Helyszabályzatok szigorú kikényszerítése folyamatos hozzáférés-kiértékeléssel (előzetes verzió)

  • Cikk

A helyszabályzatok szigorú kikényszerítése egy új kényszerítési mód a feltételes hozzáférési szabályzatokban használt folyamatos hozzáférés-értékeléshez (CAE). Ez az új mód védelmet nyújt az erőforrások számára, és azonnal leállítja a hozzáférést, ha az erőforrás-szolgáltató által észlelt IP-címet nem engedélyezi a feltételes hozzáférési szabályzat. Ez a beállítás a hitelesítésszolgáltató helyérvényesítésének legmagasabb szintű biztonsági módja, és megköveteli, hogy a rendszergazdák megértsék a hitelesítési és hozzáférési kérések útválasztását a hálózati környezetükben. Tekintse meg a folyamatos hozzáférés-értékelés bemutatása című témakört, amely áttekintést nyújt arról, hogy a CAE-kompatibilis ügyfelek és erőforrás-szolgáltatók, például az Outlook levelezőügyfél és az Exchange Online hogyan értékelik ki a helyváltozásokat.

Helyérvényesítési mód Ajánlott hálózati topológia Ha az erőforrás által észlelt IP-cím nem szerepel az engedélyezett listában Juttatások Konfiguráció
Standard (alapértelmezett) Minden topológiához alkalmas A rendszer csak akkor bocsát ki rövid élettartamú jogkivonatot, ha a Microsoft Entra-azonosító egy engedélyezett IP-címet észlel. Ellenkező esetben a hozzáférés le van tiltva Visszaesik a CAE előtti helyészlelési módra osztott alagúthálózati üzemelő példányokban, ahol a CAE kényszerítése hatással lenne a termelékenységre. A CAE továbbra is kényszeríti az egyéb eseményeket és szabályzatokat. Nincs (alapértelmezett beállítás)
Szigorúan kikényszerített helyszabályzatok A kimenő IP-címek dedikáltak és számbavehetők a Microsoft Entra-azonosítóhoz és az összes erőforrás-szolgáltatói forgalomhoz Hozzáférés letiltva A legbiztonságosabb, de jól érthető hálózati útvonalakat igényel 1. Az IP-cím feltételezéseinek tesztelése kis populációval

2. Engedélyezze a "Szigorúan kényszerítés" lehetőséget a Munkamenet-vezérlők alatt

Szigorúan kikényszerített helyszabályzatok konfigurálása

1. lépés – Feltételes hozzáférési helyalapú házirend konfigurálása a célfelhasználók számára

Mielőtt a rendszergazdák szigorú helyérvényesítést igénylő feltételes hozzáférési szabályzatot hoznának létre, a feltételes hozzáférés helyalapú házirendjeihez hasonló szabályzatokat kell használniuk. Az ehhez hasonló szabályzatokat a felhasználók egy részhalmazával kell tesztelni, mielőtt továbblép a következő lépésre. Rendszergazda istratorok elkerülhetik a Microsoft Entra ID által a hitelesítés során látott engedélyezett és tényleges IP-címek közötti eltéréseket a szigorú kényszerítés engedélyezése előtt végzett teszteléssel.

2. lépés – Szabályzat tesztelése a felhasználók egy kis részhalmazán

Képernyőkép egy feltételes hozzáférési szabályzatról, amelyen engedélyezve van a

Miután engedélyezte a szigorú helyérvényesítést igénylő szabályzatokat a tesztfelhasználók egy részhalmazán, ellenőrizze a tesztelési élményt a Microsoft Entra bejelentkezési naplóiban látható szűrő IP-cím (erőforrás által látott) használatával. Ez az ellenőrzés lehetővé teszi, hogy a rendszergazdák olyan forgatókönyveket találjanak, ahol a szigorú helyérvényesítés letilthatja a cae-kompatibilis erőforrás-szolgáltató által látott nem engedélyezett IP-címmel rendelkező felhasználókat.

Mielőtt a rendszergazdák szigorú helyérvényesítést igénylő feltételes hozzáférési szabályzatokat kapcsolnának be, a következőket kell tenniük:

  • Győződjön meg arról, hogy a Microsoft Entra-azonosító felé irányuló összes hitelesítési forgalom és az erőforrás-szolgáltatók felé irányuló forgalom az ismert dedikált kimenő IP-címekről származik.
    • Például az Exchange Online, a Teams, a SharePoint Online és a Microsoft Graph
  • Győződjön meg arról, hogy minden IP-cím, amelyről a felhasználók hozzáférhetnek a Microsoft Entra-azonosítóhoz és az erőforrás-szolgáltatókhoz, szerepeljenek az IP-alapú névvel ellátott helyeken.
  • Győződjön meg arról, hogy nem a Microsoft 365-alkalmazásokba irányuló forgalmat küldik globális biztonságos hozzáféréssel.
    • A forrás IP-címének visszaállítása nem támogatott ezekben a nem Microsoft 365-alkalmazásokban. A szigorú helyérvényesítés globális biztonságos hozzáféréssel való engedélyezése akkor is letiltja a hozzáférést, ha a felhasználó megbízható IP-címen van.
  • Tekintse át a feltételes hozzáférési szabályzataikat, hogy ne rendelkezzenek olyan szabályzatokkal, amelyek nem támogatják a hitelesítésszolgáltatót. További információ: CAE által támogatott hitelesítésszolgáltatói szabályzatok.

Ha a rendszergazdák nem hajtják végre ezt az ellenőrzést, a felhasználók negatív hatással lehetnek. Ha a Microsoft Entra-azonosítóra vagy a CAE által támogatott erőforrásra irányuló forgalom megosztott vagy meghatározhatatlan kimenő IP-címen keresztül történik, ne engedélyezze a szigorú helyérvényesítést a feltételes hozzáférési szabályzatokban.

3. lépés – A CAE-munkafüzet használatával azonosíthatja azokat az IP-címeket, amelyeket hozzá kell adni a nevesített helyekhez

Ha még nem tette meg, hozzon létre egy új Azure-munkafüzetet a "Folyamatos hozzáférés kiértékelése Elemzések" nyilvános sablon használatával a Microsoft Entra-azonosító és az IP-cím (erőforrás által látott) IP-címek közötti ip-eltérés azonosításához. Ebben az esetben előfordulhat, hogy split-tunnel hálózati konfigurációval rendelkezik. Annak érdekében, hogy a felhasználók ne legyenek véletlenül kizárva, ha a szigorú helyérvényesítés engedélyezve van, a rendszergazdáknak az alábbiakat kell elvégeznie:

  • Vizsgálja meg és azonosítsa a CAE-munkafüzetben azonosított IP-címeket.

  • Adja hozzá az ismert szervezeti kimenő pontokhoz társított nyilvános IP-címeket a megadott névvel ellátott helyekhez.

    Képernyőkép a cae-munkafüzetről az erőforrásszűrő által látott IP-cím példájával.

    Az alábbi képernyőképen egy példa látható arra, hogy egy ügyfél hozzáfér egy blokkolt erőforráshoz. Ennek a blokknak az az oka, hogy a házirendek megkövetelik, hogy a hitelesítésszolgáltató szigorú helymeghatározó kényszerítése aktiválódjon az ügyfél munkamenetének visszavonásához.

    Képernyőkép arról az üzenetről, amelyet a felhasználó lát, hogy a szigorú helyérvényesítés letiltja-e őket.

    Ez a viselkedés ellenőrizhető a bejelentkezési naplókban. Keresse meg az (erőforrás által látott) IP-címet, és vizsgálja meg, hogy hozzáadja-e ezt az IP-címet a névvel ellátott helyekhez , ha a felhasználók nem várt blokkokat tapasztalnak a feltételes hozzáférésben.

    Képernyőkép egy bejelentkezési naplóbejegyzésről, amelyen az erőforrás ip-címe és IP-címe is látható.

    A Feltételes hozzáférési szabályzat részletei lap további részleteket tartalmaz a letiltott bejelentkezési eseményekről.

    Képernyőkép a feltételes hozzáférési szabályzat részleteiről a látott helyekkel.

4. lépés – Az üzembe helyezés folytatása

Ismételje meg a 2. és a 3. lépést egyre bővülő felhasználói csoportokkal, amíg a rendszer szigorúan kikényszeríti a helyszabályzatok alkalmazását a célfelhasználói bázison. A felhasználói élmény befolyásolásának elkerülése érdekében körültekintően gördítsünk ki.

Hibaelhárítás bejelentkezési naplókkal

Rendszergazda istratorok megvizsgálhatják a bejelentkezési naplókat, és megkereshetik azokat az eseteket,IP-cím (amelyet az erőforrás lát).

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
  2. Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
  3. Szűrők és oszlopok hozzáadásával megkeresheti az áttekintendő eseményeket a szükségtelen információk kiszűréséhez.

    1. Adja hozzá az IP-cím (erőforrás által látott) oszlopot, és szűrje ki az üres elemeket a hatókör szűkítéséhez. Az (erőforrás által látott) IP-cím üres, ha a Microsoft Entra ID által látott IP-cím megegyezik az erőforrás által látott IP-címmel.

      Képernyőkép arról, hogyan kereshet további információkat a bejelentkezési naplókban.

      Az (erőforrás által látott) IP-cím nem üres szűrőt tartalmaz az alábbi példákban:

Kezdeti hitelesítés

  1. A hitelesítés caE-jogkivonat használatával sikeres.

    CaE-jogkivonattal történő sikeres bejelentkezés képernyőképe.

  2. Az (erőforrás által látott) IP-cím eltér a Microsoft Entra ID által látott IP-címtől. Bár az erőforrás által látott IP-cím ismert, nincs kényszerítés, amíg az erőforrás át nem irányítja a felhasználót az erőforrás által látott IP-cím újraértékeléséhez.

    Képernyőkép az erőforrás által a bejelentkezési naplóban látható IP-címről és IP-címről.

  3. A Microsoft Entra-hitelesítés sikeres, mert a szigorú helyérvényesítés nem alkalmazható az erőforrás szintjén.

    Képernyőkép arról, hogy a feltételes hozzáférési szabályzat nem lett alkalmazva, mert a hely ki van zárva.

Erőforrás-átirányítás újraértékeléshez

  1. A hitelesítés sikertelen, és a CAE-jogkivonat nem lesz kiállítva.

    A sikertelen hitelesítést bemutató képernyőkép.

  2. Az (erőforrás által látott) IP-cím eltér a Microsoft Entra ID által látott IP-címtől.

    Az IP-címek eltérését bemutató képernyőkép.

  3. A hitelesítés nem sikeres, mert az IP-cím (amelyet az erőforrás lát) nem ismert névvel ellátott hely a feltételes hozzáférésben.

    Képernyőkép egy feltételes hozzáférési szabályzat alkalmazásáról, mert az IP-cím szerepel egy blokkszabályban.

Kapcsolódó tartalom