Akses Bersyar: Penetapan jaringan

  • Artikel

Administrator dapat membuat kebijakan yang menargetkan lokasi jaringan tertentu sebagai sinyal bersama dengan kondisi lain dalam proses pengambilan keputusan mereka. Mereka dapat menyertakan atau mengecualikan lokasi jaringan ini sebagai bagian dari konfigurasi kebijakan mereka. Lokasi jaringan ini mungkin mencakup informasi jaringan IPv4 atau IPv6 publik, negara, area tidak dikenal yang tidak dipetakan ke negara tertentu, atau jaringan yang mematuhi Akses Aman Global.

Diagram memperlihatkan konsep sinyal Akses Bersyarat ditambah keputusan untuk menerapkan kebijakan organisasi.

Catatan

Kebijakan Akses Bersyarat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan sebagai garis pertahanan pertama organisasi untuk skenario seperti serangan penolakan layanan (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Organisasi mungkin menggunakan lokasi ini untuk tugas umum seperti:

  • Memerlukan autentikasi multifaktor bagi pengguna yang mengakses layanan saat berada di luar jaringan perusahaan.
  • Memblokir akses dari negara tertentu yang tidak pernah dioperasikan organisasi Anda.

Lokasi pengguna ditemukan menggunakan alamat IP publik mereka atau koordinat GPS yang disediakan oleh aplikasi Microsoft Authenticator. Kebijakan Akses Bersyarah berlaku untuk semua lokasi secara default.

Tip

Kondisi Lokasi telah dipindahkan dan diganti namanya menjadi Jaringan. Pada awalnya kondisi ini akan muncul di tingkat Penugasan , dan di bawah Kondisi.

Cuplikan layar memperlihatkan kondisi penetapan jaringan dalam kebijakan Akses Bersyar.

Saat dikonfigurasi dalam kebijakan

Saat mengonfigurasi syarat lokasi, Anda memiliki opsi untuk membedakan antara:

  • Jaringan atau lokasi apa pun
  • Semua jaringan dan lokasi tepercaya
  • Semua lokasi Jaringan yang Sesuai
  • Jaringan dan lokasi terpilih

Jaringan atau lokasi apa pun

Secara default, memilih Lokasi apa pun menyebabkan kebijakan diterapkan ke semua alamat IP, yang berarti alamat apa pun di Internet. Pengaturan ini tidak terbatas pada alamat IP yang Anda konfigurasi sebagai lokasi bernama. Saat Anda memilih Lokasi mana pun, Anda masih dapat mengecualikan lokasi tertentu dari kebijakan. Misalnya, Anda dapat menerapkan kebijakan ke semua lokasi kecuali lokasi tepercaya untuk mengatur cakupan ke semua lokasi, kecuali jaringan perusahaan.

Semua jaringan dan lokasi tepercaya

Opsi ini berlaku untuk:

  • Semua lokasi ditandai sebagai lokasi tepercaya.
  • IP tepercaya autentikasi multifaktor, jika dikonfigurasi.

IP tepercaya autentikasi multifaktor

Menggunakan bagian IP tepercaya dari pengaturan layanan autentikasi multifaktor tidak lagi direkomendasikan. Kontrol ini hanya menerima alamat IPv4 dan hanya boleh digunakan untuk skenario tertentu yang tercakup dalam artikel Mengonfigurasi pengaturan autentikasi multifaktor Microsoft Entra.

Jika Anda memiliki IP tepercaya ini yang dikonfigurasi, IP tepercaya ini muncul sebagai IP Tepercaya MFA dalam daftar lokasi untuk kondisi lokasi.

Semua lokasi Jaringan yang Sesuai

Organisasi dengan akses ke fitur pratinjau Akses Aman Global memiliki lokasi lain yang tercantum yang terdiri dari pengguna dan perangkat yang mematuhi kebijakan keamanan organisasi Anda. Untuk informasi selengkapnya, lihat bagian Mengaktifkan sinyal Akses Aman Global untuk Akses Bersyarat. Ini dapat digunakan dengan kebijakan Akses Bersyar untuk melakukan pemeriksaan jaringan yang sesuai untuk akses ke sumber daya.

Jaringan dan lokasi terpilih

Dengan opsi ini, Anda dapat memilih satu atau beberapa lokasi bernama. Agar kebijakan dengan pengaturan ini berlaku, pengguna perlu terhubung dari salah satu lokasi yang dipilih. Saat Anda memilih Pilih, Anda disajikan dengan daftar lokasi yang ditentukan akan terbuka. Daftar ini memperlihatkan nama, jenis, dan jika lokasi jaringan ditandai sebagai tepercaya.

Bagaimana lokasi ini ditentukan?

Lokasi ditentukan dan ada di pusat admin Microsoft Entra di bawah Lokasi Bernama Akses>Bersyar perlindungan.> Administrator dengan setidaknya peran Administrator Akses Bersyar bisa membuat dan memperbarui lokasi bernama.

Cuplikan layar lokasi bernama di pusat admin Microsoft Entra.

Lokasi bernama mungkin mencakup lokasi seperti rentang jaringan kantor pusat organisasi, rentang jaringan VPN, atau rentang yang ingin Anda blokir. Lokasi bernama berisi rentang alamat IPv4, rentang alamat IPv6, atau negara.

Rentang alamat IPv4 dan IPv6

Untuk menentukan lokasi bernama menurut rentang alamat IPv4 publik atau IPv6, Anda harus menyediakan:

  • Nama untuk lokasi.
  • Satu atau beberapa rentang IP publik.
  • Secara opsional Tandai sebagai lokasi tepercaya.

Lokasi bernama yang ditentukan oleh rentang alamat IPv4/IPv6 tunduk pada batasan berikut:

  • Tidak lebih dari 195 lokasi bernama.
  • Tidak lebih dari 2000 rentang IP per lokasi bernama.
  • Hanya masker CIDR yang lebih besar dari /8 yang diizinkan saat menentukan rentang IP.

Untuk perangkat di jaringan privat, alamat IP bukan IP klien perangkat pengguna di intranet (seperti 10.55.99.3), alamat yang digunakan oleh jaringan untuk terhubung ke internet publik (seperti 198.51.100.3).

Lokasi tepercaya

Administrator mungkin secara opsional menandai lokasi berbasis IP seperti rentang jaringan publik organisasi Anda sebagai tepercaya. Penandaan ini digunakan oleh fitur dalam beberapa cara.

  • Kebijakan Akses Bersyar dapat mencakup atau mengecualikan lokasi ini.
  • Masuk dari lokasi bernama tepercaya meningkatkan akurasi perhitungan risiko Microsoft Entra ID Protection.

Lokasi yang ditandai sebagai tepercaya tidak dapat dihapus tanpa terlebih dahulu menghapus penandaan tepercaya.

Negara

Organisasi dapat menentukan lokasi negara geografis berdasarkan alamat IP atau koordinat GPS.

Untuk menentukan lokasi bernama menurut negara, Anda harus:

  • Berikan Nama untuk lokasi tersebut.
  • Pilih untuk menentukan lokasi berdasarkan alamat IP atau koordinat GPS.
  • Tambahkan satu atau beberapa negara/wilayah.
  • Secara opsional pilih Sertakan negara/wilayah yang tidak dikenal.

Cuplikan layar pembuatan lokasi baru menggunakan negara.

Saat memilih Tentukan lokasi menurut alamat IP, MICROSOFT Entra ID menyelesaikan alamat IPv4 atau IPv6 pengguna ke negara atau wilayah, berdasarkan tabel pemetaan yang diperbarui secara berkala.

Saat memilih Tentukan lokasi berdasarkan koordinat GPS, pengguna harus menginstal aplikasi Microsoft Authenticator di perangkat seluler mereka. Setiap jam, sistem menghubungi aplikasi Microsoft Authenticator pengguna untuk mengumpulkan lokasi GPS perangkat seluler mereka.

  • Pertama kali pengguna harus berbagi lokasi mereka dari aplikasi Microsoft Authenticator, mereka menerima pemberitahuan di aplikasi. Pengguna harus membuka aplikasi dan memberikan izin lokasi. Selama 24 jam ke depan, jika pengguna masih mengakses sumber daya dan memberikan izin aplikasi untuk berjalan di latar belakang, lokasi perangkat dibagikan secara diam-diam sekali per jam.
  • Setelah 24 jam, pengguna harus membuka aplikasi dan menyetujui pemberitahuan.
  • Setiap kali pengguna berbagi lokasi GPS mereka, aplikasi melakukan deteksi jailbreak menggunakan logika yang sama dengan Microsoft Intune MAM SDK. Jika perangkat di-jailbreak, lokasi tersebut dianggap tidak sah dan pengguna tidak akan diberikan akses.
    • Aplikasi Microsoft Authenticator di Android menggunakan Google Play Integrity API untuk memfasilitasi deteksi jailbreak. Jika Google Play Integrity API tidak tersedia, permintaan ditolak dan pengguna tidak dapat mengakses sumber daya yang diminta kecuali kebijakan Akses Bersyarkat dinonaktifkan. Untuk informasi selengkapnya tentang aplikasi Microsoft Authenticator, lihat artikel Pertanyaan umum tentang aplikasi Microsoft Authenticator.
  • Pengguna dapat mengubah lokasi GPS seperti yang dilaporkan oleh perangkat iOS dan Android. Akibatnya, aplikasi Microsoft Authenticator menolak autentikasi di mana pengguna mungkin menggunakan lokasi yang berbeda dari lokasi GPS aktual perangkat seluler tempat aplikasi diinstal. Pengguna yang memodifikasi lokasi perangkat mereka mendapatkan pesan penolakan untuk kebijakan berbasis lokasi GPS.

Catatan

Kebijakan Akses Bersyarat dengan lokasi bernama berbasis GPS dalam mode khusus laporan meminta pengguna untuk membagikan lokasi GPS-nya, meskipun mereka tidak diblokir.

Lokasi GPS tidak berfungsi dengan metode autentikasi tanpa kata sandi.

Beberapa kebijakan Akses Bersyar mungkin meminta pengguna untuk lokasi GPS mereka sebelum semua diterapkan. Karena cara kebijakan Akses Bersyar diterapkan, pengguna mungkin ditolak aksesnya jika mereka melewati pemeriksaan lokasi tetapi gagal dalam kebijakan lain. Untuk informasi selengkapnya tentang penegakan kebijakan, lihat artikel Membangun kebijakan Akses Bersyarat.

Penting

Pengguna mungkin menerima perintah setiap jam yang memberi tahu mereka bahwa ID Microsoft Entra memeriksa lokasi mereka di aplikasi Authenticator. Fitur ini hanya boleh digunakan untuk melindungi aplikasi yang sangat sensitif di mana perilaku ini dapat diterima atau di mana akses harus dibatasi untuk negara/wilayah tertentu.

Sertakan negara/wilayah yang tidak dikenal

Beberapa alamat IP tidak dipetakan ke negara atau wilayah tertentu. Untuk menangkap lokasi IP ini, centang kotak Sertakan negara/wilayah yang tidak dikenal saat menentukan lokasi geografis. Opsi ini memungkinkan Anda memilih apakah alamat IP ini harus disertakan di lokasi bernama. Gunakan setelan ini saat kebijakan menggunakan lokasi bernama harus diterapkan ke lokasi yang tidak diketahui.

Pertanyaan umum

Apakah ada dukungan Graph API?

Dukungan Graph API untuk lokasi bernama tersedia, untuk informasi selengkapnya, lihat API namedLocation.

Bagaimana jika saya menggunakan proksi cloud atau VPN?

Saat Anda menggunakan proksi yang dihosting cloud atau solusi VPN, alamat IP yang digunakan Microsoft Entra ID saat mengevaluasi kebijakan adalah alamat IP proksi. Header X-Forwarded-For (XFF) yang berisi alamat IP publik pengguna tidak digunakan karena tidak terdapat validasi bahwa alamat berasal dari sumber tepercaya, sehingga akan menampilkan metode untuk memalsukan alamat IP.

Saat proksi cloud diberlakukan, kebijakan yang memerlukan perangkat yang bergabung atau mematuhi hibrid Microsoft Entra dapat lebih mudah dikelola. Menjaga daftar alamat IP yang digunakan oleh proksi yang dihosting cloud atau solusi VPN Anda menjadi hampir tidak mungkin.

Sebaiknya organisasi menggunakan Akses Aman Global untuk mengaktifkan pemulihan IP sumber untuk menghindari perubahan alamat ini dan menyederhanakan manajemen.

Kapan lokasi dievaluasi?

Kebijakan Akses Bersyarat dievaluasi saat:

  • Pengguna awalnya masuk ke aplikasi web, aplikasi seluler, atau desktop.
  • Aplikasi seluler atau desktop yang menggunakan autentikasi modern, menggunakan token refresh untuk memperoleh token akses baru. Secara default, pemeriksaan ini dilakukan satu jam sekali.

Pemeriksaan ini berarti untuk aplikasi seluler dan desktop menggunakan autentikasi modern, perubahan lokasi terdeteksi dalam waktu satu jam setelah mengubah lokasi jaringan. Untuk aplikasi seluler dan desktop yang tidak menggunakan autentikasi modern, kebijakan berlaku pada setiap permintaan token. Frekuensi permintaan dapat bervariasi berdasarkan aplikasi. Demikian pula, untuk aplikasi web, kebijakan berlaku pada masuk awal dan baik untuk masa pakai sesi di aplikasi web. Karena perbedaan masa pakai sesi di seluruh aplikasi, waktu antara evaluasi kebijakan bervariasi. Setiap kali aplikasi meminta token masuk baru, kebijakan diterapkan.

Secara default, MICROSOFT Entra ID mengeluarkan token setiap jam. Setelah pengguna pindah dari jaringan perusahaan, dalam satu jam kebijakan diberlakukan untuk aplikasi menggunakan autentikasi modern.

Kapan Anda mungkin memblokir lokasi?

Kebijakan yang menggunakan kondisi lokasi untuk memblokir akses dianggap ketat, dan harus dilakukan dengan hati-hati setelah pengujian menyeluruh. Beberapa instans menggunakan kondisi lokasi untuk memblokir autentikasi mungkin meliputi:

  • Memblokir negara/wilayah di mana organisasi Anda tidak pernah melakukan bisnis.
  • Memblokir rentang IP tertentu seperti:
    • IP berbahaya yang diketahui sebelum kebijakan firewall dapat diubah.
    • Tindakan dan aplikasi cloud yang sangat sensitif atau istimewa.
    • Berdasarkan rentang IP khusus pengguna seperti akses ke aplikasi akuntansi atau penggajian.

Konten terkait