Feltételes hozzáférés: Hálózati hozzárendelés
A rendszergazdák olyan szabályzatokat hozhatnak létre, amelyek jelzésként meghatározott hálózati helyeket céloznak meg a döntéshozatali folyamat egyéb feltételeivel együtt. Ezeket a hálózati helyeket a szabályzatkonfiguráció részeként belefoglalhatják vagy kizárhatják. Ezek a hálózati helyek közé tartozhatnak a nyilvános IPv4- vagy IPv6-hálózati információk, az országok, az ismeretlen területek, amelyek nem adott országokhoz vannak leképezve, vagy a Globális biztonságos hozzáférés megfelelő hálózata.
Feljegyzés
A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.
A szervezetek az alábbi helyeket használhatják az olyan gyakori feladatokhoz, mint például:
- Többtényezős hitelesítés megkövetelése a szolgáltatáshoz a vállalati hálózaton kívül hozzáférő felhasználók számára.
- A szervezet által soha nem működő országok hozzáférésének letiltása.
A felhasználó tartózkodási helye a nyilvános IP-címével vagy a Microsoft Authenticator alkalmazás által megadott GPS-koordinátákkal található. A feltételes hozzáférési szabályzatok alapértelmezés szerint minden helyre érvényesek.
Tipp.
A Hely feltétel át lett helyezve, és a hálózat nevet kapta. Ez a feltétel először a hozzárendelés szintjén és a Feltételek területen is megjelenik.
A frissítések vagy módosítások mindkét helyen megjelennek. A funkció változatlan marad, és a Hely használatával meglévő szabályzatok továbbra is módosítások nélkül működnek.
Házirendben konfigurálva
A helyfeltétel konfigurálásakor különbséget lehet tenni az alábbiak között:
- Bármilyen hálózat vagy hely
- Minden megbízható hálózat és hely
- Minden megfelelő hálózati hely
- Kiválasztott hálózatok és helyek
Bármilyen hálózat vagy hely
Alapértelmezés szerint a Bármely hely kiválasztása esetén a házirend az összes IP-címre érvényes, ami az interneten található bármely címet jelenti. Ez a beállítás nem korlátozódik a névvel ellátott helyekként konfigurált IP-címekre. A Bármely hely kiválasztásakor továbbra is kizárhat bizonyos helyeket egy szabályzatból. Alkalmazhat például egy szabályzatot az összes helyre, kivéve a megbízható helyeket, így a hatókört a vállalati hálózat kivételével minden helyre beállíthatja.
Minden megbízható hálózat és hely
Ez a beállítás a következőkre vonatkozik:
- Minden hely megbízható helyként van megjelölve.
- Többtényezős hitelesítés megbízható IP-címek, ha konfigurálva van.
Többtényezős hitelesítés megbízható IP-címek
A többtényezős hitelesítés szolgáltatásbeállításainak megbízható IP-címek szakaszának használata már nem ajánlott. Ez a vezérlő csak IPv4-címeket fogad el, és csak a Microsoft Entra többtényezős hitelesítési beállításainak konfigurálása című cikkben ismertetett konkrét forgatókönyvekhez használható.
Ha ezeket a megbízható IP-címeket konfigurálta, azok MFA megbízható IP-címként jelennek meg a helyfeltétel helyeinek listájában.
Minden megfelelő hálózati hely
A globális biztonságos hozzáférési funkciókhoz hozzáféréssel rendelkező szervezetek egy másik helyet is felsorolnak, amely a szervezet biztonsági szabályzatainak megfelelő felhasználókból és eszközökből áll. További információ: A globális biztonságos hozzáférés jelzésének engedélyezése a feltételes hozzáféréshez. Feltételes hozzáférési szabályzatokkal használható az erőforrásokhoz való hozzáférés megfelelő hálózati ellenőrzéséhez.
Kiválasztott hálózatok és helyek
Ezzel a beállítással kijelölhet egy vagy több elnevezett helyet. Ahhoz, hogy egy ilyen beállítással rendelkező szabályzat alkalmazható legyen, a felhasználónak csatlakoznia kell bármelyik kiválasztott helyről. Amikor a Kiválasztás lehetőséget választja, megjelenik a megadott helyek listája. Ez a lista megjeleníti a nevet, a típust és azt, hogy a hálózati hely megbízhatóként van-e megjelölve.
Hogyan vannak definiálva ezek a helyek?
A helyek definiálva vannak, és a Microsoft Entra felügyeleti központban, a Védett>feltételes hozzáférés>nevesített helyei alatt találhatók. A legalább feltételes hozzáférési rendszergazdai szerepkörrel rendelkező rendszergazdák névvel ellátott helyeket hozhatnak létre és frissíthetnek.
Az elnevezett helyek tartalmazhatnak olyan helyeket, mint a szervezet központi hálózati tartományai, a VPN-hálózati tartományok vagy a letiltani kívánt tartományok. Az elnevezett helyek IPv4-címtartományokat, IPv6-címtartományokat vagy országokat tartalmaznak.
IPv4- és IPv6-címtartományok
Ha nyilvános IPv4- vagy IPv6-címtartományok alapján szeretne elnevezett helyet meghatározni, meg kell adnia a következőket:
- A hely neve .
- Egy vagy több nyilvános IP-címtartomány.
- Ha szeretné, jelölje meg megbízható helyként.
Az IPv4/IPv6-címtartományok által definiált elnevezett helyekre az alábbi korlátozások vonatkoznak:
- Legfeljebb 195 elnevezett hely.
- Nevesített helyenként legfeljebb 2000 IP-címtartomány lehet.
- IP-címtartomány definiálásakor csak a /8-nál nagyobb CIDR-maszkok engedélyezettek.
Magánhálózati eszközök esetén az IP-cím nem a felhasználó eszközének ügyfél IP-címe az intraneten (például 10.55.99.3), hanem a hálózat által a nyilvános internethez való csatlakozáshoz használt cím (például 198.51.100.3).
Megbízható helyek
Előfordulhat, hogy a rendszergazdák megbízhatóként jelölik meg az IP-alapú helyeket, például a szervezet nyilvános hálózati tartományait. Ezt a jelölést a funkciók többféleképpen használják.
- A feltételes hozzáférési szabályzatok tartalmazhatják vagy kizárhatják ezeket a helyeket.
- A megbízható névvel ellátott helyekről érkező bejelentkezések javítják Microsoft Entra ID-védelem kockázatszámításának pontosságát.
A megbízhatóként megjelölt helyek nem törölhetők a megbízható megjelölés első eltávolítása nélkül.
Országok
A szervezetek IP-cím vagy GPS-koordináták alapján határozhatják meg a földrajzi ország helyét.
Az elnevezett hely országonkénti meghatározásához a következőket kell tennie:
- Adja meg a hely nevét.
- Válassza ki, hogy ip-cím vagy GPS koordináták alapján határozza meg a helyet.
- Adjon hozzá egy vagy több országot/régiót.
- Opcionálisan választhatja az ismeretlen országok/régiók belefoglalását.
Ha a Hely meghatározása IP-cím alapján lehetőséget választja, a Microsoft Entra ID egy rendszeresen frissített leképezési tábla alapján egy országra vagy régióra oldja fel a felhasználó IPv4- vagy IPv6-címét.
Ha GPS-koordináták alapján választja ki a helymeghatározást, a felhasználóknak telepítve kell lenniük a Microsoft Authenticator alkalmazásnak a mobileszközükön. A rendszer minden órában kapcsolatba lép a felhasználó Microsoft Authenticator alkalmazásával, hogy lekérje mobileszközük GPS-helyét.
- Amikor a felhasználónak először meg kell osztania a tartózkodási helyét a Microsoft Authenticator alkalmazásból, értesítést kap az alkalmazásban. A felhasználónak meg kell nyitnia az alkalmazást, és helymeghatározási engedélyeket kell adnia. A következő 24 órában, ha a felhasználó továbbra is hozzáfér az erőforráshoz, és engedélyt ad az alkalmazásnak a háttérben való futásra, az eszköz tartózkodási helye óránként egyszer csendben megosztásra kerül.
- 24 óra elteltével a felhasználónak meg kell nyitnia az alkalmazást, és jóvá kell hagynia az értesítést.
- Minden alkalommal, amikor a felhasználó megosztja a GPS helyét, az alkalmazás ugyanazt a logikát használja, mint a Microsoft Intune MAM SDK. Ha az eszköz jailbreakelt állapotban van, a hely nem tekinthető érvényesnek, és a felhasználó nem kap hozzáférést.
- Az Androidon futó Microsoft Authenticator alkalmazás a Google Play Integrity API-t használja a jailbreak észlelésének megkönnyítésére. Ha a Google Play Integrity API nem érhető el, a rendszer megtagadja a kérést, és a felhasználó csak akkor fér hozzá a kért erőforráshoz, ha a feltételes hozzáférési szabályzat le van tiltva. A Microsoft Authenticator alkalmazással kapcsolatos további információkért tekintse meg a Microsoft Authenticator alkalmazással kapcsolatos gyakori kérdéseket ismertető cikket.
- A felhasználók módosíthatják az iOS- és Android-eszközök által jelentett GPS-helyet. Ennek eredményeképpen a Microsoft Authenticator alkalmazás megtagadja a hitelesítést azon esetekben, amikor a felhasználó más helyet használ, mint annak a mobileszköznek a GPS-helye, amelyre az alkalmazás telepítve van. Azok a felhasználók, akik módosítják az eszközük helyét, megtagadó üzenetet kapnak a GPS helyalapú szabályzatok esetén.
Feljegyzés
A csak jelentés módban lévő GPS-alapú elnevezett helyekkel rendelkező feltételes hozzáférési szabályzat arra kéri a felhasználókat, hogy megosszák a GPS-helyüket, annak ellenére, hogy nincsenek letiltva a bejelentkezésben.
A GPS-hely nem működik jelszó nélküli hitelesítési módszerekkel.
Több feltételes hozzáférési szabályzat is megkérheti a felhasználókat a GPS-helyük megadására az összes alkalmazás előtt. A feltételes hozzáférési szabályzatok alkalmazása miatt előfordulhat, hogy egy felhasználó hozzáférése megtagadható, ha a helyellenőrzést átadja, de egy másik szabályzat meghiúsul. A szabályzatok kikényszerítéséről további információt a feltételes hozzáférési szabályzat létrehozása című cikkben talál.
Fontos
A felhasználók óránként értesítést kaphatnak arról, hogy a Microsoft Entra-azonosító ellenőrzi a tartózkodási helyüket az Authenticator alkalmazásban. Ez a funkció csak akkor használható a nagyon érzékeny alkalmazások védelmére, ha ez a viselkedés elfogadható, vagy ha a hozzáférést egy adott országra/régióra korlátozni kell.
Ismeretlen országok/régiók belefoglalása
Egyes IP-címek nem egy adott országra vagy régióra vannak leképezve. Ezeknek az IP-helyeknek a rögzítéséhez jelölje be az Ismeretlen országok/régiók belefoglalása földrajzi hely meghatározásakor jelölőnégyzetet. Ezzel a beállítással kiválaszthatja, hogy ezek az IP-címek szerepeljenek-e a névvel ellátott helyen. Ezt a beállítást akkor használja, ha a névvel ellátott helyet használó szabályzatnak ismeretlen helyekre kell vonatkoznia.
Gyakori kérdések
Van Graph API-támogatás?
A Nevesített helyek graph API-támogatása elérhető, további információkért lásd a namedLocation API-t.
Mi történik, ha felhőalapú proxyt vagy VPN-t használok?
Felhőben üzemeltetett proxy vagy VPN-megoldás használatakor a Microsoft Entra ID IP-címe a szabályzat kiértékelésekor a proxy IP-címe. A felhasználó nyilvános IP-címét tartalmazó X-Forwarded-For (XFF) fejléc nem használható, mert nincs ellenőrzés arról, hogy megbízható forrásból származik-e, ezért egy IP-cím elhalványítására szolgáló módszert mutatna be.
Ha a felhőproxy működik, könnyebben kezelhetők azok a szabályzatok, amelyekhez hibrid Microsoft Entra-csatlakoztatott vagy megfelelő eszköz szükséges. A felhőben üzemeltetett proxy vagy VPN-megoldás által használt IP-címek listájának naprakészen tartása szinte lehetetlen.
Azt javasoljuk a szervezeteknek, hogy a globális biztonságos hozzáférés használatával engedélyezhessék a forrás IP-címének visszaállítását a címváltozás elkerülése és a felügyelet egyszerűsítése érdekében.
Mikor történik a hely kiértékelése?
A feltételes hozzáférési szabályzatok kiértékelése a következő esetekben történik:
- A felhasználó kezdetben bejelentkezik egy webalkalmazásba, mobil- vagy asztali alkalmazásba.
- Egy modern hitelesítést használó mobil- vagy asztali alkalmazás frissítési jogkivonatot használ egy új hozzáférési jogkivonat beszerzéséhez. Alapértelmezés szerint ez az ellenőrzés óránként egyszer történik.
Ez az ellenőrzés a modern hitelesítést használó mobil- és asztali alkalmazások esetében a hálózati hely megváltoztatását követő egy órán belül észleli a helyváltozást. A modern hitelesítést nem használó mobil- és asztali alkalmazások esetében a szabályzat minden jogkivonat-kérelemre érvényes. A kérelem gyakorisága az alkalmazástól függően változhat. A webalkalmazások esetében a szabályzatok a kezdeti bejelentkezéskor is érvényesek, és a webalkalmazás munkamenetének élettartamára is jók. A munkamenetek élettartamában az alkalmazások közötti különbségek miatt a szabályzatok kiértékelése közötti idő változó. Minden alkalommal, amikor az alkalmazás új bejelentkezési jogkivonatot kér, a szabályzat lesz alkalmazva.
Alapértelmezés szerint a Microsoft Entra ID óránként ad ki jogkivonatot. Miután a felhasználók elköltöznek a vállalati hálózatról, egy órán belül a szabályzat érvényes lesz a modern hitelesítést használó alkalmazásokra.
Mikor tilthatja le a helyeket?
Az a szabályzat, amely a helyfeltételt használja a hozzáférés letiltására, korlátozónak minősül, és alapos tesztelés után körültekintően kell elvégezni. A helyfeltételek hitelesítés letiltására való használatának egyes példányai a következők lehetnek:
- Letilthatja azokat az országokat/régiókat, ahol a szervezet soha nem üzletel.
- Adott IP-tartományok blokkolása, például:
- Ismert rosszindulatú IP-címek a tűzfalszabályzat módosítása előtt.
- Rendkívül bizalmas vagy kiemelt műveletek és felhőalkalmazások.
- A felhasználóspecifikus IP-címtartomány, például a könyvelési vagy bérszámfejtési alkalmazásokhoz való hozzáférés alapján.
Kapcsolódó tartalom
- Példa feltételes hozzáférési szabályzat konfigurálására hely használatával.