A helyfeltétel alkalmazása egy feltételes hozzáférési szabályzatban

A feltételes hozzáférési szabályzatok a legalapvetőbb olyan if-then utasítások, amelyek jeleket kombinálnak, döntéseket hoznak, és szervezeti szabályzatokat kényszerítenek ki. Az egyik ilyen jel a hely.

Conceptual Conditional signal plus decision to get enforcement

Amint azt a blogbejegyzésben említettük, az IPv6 a Microsoft Entra ID-hoz érkezik, mostantól támogatjuk az IPv6-ot a Microsoft Entra-szolgáltatásokban.

A szervezetek az alábbi helyeket használhatják olyan gyakori feladatokhoz, mint például:

  • Többtényezős hitelesítés megkövetelése a szolgáltatáshoz a vállalati hálózaton kívül hozzáférő felhasználók számára.
  • A szolgáltatáshoz a szervezet által soha nem használt országokból vagy régiókból hozzáférő felhasználók hozzáférésének letiltása.

A hely az ügyfél által a Microsoft Entra-azonosítónak vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordinátáknak megadott nyilvános IP-cím használatával található. A feltételes hozzáférési szabályzatok alapértelmezés szerint az összes IPv4- és IPv6-címre érvényesek. Az IPv6-támogatással kapcsolatos további információkért tekintse meg az IPv6-támogatás a Microsoft Entra ID-ban című cikket.

Tipp.

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Nevesített helyek

A helyek a Védelmi>feltételes hozzáférés>nevesített helyei alatt találhatók. Ezek az elnevezett hálózati helyek tartalmazhatnak olyan helyeket, mint a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a letiltani kívánt tartományok. Az elnevezett helyeket IPv4- és IPv6-címtartományok vagy országok/régiók határozzák meg.

IPv4- és IPv6-címtartományok

Ha egy elnevezett helyet IPv4/IPv6-címtartományok szerint szeretne meghatározni, meg kell adnia a következőket:

  • A hely neve .
  • Egy vagy több IP-tartomány.
  • Ha szeretné, jelölje meg megbízható helyként.

New IP locations

Az IPv4/IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:

  • Legfeljebb 195 elnevezett helyet konfigurálhat.
  • Névvel ellátott helyenként legfeljebb 2000 IP-tartományt konfigurálhat.
  • Az IPv4 és az IPv6 tartomány is támogatott.
  • A tartományban található IP-címek száma korlátozott. IP-tartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.

Megbízható helyek

Az olyan helyek, mint a szervezet nyilvános hálózati tartományai, megbízhatóként jelölhetők meg. Ezt a jelölést a funkciók többféleképpen használják.

  • A feltételes hozzáférési szabályzatok tartalmazhatják vagy kizárhatják ezeket a helyeket.
  • A megbízható, elnevezett helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát, csökkentve a felhasználó bejelentkezési kockázatát, amikor megbízhatóként megjelölt helyről végez hitelesítést.
  • A megbízhatóként megjelölt helyek nem törölhetők. A törlési kísérlet előtt távolítsa el a megbízható megjelölést.

Figyelmeztetés

Még ha ismeri is a hálózatot, és megbízhatóként jelöli meg, nem jelenti azt, hogy ki kell zárnia azt a szabályzatok alkalmazásából. Az ellenőrzés a Teljes felügyelet architektúra alapvető alapelve. Ha többet szeretne megtudni a Teljes felügyelet és a szervezetnek az irányelvekkel való igazításának egyéb módjairól, tekintse meg a Teljes felügyelet Útmutató központot.

Országok/régiók

A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg az ország/régió helyét.

Egy elnevezett hely ország/régió szerint történő meghatározásához meg kell adnia a következőket:

  • A hely neve .
  • Válassza ki, hogy ip-cím vagy GPS koordináták alapján határozza meg a helyet.
  • Adjon hozzá egy vagy több országot/régiót.
  • Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását.

Country as a location

Ha a Hely meghatározása IP-cím alapján lehetőséget választja, a rendszer összegyűjti annak az eszköznek az IP-címét, ahová a felhasználó bejelentkezik. Amikor egy felhasználó bejelentkezik, a Microsoft Entra-azonosító feloldja a felhasználó IPv4- vagy IPv6-címét (2023. április 3-tól) egy országra vagy régióra, és a leképezés rendszeresen frissül. A szervezetek az országok/régiók által meghatározott elnevezett helyeket használva blokkolhatják az olyan országok/régiók forgalmát, ahol nem üzletelnek.

Ha GPS-koordináták alapján választja ki a helymeghatározást, a felhasználónak telepítenie kell a Microsoft Authenticator alkalmazást a mobileszközére. A rendszer óránként kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy összegyűjtse a felhasználó mobileszközének GPS-helyét.

Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, a felhasználó értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helyengedélyeket kell adnia. A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futtatásra, az eszköz tartózkodási helye óránként egyszer csendben meg lesz osztva.

  • 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
  • Azok a felhasználók, akik a Microsoft Authenticator alkalmazásban engedélyezett számegyezéssel vagy további környezettel rendelkeznek, nem kapnak csendben értesítéseket, és meg kell nyitniuk az alkalmazást az értesítések jóváhagyásához.

Minden alkalommal, amikor a felhasználó megosztja a GPS-helyét, az alkalmazás feltöri az észlelést (ugyanazt a logikát használja, mint az Intune MAM SDK). Ha az eszköz feltörve van, a hely nem tekinthető érvényesnek, és a felhasználó nem kap hozzáférést. Az Androidon futó Microsoft Authenticator alkalmazás a Google Play Integrity API-t használja a jailbreak észlelésének megkönnyítésére. Ha a Google Play Integrity API nem érhető el, a rendszer megtagadja a kérést, és a felhasználó csak akkor fér hozzá a kért erőforráshoz, ha a feltételes hozzáférési szabályzat le van tiltva. A Microsoft Authenticator alkalmazással kapcsolatos további információkért tekintse meg a Microsoft Authenticator alkalmazással kapcsolatos gyakori kérdéseket ismertető cikket.

Feljegyzés

A csak jelentés módban lévő GPS-alapú elnevezett helyekkel rendelkező feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, annak ellenére, hogy nincsenek letiltva a bejelentkezésben.

A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.

Több feltételes hozzáférési szabályzat is megkérheti a felhasználókat a GPS-helyük megadására az összes alkalmazás előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha a helyellenőrzést átadja, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítéséről további információt a feltételes hozzáférési szabályzat létrehozása című cikkben talál.

Fontos

A felhasználók óránként értesítést kaphatnak arról, hogy a Microsoft Entra-azonosító ellenőrzi a tartózkodási helyüket az Authenticator alkalmazásban. Az előzetes verzió csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra kell korlátozni.

Kérések elutasítása módosított hellyel

A felhasználók módosíthatják az iOS- és Android-eszközök által jelentett helyet. Ennek eredményeképpen a Microsoft Authenticator frissíti a helyalapú feltételes hozzáférési szabályzatok biztonsági alapkonfigurációját. Az Authenticator tagadja azokat a hitelesítéseket, ahol a felhasználó más helyet használ, mint annak a mobileszköznek a GPS-helye, amelyen az Authenticator telepítve van.

Az Authenticator 2023. novemberi kiadásában azok a felhasználók, akik módosítják az eszközük helyét, megtagadási üzenetet kapnak az Authenticatorban, amikor helyalapú hitelesítést próbálnak meg. 2024. januártól a régebbi Authenticator-verziókat futtató felhasználók letiltják a helyalapú hitelesítést:

  • Az Authenticator 6.2309.6329-es vagy korábbi verziója Androidon
  • Hitelesítő 6.7.16-os vagy korábbi verzió iOS rendszeren

Ha meg szeretné keresni, hogy mely felhasználók futtatják az Authenticator régebbi verzióit, használja a Microsoft Graph API-kat.

Ismeretlen országok/régiók belefoglalása

Egyes IP-címek nem egy adott országra vagy régióra vannak leképezve. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással kiválaszthatja, hogy ezek az IP-címek szerepeljenek-e a névvel ellátott helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.

MFA megbízható IP-címek konfigurálása

A többtényezős hitelesítési szolgáltatás beállításai között konfigurálhatja a szervezet helyi intranetjét képviselő IP-címtartományokat is. Ez a funkció legfeljebb 50 IP-címtartomány konfigurálását teszi lehetővé. Az IP-címtartományok CIDR formátumban vannak. További információ: Megbízható IP-címek.

Ha vannak konfigurálva megbízható IP-címek, azok az MFA megbízható IP-címeiként jelennek meg a helyfeltétel helylistájában.

Többtényezős hitelesítés kihagyása

A többtényezős hitelesítési szolgáltatás beállításai lapon a vállalati intranetes felhasználók azonosításához válassza a Többtényezős hitelesítés kihagyása a többtényezős hitelesítés kihagyása lehetőséget az összevont felhasználóktól az intraneten. Ez a beállítás azt jelzi, hogy az AD FS által kiadott belső vállalati hálózati jogcímnek megbízhatónak kell lennie, és a felhasználót a vállalati hálózaton lévőként kell azonosítania. További információ: A megbízható IP-címek funkció engedélyezése feltételes hozzáféréssel.

A beállítás ellenőrzése után, beleértve a megnevezett helyet , az MFA megbízható IP-címeit is, a kiválasztott beállítással rendelkező házirendekre is alkalmazni kell.

A hosszú élettartamú mobil- és asztali alkalmazások esetében a feltételes hozzáférést rendszeresen újraértékelik. Az alapértelmezett érték óránként egyszer. Ha a belső vállalati hálózati jogcímet csak a kezdeti hitelesítéskor adják ki, előfordulhat, hogy nem rendelkezünk megbízható IP-tartományok listájával. Ebben az esetben nehezebb megállapítani, hogy a felhasználó továbbra is a vállalati hálózaton van-e:

  1. Ellenőrizze, hogy a felhasználó IP-címe a megbízható IP-tartományok egyikében található-e.
  2. Ellenőrizze, hogy a felhasználó IP-címének első három oktettje megegyezik-e a kezdeti hitelesítés IP-címének első három oktettével. Az IP-címet a rendszer összehasonlítja a kezdeti hitelesítéssel, amikor a belső vállalati hálózati jogcím eredetileg ki lett állítva, és a felhasználói hely ellenőrzése megtörtént.

Ha mindkét lépés sikertelen, a rendszer úgy tekinti, hogy a felhasználó már nem megbízható IP-címen van.

Helyek meghatározása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább feltételes hozzáférési Rendszergazda istratorként.
  2. Keresse meg a Védelmi>feltételes hozzáférés>nevesített helyeket.
  3. Válassza az Új hely lehetőséget.
  4. Adjon nevet a tartózkodási helyének.
  5. Válassza ki az IP-címtartományokat , ha ismeri az adott helyet vagy országokat/régiókat alkotó, külsőleg elérhető IPv4-címtartományokat.
    1. Adja meg az IP-címtartományokat , vagy válassza ki a megadott hely országait/régióit .
      • Ha az Országok/Régiók lehetőséget választja, opcionálisan választhat, hogy ismeretlen területeket is tartalmazzon.
  6. Válassza a Mentés lehetőséget

Helyfeltétel a szabályzatban

A helyfeltétel konfigurálásakor különbséget lehet tenni az alábbiak között:

  • Bármely hely
  • Minden megbízható hely
  • Minden megfelelő hálózati hely
  • Kiválasztott helyek

Bármely hely

Alapértelmezés szerint a Bármely hely kiválasztása esetén a házirend az összes IP-címre érvényes, ami az interneten található bármely címet jelenti. Ez a beállítás nem korlátozódik a névvel ellátott helyként konfigurált IP-címekre. A Bármely hely kiválasztásakor továbbra is kizárhat bizonyos helyeket egy szabályzatból. Alkalmazhat például egy szabályzatot az összes helyre, kivéve a megbízható helyeket, így a hatókört a vállalati hálózat kivételével minden helyre beállíthatja.

Minden megbízható hely

Ez a beállítás a következőkre vonatkozik:

  • Minden hely megbízható helyként van megjelölve.
  • MFA megbízható IP-címek, ha konfigurálva van.

Többtényezős hitelesítés megbízható IP-címek

A többtényezős hitelesítés szolgáltatásbeállításainak megbízható IP-címek szakaszának használata már nem ajánlott. Ez a vezérlő csak IPv4-címeket fogad el, és csak a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása című cikkben ismertetett konkrét forgatókönyvekhez használható.

Ha ezeket a megbízható IP-címeket konfigurálta, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.

Minden megfelelő hálózati hely

A globális biztonságos hozzáférés előzetes verziójú funkcióihoz hozzáféréssel rendelkező szervezetek egy másik helyet is felsorolnak, amely a szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből áll. További információ: A globális biztonságos hozzáférés jelzésének engedélyezése a feltételes hozzáféréshez. Feltételes hozzáférési szabályzatokkal használható az erőforrásokhoz való hozzáférés megfelelő hálózati ellenőrzéséhez.

Kiválasztott helyek

Ezzel a beállítással kijelölhet egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak csatlakoznia kell bármelyik kiválasztott helyről. Amikor kiválasztja a névvel ellátott hálózatkijelölési vezérlőt, amely megjeleníti a megnevezett hálózatok listáját, megnyílik. A lista azt is megjeleníti, hogy a hálózati hely megbízhatóként van-e megjelölve.

IPv6-forgalom

A feltételes hozzáférési szabályzatok az összes IPv4 - ésIPv6-forgalomra vonatkoznak (2023. április 3-tól).

IPv6-forgalom azonosítása a Microsoft Entra bejelentkezési tevékenységjelentéseivel

Az IPv6-forgalmat a Microsoft Entra bejelentkezési tevékenységjelentéseivel fedezheti fel a bérlőben. Miután megnyitotta a tevékenységjelentést, adja hozzá az "IP-cím" oszlopot, és adjon hozzá egy kettőspontot (:) a mezőhöz. Ez a szűrő segít megkülönböztetni az IPv6-forgalmat az IPv4-forgalomtól.

Az ügyfél IP-címét úgy is megtalálhatja, hogy a jelentés egy sorára kattint, majd a bejelentkezési tevékenység részletei között a "Hely" fülre kattint.

A screenshot showing Microsoft Entra sign-in logs and an IP address filter for IPv6 addresses.

Feljegyzés

A szolgáltatásvégpontok IPv6-címei megjelenhetnek a bejelentkezési naplókban, amelyek a forgalom kezelése miatt meghiúsultak. Fontos megjegyezni, hogy a szolgáltatásvégpontok nem támogatottak. Ha a felhasználók ezeket az IPv6-címeket látják, távolítsa el a szolgáltatásvégpontot a virtuális hálózati alhálózat konfigurációjából.

Alapismeretek

Felhőbeli proxyk és VPN-ek

Felhőben üzemeltetett proxy vagy VPN-megoldás használatakor a Microsoft Entra ID IP-címe a szabályzat kiértékelésekor a proxy IP-címe. A felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejléc nem használható, mert nincs ellenőrzés arról, hogy megbízható forrásból származik-e, ezért egy IP-cím elhalványítására szolgáló módszert mutatna be.

Ha a felhőproxy működik, könnyebben kezelhetők azok a szabályzatok, amelyekhez hibrid Microsoft Entra-csatlakoztatott vagy megfelelő eszköz szükséges. A felhőben üzemeltetett proxy vagy VPN-megoldás által használt IP-címek listájának naprakészen tartása szinte lehetetlen.

Azt javasoljuk a szervezeteknek, hogy a globális biztonságos hozzáférés használatával engedélyezhessék a forrás IP-címének visszaállítását a címváltozás elkerülése és a felügyelet egyszerűsítése érdekében.

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:

  • A felhasználó kezdetben bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
  • Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.

Ez az ellenőrzés a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely megváltoztatását követő egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a szabályzat minden jogkivonat-kérelemre érvényes. A kérelem gyakorisága az alkalmazástól függően változhat. A webalkalmazások esetében a szabályzatok a kezdeti bejelentkezéskor is érvényesek, és a webalkalmazás munkamenetének élettartamára is jók. A munkamenetek élettartamában az alkalmazások közötti különbségek miatt a szabályzatok kiértékelése közötti idő változó. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a szabályzat lesz alkalmazva.

Alapértelmezés szerint a Microsoft Entra ID óránként ad ki jogkivonatot. Miután a felhasználók elköltöznek a vállalati hálózatról, egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.

Felhasználói IP-cím

A szabályzat kiértékelése során használt IP-cím a felhasználó nyilvános IPv4- vagy IPv6-címe. Magánhálózati eszközök esetén ez az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten, hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím.

Mikor tilthatja le a helyeket?

Az a szabályzat, amely a helyfeltételt használja a hozzáférés letiltására, korlátozónak minősül, és alapos tesztelés után körültekintően kell elvégezni. A helyfeltételek hitelesítés letiltására való használatának egyes példányai a következők lehetnek:

  • Letilthatja azokat az országokat/régiókat, ahol a szervezet soha nem üzletel.
  • Adott IP-tartományok blokkolása, például:
    • Ismert rosszindulatú IP-címek a tűzfalszabályzat módosítása előtt.
    • Rendkívül bizalmas vagy kiemelt műveletekhez és felhőalapú alkalmazásokhoz.
    • A felhasználóspecifikus IP-címtartomány, például a könyvelési vagy bérszámfejtési alkalmazásokhoz való hozzáférés alapján.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Csatlakozás Szinkronizálási fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek adott felhasználóhoz kötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de rendszergazdai célokra is használhatók a rendszerekbe való bejelentkezéshez. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA programozott módon nem fejezhető be. A szolgáltatásnevek által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. A feltételes hozzáférés használata számítási feladatok identitásaihoz szolgáltatásnevekre vonatkozó szabályzatok definiálásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Elnevezett helyek tömeges feltöltése és letöltése

Nevesített helyek létrehozásakor vagy frissítésekor tömeges frissítések esetén feltölthet vagy letölthet egy CSV-fájlt az IP-tartományokkal. A feltöltés a listában szereplő IP-tartományokat lecseréli a fájlból származó tartományokra. A fájl minden sora egy CIDR formátumú IP-címtartományt tartalmaz.

API-támogatás és PowerShell

A Graph API előzetes verziója elérhető a megnevezett helyekhez. További információt a namedLocation API-ban talál.

Következő lépések

  • Konfiguráljon egy példa feltételes hozzáférési szabályzatot a hely használatával, lásd a Feltételes hozzáférés: Hozzáférés letiltása hely szerint című cikket.