntési folyamat egyéb feltételeivel együtt jelzésként megcélzzák az adott hálózati helyeket. Ezeket a hálózati helyeket a szabályzatkonfiguráció részeként belefoglalhatják vagy kizárhatják. Ezek a hálózati helyek közé tartozhatnak a nyilvános IPv4- vagy IPv6-hálózati információk, az országok, az ismeretlen területek, amelyek nem adott országokhoz vannak leképezve, vagy a Globális biztonságos hozzáférés megfelelő hálózata.

A feltételes hozzáférési jelek fogalmát és a szervezeti szabályzat kikényszerítésére vonatkozó döntést bemutató ábra.

Feljegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

A szervezetek az alábbi helyeket használhatják az olyan gyakori feladatokhoz, mint például:

  • Többtényezős hitelesítés megkövetelése a szolgáltatáshoz a vállalati hálózaton kívül hozzáférő felhasználók számára.
  • A szervezet által soha nem működő országok hozzáférésének letiltása.

A felhasználó tartózkodási helye a nyilvános IP-címével vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordinátákkal található. A feltételes hozzáférési szabályzatok alapértelmezés szerint minden helyre érvényesek.

Tipp.

A Hely feltétel át lett helyezve, és a hálózat nevet kapta. Ez a feltétel először a hozzárendelés szintjén és a Feltételek területen is megjelenik.

Képernyőkép a feltételes hozzáférési szabályzat hálózati hozzárendelési feltételéről.

Házirendben konfigurálva

A helyfeltétel konfigurálásakor különbséget lehet tenni az alábbiak között:

  • Bármilyen hálózat vagy hely
  • Minden megbízható hálózat és hely
  • Minden megfelelő hálózati hely
  • Kiválasztott hálózatok és helyek

Bármilyen hálózat vagy hely

Alapértelmezés szerint a Bármely hely kiválasztása esetén a házirend az összes IP-címre érvényes, ami az interneten található bármely címet jelenti. Ez a beállítás nem korlátozódik a névvel ellátott helyekként konfigurált IP-címekre. A Bármely hely kiválasztásakor továbbra is kizárhat bizonyos helyeket egy szabályzatból. Alkalmazhat például egy szabályzatot az összes helyre, kivéve a megbízható helyeket, így a hatókört a vállalati hálózat kivételével minden helyre beállíthatja.

Minden megbízható hálózat és hely

Ez a beállítás a következőkre vonatkozik:

  • Minden hely megbízható helyként van megjelölve.
  • Többtényezős hitelesítés megbízható IP-címek, ha konfigurálva van.

Többtényezős hitelesítés megbízható IP-címek

A többtényezős hitelesítés szolgáltatásbeállításainak megbízható IP-címek szakaszának használata már nem ajánlott. Ez a vezérlő csak IPv4-címeket fogad el, és csak a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása című cikkben ismertetett konkrét forgatókönyvekhez használható.

Ha ezeket a megbízható IP-címeket konfigurálta, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.

Minden megfelelő hálózati hely

A globális biztonságos hozzáférés előzetes verziójú funkcióihoz hozzáféréssel rendelkező szervezetek egy másik helyet is felsorolnak, amely a szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből áll. További információ: A globális biztonságos hozzáférés jelzésének engedélyezése a feltételes hozzáféréshez. Feltételes hozzáférési szabályzatokkal használható az erőforrásokhoz való hozzáférés megfelelő hálózati ellenőrzéséhez.

Kiválasztott hálózatok és helyek

Ezzel a beállítással kijelölhet egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak csatlakoznia kell bármelyik kiválasztott helyről. Amikor a Kiválasztás lehetőséget választja, megjelenik a megadott helyek listája. Ez a lista megjeleníti a nevet, a típust és azt, hogy a hálózati hely megbízhatóként van-e megjelölve.

Hogyan vannak definiálva ezek a helyek?

A helyek definiálva vannak, és a Microsoft Entra felügyeleti központban, a Védett>feltételes hozzáférés>nevesített helyei alatt találhatók. Rendszergazda istratorok legalább a A feltételes hozzáférési Rendszergazda istrator szerepkör névvel ellátott helyeket hozhat létre és frissíthet.

Képernyőkép a Nevesített helyekről a Microsoft Entra Felügyeleti központban.

Az elnevezett helyek tartalmazhatnak olyan helyeket, mint a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a letiltani kívánt tartományok. Az elnevezett helyek IPv4-címtartományokat, IPv6-címtartományokat vagy országokat tartalmaznak.

IPv4- és IPv6-címtartományok

Ha nyilvános IPv4- vagy IPv6-címtartományok alapján szeretne elnevezett helyet meghatározni, meg kell adnia a következőket:

  • A hely neve .
  • Egy vagy több nyilvános IP-címtartomány.
  • Ha szeretné, jelölje meg megbízható helyként.

Az IPv4/IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:

  • Legfeljebb 195 elnevezett hely.
  • Nevesített helyenként legfeljebb 2000 IP-címtartomány lehet.
  • IP-tartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.

Magánhálózati eszközök esetén az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten (például 10.55.99.3), hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím (például 198.51.100.3).

Megbízható helyek

Rendszergazda istratorok opcionálisan megbízhatóként jelölhetik meg az IP-alapú helyeket, például a szervezet nyilvános hálózati tartományait. Ezt a jelölést a funkciók többféleképpen használják.

  • A feltételes hozzáférési szabályzatok tartalmazhatják vagy kizárhatják ezeket a helyeket.
  • A megbízható névvel ellátott helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát.

A megbízhatóként megjelölt helyek nem törölhetők a megbízható megjelölés első eltávolítása nélkül.

Országok

A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg a földrajzi ország helyét.

Az elnevezett hely országonkénti meghatározásához a következőket kell tennie:

  • Adja meg a hely nevét.
  • Válassza ki, hogy ip-cím vagy GPS koordináták alapján határozza meg a helyet.
  • Adjon hozzá egy vagy több országot/régiót.
  • Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását.

Képernyőkép egy új hely országok használatával történő létrehozásáról.

Ha a Hely meghatározása IP-cím alapján lehetőséget választja, a Microsoft Entra ID egy rendszeresen frissített leképezési tábla alapján egy országra vagy régióra oldja fel a felhasználó IPv4- vagy IPv6-címét.

Ha GPS-koordináták alapján választja ki a helymeghatározást, a felhasználóknak telepítve kell lenniük a Microsoft Authenticator alkalmazásnak a mobileszközükön. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy összegyűjtse mobileszköze GPS-helyét.

  • Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnia. A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futtatásra, az eszköz tartózkodási helye óránként egyszer csendben meg lesz osztva.
  • 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
  • Minden alkalommal, amikor a felhasználó megosztja a GPS helyét, az alkalmazás ugyanazt a logikát használja, mint a Microsoft Intune MAM SDK. Ha az eszköz feltörve van, a hely nem tekinthető érvényesnek, és a felhasználó nem kap hozzáférést.
    • Az Androidon futó Microsoft Authenticator alkalmazás a Google Play Integrity API-t használja a jailbreak észlelésének megkönnyítésére. Ha a Google Play Integrity API nem érhető el, a rendszer megtagadja a kérést, és a felhasználó csak akkor fér hozzá a kért erőforráshoz, ha a feltételes hozzáférési szabályzat le van tiltva. A Microsoft Authenticator alkalmazással kapcsolatos további információkért tekintse meg a Microsoft Authenticator alkalmazással kapcsolatos gyakori kérdéseket ismertető cikket.
  • A felhasználók módosíthatják a GPS helyét az iOS- és Android-eszközök által jelentett módon. Ennek eredményeképpen a Microsoft Authenticator alkalmazás tagadja azokat a hitelesítéseket, ahol a felhasználó más helyet használ, mint annak a mobileszköznek a GPS-helye, ahol az alkalmazás telepítve van. Azok a felhasználók, akik módosítják az eszközük helyét, megtagadó üzenetet kapnak a GPS helyalapú szabályzataihoz.

Feljegyzés

A csak jelentés módban lévő GPS-alapú elnevezett helyekkel rendelkező feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, annak ellenére, hogy nincsenek letiltva a bejelentkezésben.

A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.

Több feltételes hozzáférési szabályzat is megkérheti a felhasználókat a GPS-helyük megadására az összes alkalmazás előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha a helyellenőrzést átadja, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítéséről további információt a feltételes hozzáférési szabályzat létrehozása című cikkben talál.

Fontos

A felhasználók óránként értesítést kaphatnak arról, hogy a Microsoft Entra-azonosító ellenőrzi a tartózkodási helyüket az Authenticator alkalmazásban. Ez a funkció csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra korlátozni kell.

Ismeretlen országok/régiók belefoglalása

Egyes IP-címek nem egy adott országra vagy régióra vannak leképezve. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással kiválaszthatja, hogy ezek az IP-címek szerepeljenek-e a névvel ellátott helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.

Gyakori kérdések

Van Graph API-támogatás?

A Nevesített helyek graph API-támogatása elérhető, további információkért lásd a namedLocation API-t.

Mi történik, ha felhőalapú proxyt vagy VPN-t használok?

Felhőben üzemeltetett proxy vagy VPN-megoldás használatakor a Microsoft Entra ID IP-címe a szabályzat kiértékelésekor a proxy IP-címe. A felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejléc nem használható, mert nincs ellenőrzés arról, hogy megbízható forrásból származik-e, ezért egy IP-cím elhalványítására szolgáló módszert mutatna be.

Ha a felhőproxy működik, könnyebben kezelhetők azok a szabályzatok, amelyekhez hibrid Microsoft Entra-csatlakoztatott vagy megfelelő eszköz szükséges. A felhőben üzemeltetett proxy vagy VPN-megoldás által használt IP-címek listájának naprakészen tartása szinte lehetetlen.

Azt javasoljuk a szervezeteknek, hogy a globális biztonságos hozzáférés használatával engedélyezhessék a forrás IP-címének visszaállítását a címváltozás elkerülése és a felügyelet egyszerűsítése érdekében.

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:

  • A felhasználó kezdetben bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
  • Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.

Ez az ellenőrzés a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely megváltoztatását követő egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a szabályzat minden jogkivonat-kérelemre érvényes. A kérelem gyakorisága az alkalmazástól függően változhat. A webalkalmazások esetében a szabályzatok a kezdeti bejelentkezéskor is érvényesek, és a webalkalmazás munkamenetének élettartamára is jók. A munkamenetek élettartamában az alkalmazások közötti különbségek miatt a szabályzatok kiértékelése közötti idő változó. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a szabályzat lesz alkalmazva.

Alapértelmezés szerint a Microsoft Entra ID óránként ad ki jogkivonatot. Miután a felhasználók elköltöznek a vállalati hálózatról, egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.

Mikor tilthatja le a helyeket?

Az a szabályzat, amely a helyfeltételt használja a hozzáférés letiltására, korlátozónak minősül, és alapos tesztelés után körültekintően kell elvégezni. A helyfeltételek hitelesítés letiltására való használatának egyes példányai a következők lehetnek:

  • Letilthatja azokat az országokat/régiókat, ahol a szervezet soha nem üzletel.
  • Adott IP-tartományok blokkolása, például:
    • Ismert rosszindulatú IP-címek a tűzfalszabályzat módosítása előtt.
    • Rendkívül bizalmas vagy kiemelt műveletek és felhőalkalmazások.
    • A felhasználóspecifikus IP-címtartomány, például a könyvelési vagy bérszámfejtési alkalmazásokhoz való hozzáférés alapján.

Kapcsolódó tartalom