Megosztás a következőn keresztül:

Feltételes hozzáférés: Hálózati hozzárendelés

A rendszergazdák olyan szabályzatokat hozhatnak létre, amelyek jelzésként meghatározott hálózati helyeket céloznak meg a döntéshozatali folyamat egyéb feltételeivel együtt. Ezeket a hálózati helyeket a szabályzatkonfiguráció részeként belefoglalhatják vagy kizárhatják. Ezek a hálózati helyek tartalmazhatnak nyilvános IPv4- vagy IPv6-hálózati információkat, országokat/régiókat, ismeretlen területeket, amelyek nem egy adott országra/régióra vannak leképezve, vagy Globális biztonságos hozzáférés megfelelő hálózati.

A feltételes hozzáférési jelek fogalmát és a szervezeti szabályzat kikényszerítésére vonatkozó döntést bemutató ábra.

Feljegyzés

A feltételes hozzáférési szabályzatok az elsőtényezős hitelesítés befejeződése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet védelmi frontvonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

A szervezetek ezeket a helyeket használhatják olyan gyakori feladatokhoz, mint például:

  • Többtényezős hitelesítés megkövetelése a szolgáltatáshoz a vállalati hálózaton kívül hozzáférő felhasználók számára.
  • A szervezet által soha nem működő országok hozzáférésének letiltása.

A felhasználó tartózkodási helye a nyilvános IP-címével vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordinátákkal található. A feltételes hozzáférési szabályzatok alapértelmezés szerint minden helyre érvényesek.

Tipp.

A Hely feltétel át lett helyezve, és átnevezték a hálózatra. Ez a feltétel kezdetben a hozzárendelés szintjén és a Feltételek alatt is megjelenik.

A frissítések vagy módosítások mindkét helyen megjelennek. A funkció változatlan marad, és a Hely szolgáltatást használó meglévő szabályzatok továbbra is módosítások nélkül működnek.

Képernyőkép egy feltételes hozzáférési szabályzat hálózati hozzárendelési feltételéről.

Házirendben konfigurálva

A helyfeltétel konfigurálásakor különbséget lehet tenni az alábbiak között:

  • Bármilyen hálózat vagy hely
  • Minden megbízható hálózat és hely
  • Minden megfelelő hálózati hely
  • Kiválasztott hálózatok és helyek

Bármilyen hálózat vagy hely

A Bármely hely kiválasztása házirendet alkalmaz az összes IP-címre, beleértve az interneten található címeket is. Ez a beállítás nem korlátozódik a névvel ellátott helyekként konfigurált IP-címekre. Ha bármelyik helyet választja, kizárhat bizonyos helyeket egy szabályzatból. Alkalmazzon például egy szabályzatot az összes helyre, kivéve a megbízható helyeket, így a hatókört a vállalati hálózat kivételével minden helyre beállíthatja.

Minden megbízható hálózat és hely

Ez a beállítás a következőkre vonatkozik:

  • Minden hely megbízható helyként van megjelölve.
  • Többtényezős hitelesítés megbízható IP-címek, ha konfigurálva van.

Többtényezős hitelesítés megbízható IP-címek

A többtényezős hitelesítés szolgáltatásbeállításainak megbízható IP-címek szakaszának használata nem ajánlott. Ez a vezérlő csak IPv4-címeket fogad el, és a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása című cikkben ismertetett konkrét forgatókönyvekhez készült.

Ha ezeket a megbízható IP-címeket konfigurálta, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.

Minden megfelelő hálózati hely

A globális biztonságos hozzáférési funkciókhoz hozzáféréssel rendelkező szervezetek egy másik helyet látnak a listában, amely a szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből áll. További információ: Globális biztonságos hozzáférés jelzésének engedélyezése feltételes hozzáféréshez. Feltételes hozzáférési szabályzatokkal használható az erőforrásokhoz való hozzáférés megfelelő hálózati ellenőrzéséhez.

Kiválasztott hálózatok és helyek

Ezzel a beállítással válasszon ki egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak csatlakoznia kell bármelyik kiválasztott helyről. Ha a Kiválasztás lehetőséget választja, megnyílik a megadott helyek listája. Ez a lista megmutatja a nevét, típusát, és azt is, hogy a hálózati hely megbízhatóként van-e megjelölve.

Hogyan vannak definiálva ezek a helyek?

A helyek a Microsoft Entra felügyeleti központban , az Entra ID>feltételes hozzáférés>nevesített helyei alatt találhatók. A legalább feltételes hozzáférési rendszergazdai szerepkörrel rendelkező rendszergazdák névvel ellátott helyeket hozhatnak létre és frissíthetnek.

Képernyőkép a Nevesített helyekről a Microsoft Entra Felügyeleti központban.

Az elnevezett helyek közé tartozhatnak a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a letiltani kívánt tartományok. Az elnevezett helyek IPv4-címtartományokat, IPv6-címtartományokat vagy országokat tartalmaznak.

IPv4- és IPv6-címtartományok

Ha nyilvános IPv4- vagy IPv6-címtartományok alapján szeretne megnevezett helyet definiálni, adja meg az alábbiakat:

  • A hely neve .
  • Egy vagy több nyilvános IP-címtartomány.
  • Ha szeretné, jelölje meg megbízható helyként.

Az IPv4- vagy IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:

  • Legfeljebb 195 elnevezett hely.
  • Nevesített helyenként legfeljebb 2000 IP-címtartomány lehet.
  • IP-címtartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.

Magánhálózati eszközök esetén az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten (például 10.55.99.3), hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím (például 198.51.100.3).

Megbízható helyek

A rendszergazdák opcionálisan megbízhatóként jelölhetik meg az IP-alapú helyeket, például a szervezet nyilvános hálózati tartományait. Ezt a jelölést a funkciók többféleképpen használják.

  • A feltételes hozzáférési szabályzatok tartalmazhatják vagy kizárhatják ezeket a helyeket.
  • A megbízható névvel ellátott helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát.

A megbízhatóként megjelölt helyek nem törölhetők a megbízható megjelölés első eltávolítása nélkül.

Országok

A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg a földrajzi országot vagy régiót.

Egy elnevezett hely ország vagy régió szerint történő meghatározásához tegye a következőket:

  • Adja meg a hely nevét.
  • Válassza ki, hogy ip-cím vagy GPS koordináták alapján határozza meg a helyet.
  • Adjon hozzá egy vagy több országot/régiót.
  • Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását.

Képernyőkép egy új hely országok használatával történő létrehozásáról.

Ha a Hely meghatározása IP-cím alapján lehetőséget választja, a Microsoft Entra ID egy rendszeresen frissített leképezési tábla alapján egy országra vagy régióra oldja fel a felhasználó IPv4- vagy IPv6-címét.

Ha GPS-koordináták alapján választja ki a helymeghatározást, a felhasználóknak telepítve kell lenniük a Microsoft Authenticator alkalmazásnak a mobileszközükön. A rendszer minden órában kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy lekérje mobileszközük GPS-helyét.

  • Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helymeghatározási engedélyeket kell adnia. A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futásra, az eszköz tartózkodási helye óránként egyszer csendben megosztásra kerül.
  • 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
  • Minden alkalommal, amikor a felhasználó megosztja a GPS helyét, az alkalmazás ugyanazt a logikát használja, mint a Microsoft Intune MAM SDK. Ha az eszköz jailbreakelt állapotban van, a hely nem tekinthető érvényesnek, és a felhasználó nem kap hozzáférést.
    • Az Androidon futó Microsoft Authenticator alkalmazás a Google Play Integrity API-t használja a jailbreak észlelésének megkönnyítésére. Ha a Google Play Integrity API nem érhető el, a rendszer megtagadja a kérést, és a felhasználó csak akkor fér hozzá a kért erőforráshoz, ha a feltételes hozzáférési szabályzat le van tiltva. A Microsoft Authenticator alkalmazással kapcsolatos további információkért tekintse meg a Microsoft Authenticator alkalmazással kapcsolatos gyakori kérdéseket ismertető cikket.
  • A felhasználók módosíthatják a GPS helyét az iOS- és Android-eszközök által jelentett módon. Ennek eredményeképpen a Microsoft Authenticator alkalmazás megtagadja a hitelesítést azon esetekben, amikor a felhasználó más helyet használ, mint annak a mobileszköznek a GPS-helye, amelyre az alkalmazás telepítve van. Azok a felhasználók, akik módosítják az eszközük helyét, megtagadó üzenetet kapnak a GPS helyalapú szabályzatok esetén.
  • A visszaadott országkód az eszközplatform API-tól függ: például az egyik platform jelentheti az USA-t Puerto Rico esetében, míg egy másik a PR-t jelenti.

Feljegyzés

A csak jelentés módban lévő GPS-alapú elnevezett helyekkel rendelkező feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, annak ellenére, hogy nincsenek letiltva a bejelentkezésben.

A GPS-hely csak akkor használható jelszó nélküli telefonos bejelentkezéshez, ha az MFA leküldéses értesítései is engedélyezve vannak. A felhasználók a Microsoft Authenticator használatával jelentkezhetnek be, de az MFA leküldéses értesítéseit is jóvá kell hagyniuk a GPS-helyük megosztásához.

A GPS-hely nem működik, ha csak jelszó nélküli hitelesítési módszerek vannak beállítva.

Több feltételes hozzáférési szabályzat is megkérheti a felhasználókat a GPS-helyük megadására az összes alkalmazás előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha a helyellenőrzést átadja, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítéséről további információt a feltételes hozzáférési szabályzat létrehozása című cikkben talál.

Fontos

A felhasználók óránként értesítést kaphatnak arról, hogy a Microsoft Entra-azonosító ellenőrzi a tartózkodási helyüket az Authenticator alkalmazásban. Ez a funkció csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra korlátozni kell.

Ismeretlen országok/régiók belefoglalása

Egyes IP-címek nem képezhetők le egy adott országra vagy régióra. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással kiválaszthatja, hogy ezek az IP-címek szerepeljenek-e a névvel ellátott helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.

Gyakori kérdések

Van Graph API-támogatás?

A Graph API támogatása a nevesített helyekhez elérhető. További információkért tekintse meg a namedLocation API nevű helyet.

Mi történik, ha felhőalapú proxyt vagy VPN-t használok?

Felhőben üzemeltetett proxy vagy VPN-megoldás használatakor a Microsoft Entra ID IP-címe a szabályzat kiértékelésekor a proxy IP-címe. A felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejléc nem használható, mert nincs érvényesség arra, hogy megbízható forrásból származik. Az ellenőrzés hiánya lehetővé teheti egy IP-cím elhalványítását.

Ha a felhőproxy működik, könnyebben kezelhetők azok a szabályzatok, amelyekhez hibrid Microsoft Entra-csatlakoztatott vagy megfelelő eszköz szükséges. A felhőalapú proxy vagy VPN-megoldás által használt IP-címek up-todátumlistájának megőrzése szinte lehetetlen.

Azt javasoljuk a szervezeteknek, hogy a globális biztonságos hozzáférés használatával engedélyezhessék a forrás IP-címének visszaállítását a címváltozás elkerülése és a felügyelet egyszerűsítése érdekében.

Mikor történik a hely kiértékelése?

A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:

  • A felhasználó kezdetben bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
  • Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.

Ez az ellenőrzés a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely megváltoztatását követő egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a szabályzat minden jogkivonat-kérelemre érvényes. A kérelem gyakorisága az alkalmazástól függően változhat. A webalkalmazások esetében a szabályzatok a kezdeti bejelentkezéskor is érvényesek, és a webalkalmazás munkamenetének élettartamára is jók. A munkamenetek élettartamában az alkalmazások közötti különbségek miatt a szabályzatok kiértékelése közötti idő változó. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a szabályzat lesz alkalmazva.

Alapértelmezés szerint a Microsoft Entra ID óránként ad ki jogkivonatot. Miután a felhasználók elköltöznek a vállalati hálózatról, egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.

Mikor tilthatja le a helyeket?

Az a szabályzat, amely a helyfeltételt használja a hozzáférés letiltására, korlátozónak minősül, és alapos tesztelés után körültekintően kell elvégezni. A helyfeltételek hitelesítés letiltására való használatának egyes példányai a következők lehetnek:

  • Letilthatja azokat az országokat/régiókat, ahol a szervezet soha nem üzletel.
  • Adott IP-tartományok blokkolása, például:
    • Ismert rosszindulatú IP-címek a tűzfalszabályzat módosítása előtt.
    • Rendkívül bizalmas vagy kiemelt műveletek és felhőalkalmazások.
    • A felhasználóspecifikus IP-címtartomány, például a könyvelési vagy bérszámfejtési alkalmazásokhoz való hozzáférés alapján.

Kapcsolódó tartalom