Helyszabályzatok szigorú kikényszerítése folyamatos hozzáférés-kiértékeléssel (előzetes verzió)
A helyszabályzatok szigorú kikényszerítése egy új kényszerítési mód a feltételes hozzáférési szabályzatokban használt folyamatos hozzáférés-értékeléshez (CAE). Ez az új mód védelmet nyújt az erőforrások számára, és azonnal leállítja a hozzáférést, ha az erőforrás-szolgáltató által észlelt IP-címet nem engedélyezi a feltételes hozzáférési szabályzat. Ez a beállítás a hitelesítésszolgáltató helyérvényesítésének legmagasabb szintű biztonsági módja, és megköveteli, hogy a rendszergazdák megértsék a hitelesítési és hozzáférési kérések útválasztását a hálózati környezetükben. Tekintse meg a folyamatos hozzáférés-értékelés bemutatása című témakört, amely áttekintést nyújt arról, hogy a CAE-kompatibilis ügyfelek és erőforrás-szolgáltatók, például az Outlook levelezőügyfél és az Exchange Online hogyan értékelik ki a helyváltozásokat.
Helyérvényesítési mód | Ajánlott hálózati topológia | Ha az erőforrás által észlelt IP-cím nem szerepel az engedélyezett listában | Előnyök | Konfiguráció |
---|---|---|---|---|
Standard (alapértelmezett) | Minden topológiához alkalmas | A rendszer csak akkor bocsát ki rövid élettartamú jogkivonatot, ha a Microsoft Entra-azonosító egy engedélyezett IP-címet észlel. Ellenkező esetben a hozzáférés le van tiltva | Visszaesik a CAE előtti helyészlelési módra osztott alagúthálózati üzemelő példányokban, ahol a CAE kényszerítése hatással lenne a termelékenységre. A CAE továbbra is kényszeríti az egyéb eseményeket és szabályzatokat. | Nincs (alapértelmezett beállítás) |
Szigorúan kikényszerített helyszabályzatok | A kimenő IP-címek dedikáltak és számbavehetők a Microsoft Entra-azonosítóhoz és az összes erőforrás-szolgáltatói forgalomhoz | Hozzáférés letiltva | A legbiztonságosabb, de jól érthető hálózati útvonalakat igényel | 1. Az IP-cím feltételezéseinek tesztelése kis populációval 2. Engedélyezze a "Szigorúan kényszerítés" lehetőséget a Munkamenet-vezérlők alatt |
Szigorúan kikényszerített helyszabályzatok konfigurálása
1. lépés – Feltételes hozzáférési helyalapú házirend konfigurálása a célfelhasználók számára
Mielőtt a rendszergazdák szigorú helyérvényesítést igénylő feltételes hozzáférési szabályzatot hoznának létre, a feltételes hozzáférés helyalapú házirendjeihez hasonló szabályzatokat kell használniuk. Az ehhez hasonló szabályzatokat a felhasználók egy részhalmazával kell tesztelni, mielőtt továbblép a következő lépésre. A rendszergazdák elkerülhetik a Microsoft Entra ID által a hitelesítés során látott engedélyezett és tényleges IP-címek közötti eltéréseket a szigorú kényszerítés engedélyezése előtt végzett teszteléssel.
2. lépés – Szabályzat tesztelése a felhasználók egy kis részhalmazán
Miután engedélyezte a szigorú helyérvényesítést igénylő szabályzatokat a tesztfelhasználók egy részhalmazán, ellenőrizze a tesztelési élményt a Microsoft Entra bejelentkezési naplóiban látható szűrő IP-cím (erőforrás által látott) használatával. Ez az ellenőrzés lehetővé teszi, hogy a rendszergazdák olyan forgatókönyveket találjanak, ahol a szigorú helyérvényesítés letilthatja a cae-kompatibilis erőforrás-szolgáltató által látott nem engedélyezett IP-címmel rendelkező felhasználókat.
Mielőtt a rendszergazdák szigorú helyérvényesítést igénylő feltételes hozzáférési szabályzatokat kapcsolnának be, a következőket kell tenniük:
- Győződjön meg arról, hogy a Microsoft Entra-azonosító felé irányuló összes hitelesítési forgalom és az erőforrás-szolgáltatók felé irányuló forgalom az ismert dedikált kimenő IP-címekről származik.
- Például az Exchange Online, a Teams, a SharePoint Online és a Microsoft Graph
- Győződjön meg arról, hogy minden IP-cím, amelyről a felhasználók hozzáférhetnek a Microsoft Entra-azonosítóhoz és az erőforrás-szolgáltatókhoz, szerepeljenek az IP-alapú névvel ellátott helyeken.
- Győződjön meg arról, hogy nem a Microsoft 365-alkalmazásokba irányuló forgalmat küldik globális biztonságos hozzáféréssel.
- A forrás IP-címének visszaállítása nem támogatott ezekben a nem Microsoft 365-alkalmazásokban. A szigorú helyérvényesítés globális biztonságos hozzáféréssel való engedélyezése akkor is letiltja a hozzáférést, ha a felhasználó megbízható IP-címen van.
- Tekintse át a feltételes hozzáférési szabályzataikat, hogy ne rendelkezzenek olyan szabályzatokkal, amelyek nem támogatják a hitelesítésszolgáltatót. További információ: CAE által támogatott hitelesítésszolgáltatói szabályzatok.
Ha a rendszergazdák nem hajtják végre ezt az ellenőrzést, a felhasználók negatív hatással lehetnek. Ha a Microsoft Entra-azonosítóra vagy a CAE által támogatott erőforrásra irányuló forgalom megosztott vagy meghatározhatatlan kimenő IP-címen keresztül történik, ne engedélyezze a szigorú helyérvényesítést a feltételes hozzáférési szabályzatokban.
3. lépés – A CAE-munkafüzet használatával azonosíthatja azokat az IP-címeket, amelyeket hozzá kell adni a nevesített helyekhez
Ha még nem tette meg, hozzon létre egy új Azure-munkafüzetet a "Continuous Access Evaluation Insights" nyilvános sablon használatával a Microsoft Entra-azonosító és az IP-cím (erőforrás által látott) IP-cím közötti eltérés azonosításához. Ebben az esetben előfordulhat, hogy split-tunnel hálózati konfigurációval rendelkezik. Annak érdekében, hogy a felhasználók ne legyenek véletlenül kizárva, ha a szigorú helyérvényesítés engedélyezve van, a rendszergazdáknak az alábbiakat kell elvégeznie:
Vizsgálja meg és azonosítsa a CAE-munkafüzetben azonosított IP-címeket.
Adja hozzá az ismert szervezeti kimenő pontokhoz társított nyilvános IP-címeket a megadott névvel ellátott helyekhez.
Az alábbi képernyőképen egy példa látható arra, hogy egy ügyfél hozzáfér egy blokkolt erőforráshoz. Ennek a blokknak az az oka, hogy a házirendek megkövetelik, hogy a hitelesítésszolgáltató szigorú helymeghatározó kényszerítése aktiválódjon az ügyfél munkamenetének visszavonásához.
Ez a viselkedés ellenőrizhető a bejelentkezési naplókban. Keresse meg az (erőforrás által látott) IP-címet, és vizsgálja meg, hogy hozzáadja-e ezt az IP-címet a névvel ellátott helyekhez , ha a felhasználók nem várt blokkokat tapasztalnak a feltételes hozzáférésben.
A Feltételes hozzáférési szabályzat részletei lap további részleteket tartalmaz a letiltott bejelentkezési eseményekről.
4. lépés – Az üzembe helyezés folytatása
Ismételje meg a 2. és a 3. lépést egyre bővülő felhasználói csoportokkal, amíg a rendszer szigorúan kikényszeríti a helyszabályzatok alkalmazását a célfelhasználói bázison. A felhasználói élmény befolyásolásának elkerülése érdekében körültekintően gördítsünk ki.
Hibaelhárítás bejelentkezési naplókkal
A rendszergazdák megvizsgálhatják a bejelentkezési naplókat, és megkereshetik az IP-címmel ( erőforrás által látott) eseteket.
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Tallózással keresse meg az Identitásfigyelés>> állapot>bejelentkezési naplóit.
- Szűrők és oszlopok hozzáadásával megkeresheti az áttekintendő eseményeket a szükségtelen információk kiszűréséhez.
Adja hozzá az IP-cím (erőforrás által látott) oszlopot, és szűrje ki az üres elemeket a hatókör szűkítéséhez. Az (erőforrás által látott) IP-cím üres, ha a Microsoft Entra ID által látott IP-cím megegyezik az erőforrás által látott IP-címmel.
Az (erőforrás által látott) IP-cím nem üres szűrőt tartalmaz az alábbi példákban:
Kezdeti hitelesítés
A hitelesítés caE-jogkivonat használatával sikeres.
Az (erőforrás által látott) IP-cím eltér a Microsoft Entra ID által látott IP-címtől. Bár az erőforrás által látott IP-cím ismert, nincs kényszerítés, amíg az erőforrás át nem irányítja a felhasználót az erőforrás által látott IP-cím újraértékeléséhez.
A Microsoft Entra-hitelesítés sikeres, mert a szigorú helyérvényesítés nem alkalmazható az erőforrás szintjén.
Erőforrás-átirányítás újraértékeléshez
A hitelesítés sikertelen, és a CAE-jogkivonat nem lesz kiállítva.
Az (erőforrás által látott) IP-cím eltér a Microsoft Entra ID által látott IP-címtől.
A hitelesítés nem sikeres, mert az IP-cím (amelyet az erőforrás lát) nem ismert névvel ellátott hely a feltételes hozzáférésben.