A helyfeltétel alkalmazása egy feltételes hozzáférési szabályzatban
A feltételes hozzáférési szabályzatok a legalapvetőbb olyan if-then utasítások, amelyek jeleket kombinálnak, döntéseket hoznak, és szervezeti szabályzatokat kényszerítenek ki. Az egyik ilyen jel a hely.
Amint azt a blogbejegyzésben említettük, az IPv6 a Microsoft Entra ID-hoz érkezik, mostantól támogatjuk az IPv6-ot a Microsoft Entra-szolgáltatásokban.
A szervezetek az alábbi helyeket használhatják olyan gyakori feladatokhoz, mint például:
- Többtényezős hitelesítés megkövetelése a szolgáltatáshoz a vállalati hálózaton kívül hozzáférő felhasználók számára.
- A szolgáltatáshoz a szervezet által soha nem használt országokból vagy régiókból hozzáférő felhasználók hozzáférésének letiltása.
A hely az ügyfél által a Microsoft Entra-azonosítónak vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordinátáknak megadott nyilvános IP-cím használatával található. A feltételes hozzáférési szabályzatok alapértelmezés szerint az összes IPv4- és IPv6-címre érvényesek. Az IPv6-támogatással kapcsolatos további információkért tekintse meg az IPv6-támogatás a Microsoft Entra ID-ban című cikket.
Tipp.
A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.
Nevesített helyek
A helyek a Védelmi>feltételes hozzáférés>nevesített helyei alatt találhatók. Ezek az elnevezett hálózati helyek tartalmazhatnak olyan helyeket, mint a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a letiltani kívánt tartományok. Az elnevezett helyeket IPv4- és IPv6-címtartományok vagy országok/régiók határozzák meg.
IPv4- és IPv6-címtartományok
Ha egy elnevezett helyet IPv4/IPv6-címtartományok szerint szeretne meghatározni, meg kell adnia a következőket:
- A hely neve .
- Egy vagy több IP-tartomány.
- Ha szeretné, jelölje meg megbízható helyként.
Az IPv4/IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:
- Legfeljebb 195 elnevezett helyet konfigurálhat.
- Névvel ellátott helyenként legfeljebb 2000 IP-tartományt konfigurálhat.
- Az IPv4 és az IPv6 tartomány is támogatott.
- A tartományban található IP-címek száma korlátozott. IP-tartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.
Megbízható helyek
Az olyan helyek, mint a szervezet nyilvános hálózati tartományai, megbízhatóként jelölhetők meg. Ezt a jelölést a funkciók többféleképpen használják.
- A feltételes hozzáférési szabályzatok tartalmazhatják vagy kizárhatják ezeket a helyeket.
- A megbízható, elnevezett helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát, csökkentve a felhasználó bejelentkezési kockázatát, amikor megbízhatóként megjelölt helyről végez hitelesítést.
- A megbízhatóként megjelölt helyek nem törölhetők. A törlési kísérlet előtt távolítsa el a megbízható megjelölést.
Figyelmeztetés
Még ha ismeri is a hálózatot, és megbízhatóként jelöli meg, nem jelenti azt, hogy ki kell zárnia azt a szabályzatok alkalmazásából. Az ellenőrzés a Teljes felügyelet architektúra alapvető alapelve. Ha többet szeretne megtudni a Teljes felügyelet és a szervezetnek az irányelvekkel való igazításának egyéb módjairól, tekintse meg a Teljes felügyelet Útmutató központot.
Országok/régiók
A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg az ország/régió helyét.
Egy elnevezett hely ország/régió szerint történő meghatározásához meg kell adnia a következőket:
- A hely neve .
- Válassza ki, hogy ip-cím vagy GPS koordináták alapján határozza meg a helyet.
- Adjon hozzá egy vagy több országot/régiót.
- Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását.
Ha a Hely meghatározása IP-cím alapján lehetőséget választja, a rendszer összegyűjti annak az eszköznek az IP-címét, ahová a felhasználó bejelentkezik. Amikor egy felhasználó bejelentkezik, a Microsoft Entra-azonosító feloldja a felhasználó IPv4- vagy IPv6-címét (2023. április 3-tól) egy országra vagy régióra, és a leképezés rendszeresen frissül. A szervezetek az országok/régiók által meghatározott elnevezett helyeket használva blokkolhatják az olyan országok/régiók forgalmát, ahol nem üzletelnek.
Ha GPS-koordináták alapján választja ki a helymeghatározást, a felhasználónak telepítenie kell a Microsoft Authenticator alkalmazást a mobileszközére. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy összegyűjtse a felhasználó mobileszközének GPS-helyét.
Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, a felhasználó értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnia. A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futtatásra, az eszköz tartózkodási helye óránként egyszer csendben meg lesz osztva.
- 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
- Azok a felhasználók, akik a Microsoft Authenticator alkalmazásban engedélyezett számegyezéssel vagy további környezettel rendelkeznek, nem kapnak csendben értesítéseket, és meg kell nyitniuk az alkalmazást az értesítések jóváhagyásához.
Minden alkalommal, amikor a felhasználó megosztja a GPS-helyét, az alkalmazás feltöri az észlelést (ugyanazt a logikát használja, mint az Intune MAM SDK). Ha az eszköz feltörve van, a hely nem tekinthető érvényesnek, és a felhasználó nem kap hozzáférést. Az Androidon futó Microsoft Authenticator alkalmazás a Google Play Integrity API-t használja a jailbreak észlelésének megkönnyítésére. Ha a Google Play Integrity API nem érhető el, a rendszer megtagadja a kérést, és a felhasználó csak akkor fér hozzá a kért erőforráshoz, ha a feltételes hozzáférési szabályzat le van tiltva. A Microsoft Authenticator alkalmazással kapcsolatos további információkért tekintse meg a Microsoft Authenticator alkalmazással kapcsolatos gyakori kérdéseket ismertető cikket.
Feljegyzés
A csak jelentés módban lévő GPS-alapú elnevezett helyekkel rendelkező feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, annak ellenére, hogy nincsenek letiltva a bejelentkezésben.
A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.
Több feltételes hozzáférési szabályzat is megkérheti a felhasználókat a GPS-helyük megadására az összes alkalmazás előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha a helyellenőrzést átadja, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítéséről további információt a feltételes hozzáférési szabályzat létrehozása című cikkben talál.
Fontos
A felhasználók óránként értesítést kaphatnak arról, hogy a Microsoft Entra-azonosító ellenőrzi a tartózkodási helyüket az Authenticator alkalmazásban. Az előzetes verzió csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra kell korlátozni.
Kérések elutasítása módosított hellyel
A felhasználók módosíthatják az iOS- és Android-eszközök által jelentett helyet. Ennek eredményeképpen a Microsoft Authenticator frissíti a helyalapú feltételes hozzáférési szabályzatok biztonsági alapkonfigurációját. Az Authenticator tagadja azokat a hitelesítéseket, ahol a felhasználó más helyet használ, mint annak a mobileszköznek a GPS-helye, amelyen az Authenticator telepítve van.
Az Authenticator 2023. novemberi kiadásában azok a felhasználók, akik módosítják az eszközük helyét, megtagadási üzenetet kapnak az Authenticatorban, amikor helyalapú hitelesítést próbálnak meg. 2024. januártól a régebbi Authenticator-verziókat futtató felhasználók letiltják a helyalapú hitelesítést:
- Az Authenticator 6.2309.6329-es vagy korábbi verziója Androidon
- Hitelesítő 6.7.16-os vagy korábbi verzió iOS rendszeren
Ha meg szeretné keresni, hogy mely felhasználók futtatják az Authenticator régebbi verzióit, használja a Microsoft Graph API-kat.
Ismeretlen országok/régiók belefoglalása
Egyes IP-címek nem egy adott országra vagy régióra vannak leképezve. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással kiválaszthatja, hogy ezek az IP-címek szerepeljenek-e a névvel ellátott helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.
MFA megbízható IP-címek konfigurálása
A többtényezős hitelesítési szolgáltatás beállításai között konfigurálhatja a szervezet helyi intranetjét képviselő IP-címtartományokat is. Ez a funkció legfeljebb 50 IP-címtartomány konfigurálását teszi lehetővé. Az IP-címtartományok CIDR formátumban vannak. További információ: Megbízható IP-címek.
Ha vannak konfigurálva megbízható IP-címek, azok az MFA megbízható IP-címeiként jelennek meg a helyfeltétel helylistájában.
Többtényezős hitelesítés kihagyása
A többtényezős hitelesítési szolgáltatás beállításai lapon a vállalati intranetes felhasználók azonosításához válassza a Többtényezős hitelesítés kihagyása a többtényezős hitelesítés kihagyása lehetőséget az összevont felhasználóktól az intraneten. Ez a beállítás azt jelzi, hogy az AD FS által kiadott belső vállalati hálózati jogcímnek megbízhatónak kell lennie, és a felhasználót a vállalati hálózaton lévőként kell azonosítania. További információ: A megbízható IP-címek funkció engedélyezése feltételes hozzáféréssel.
A beállítás ellenőrzése után, beleértve a megnevezett helyet , az MFA megbízható IP-címeit is, a kiválasztott beállítással rendelkező házirendekre is alkalmazni kell.
A hosszú élettartamú mobil- és asztali alkalmazások esetében a feltételes hozzáférést rendszeresen újraértékelik. Az alapértelmezett érték óránként egyszer. Ha a belső vállalati hálózati jogcímet csak a kezdeti hitelesítéskor adják ki, előfordulhat, hogy nem rendelkezünk megbízható IP-tartományok listájával. Ebben az esetben nehezebb megállapítani, hogy a felhasználó továbbra is a vállalati hálózaton van-e:
- Ellenőrizze, hogy a felhasználó IP-címe a megbízható IP-tartományok egyikében található-e.
- Ellenőrizze, hogy a felhasználó IP-címének első három oktettje megegyezik-e a kezdeti hitelesítés IP-címének első három oktettével. Az IP-címet a rendszer összehasonlítja a kezdeti hitelesítéssel, amikor a belső vállalati hálózati jogcím eredetileg ki lett állítva, és a felhasználói hely ellenőrzése megtörtént.
Ha mindkét lépés sikertelen, a rendszer úgy tekinti, hogy a felhasználó már nem megbízható IP-címen van.
Helyek meghatározása
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
- Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
- Válassza az Új hely lehetőséget.
- Adjon nevet a tartózkodási helyének.
- Válassza ki az IP-címtartományokat , ha ismeri az adott helyet vagy országokat/régiókat alkotó, külsőleg elérhető IPv4-címtartományokat.
- Adja meg az IP-címtartományokat , vagy válassza ki a megadott hely országait/régióit .
- Ha az Országok/Régiók lehetőséget választja, opcionálisan választhat, hogy ismeretlen területeket is tartalmazzon.
- Adja meg az IP-címtartományokat , vagy válassza ki a megadott hely országait/régióit .
- Válassza a Mentés lehetőséget
Helyfeltétel a szabályzatban
A helyfeltétel konfigurálásakor különbséget lehet tenni az alábbiak között:
- Bármely hely
- Minden megbízható hely
- Minden megfelelő hálózati hely
- Kiválasztott helyek
Bármely hely
Alapértelmezés szerint a Bármely hely kiválasztása esetén a házirend az összes IP-címre érvényes, ami az interneten található bármely címet jelenti. Ez a beállítás nem korlátozódik a névvel ellátott helyként konfigurált IP-címekre. A Bármely hely kiválasztásakor továbbra is kizárhat bizonyos helyeket egy szabályzatból. Alkalmazhat például egy szabályzatot az összes helyre, kivéve a megbízható helyeket, így a hatókört a vállalati hálózat kivételével minden helyre beállíthatja.
Minden megbízható hely
Ez a beállítás a következőkre vonatkozik:
- Minden hely megbízható helyként van megjelölve.
- MFA megbízható IP-címek, ha konfigurálva van.
Többtényezős hitelesítés megbízható IP-címek
A többtényezős hitelesítés szolgáltatásbeállításainak megbízható IP-címek szakaszának használata már nem ajánlott. Ez a vezérlő csak IPv4-címeket fogad el, és csak a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása című cikkben ismertetett konkrét forgatókönyvekhez használható.
Ha ezeket a megbízható IP-címeket konfigurálta, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.
Minden megfelelő hálózati hely
A globális biztonságos hozzáférés előzetes verziójú funkcióihoz hozzáféréssel rendelkező szervezetek egy másik helyet is felsorolnak, amely a szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből áll. További információ: A globális biztonságos hozzáférés jelzésének engedélyezése a feltételes hozzáféréshez. Feltételes hozzáférési szabályzatokkal használható az erőforrásokhoz való hozzáférés megfelelő hálózati ellenőrzéséhez.
Kiválasztott helyek
Ezzel a beállítással kijelölhet egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak csatlakoznia kell bármelyik kiválasztott helyről. Amikor kiválasztja a névvel ellátott hálózatkijelölési vezérlőt, amely megjeleníti a megnevezett hálózatok listáját, megnyílik. A lista azt is megjeleníti, hogy a hálózati hely megbízhatóként van-e megjelölve.
IPv6-forgalom
A feltételes hozzáférési szabályzatok az összes IPv4 - ésIPv6-forgalomra vonatkoznak (2023. április 3-tól).
IPv6-forgalom azonosítása a Microsoft Entra bejelentkezési tevékenységjelentéseivel
Az IPv6-forgalmat a Microsoft Entra bejelentkezési tevékenységjelentéseivel fedezheti fel a bérlőben. Miután megnyitotta a tevékenységjelentést, adja hozzá az "IP-cím" oszlopot, és adjon hozzá egy kettőspontot (:) a mezőhöz. Ez a szűrő segít megkülönböztetni az IPv6-forgalmat az IPv4-forgalomtól.
Az ügyfél IP-címét úgy is megtalálhatja, hogy a jelentés egy sorára kattint, majd a bejelentkezési tevékenység részletei között a "Hely" fülre kattint.
Feljegyzés
A szolgáltatásvégpontok IPv6-címei megjelenhetnek a bejelentkezési naplókban, amelyek a forgalom kezelése miatt meghiúsultak. Fontos megjegyezni, hogy a szolgáltatásvégpontok nem támogatottak. Ha a felhasználók ezeket az IPv6-címeket látják, távolítsa el a szolgáltatásvégpontot a virtuális hálózati alhálózat konfigurációjából.
Alapismeretek
Felhőbeli proxyk és VPN-ek
Felhőben üzemeltetett proxy vagy VPN-megoldás használatakor a Microsoft Entra ID IP-címe a szabályzat kiértékelésekor a proxy IP-címe. A felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejléc nem használható, mert nincs ellenőrzés arról, hogy megbízható forrásból származik-e, ezért egy IP-cím elhalványítására szolgáló módszert mutatna be.
Ha a felhőproxy működik, könnyebben kezelhetők azok a szabályzatok, amelyekhez hibrid Microsoft Entra-csatlakoztatott vagy megfelelő eszköz szükséges. A felhőben üzemeltetett proxy vagy VPN-megoldás által használt IP-címek listájának naprakészen tartása szinte lehetetlen.
Azt javasoljuk a szervezeteknek, hogy a globális biztonságos hozzáférés használatával engedélyezhessék a forrás IP-címének visszaállítását a címváltozás elkerülése és a felügyelet egyszerűsítése érdekében.
Mikor történik a hely kiértékelése?
A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:
- A felhasználó kezdetben bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
- Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.
Ez az ellenőrzés a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely megváltoztatását követő egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a szabályzat minden jogkivonat-kérelemre érvényes. A kérelem gyakorisága az alkalmazástól függően változhat. A webalkalmazások esetében a szabályzatok a kezdeti bejelentkezéskor is érvényesek, és a webalkalmazás munkamenetének élettartamára is jók. A munkamenetek élettartamában az alkalmazások közötti különbségek miatt a szabályzatok kiértékelése közötti idő változó. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a szabályzat lesz alkalmazva.
Alapértelmezés szerint a Microsoft Entra ID óránként ad ki jogkivonatot. Miután a felhasználók elköltöznek a vállalati hálózatról, egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.
Felhasználói IP-cím
A szabályzat kiértékelése során használt IP-cím a felhasználó nyilvános IPv4- vagy IPv6-címe. Magánhálózati eszközök esetén ez az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten, hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím.
Mikor tilthatja le a helyeket?
Az a szabályzat, amely a helyfeltételt használja a hozzáférés letiltására, korlátozónak minősül, és alapos tesztelés után körültekintően kell elvégezni. A helyfeltételek hitelesítés letiltására való használatának egyes példányai a következők lehetnek:
- Letilthatja azokat az országokat/régiókat, ahol a szervezet soha nem üzletel.
- Adott IP-tartományok blokkolása, például:
- Ismert rosszindulatú IP-címek a tűzfalszabályzat módosítása előtt.
- Rendkívül bizalmas vagy kiemelt műveletekhez és felhőalapú alkalmazásokhoz.
- A felhasználóspecifikus IP-címtartomány, például a könyvelési vagy bérszámfejtési alkalmazásokhoz való hozzáférés alapján.
Felhasználói kizárások
A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:
- A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
- További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
- Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
Elnevezett helyek tömeges feltöltése és letöltése
Nevesített helyek létrehozásakor vagy frissítésekor tömeges frissítések esetén feltölthet vagy letölthet egy CSV-fájlt az IP-tartományokkal. A feltöltés a listában szereplő IP-tartományokat lecseréli a fájlból származó tartományokra. A fájl minden sora egy CIDR formátumú IP-címtartományt tartalmaz.
API-támogatás és PowerShell
A Graph API előzetes verziója elérhető a megnevezett helyekhez. További információt a namedLocation API-ban talál.
Következő lépések
- Konfiguráljon egy példa feltételes hozzáférési szabályzatot a hely használatával, lásd a Feltételes hozzáférés: Hozzáférés letiltása hely szerint című cikket.