Menggunakan syarat lokasi dalam kebijakan Akses Bersyarat

Seperti yang dijelaskan dalam artikel gambaran umum, kebijakan Akses Bersyarat yang paling mendasar adalah pernyataan jika-maka yang menggabungkan sinyal, untuk membuat keputusan, dan memberlakukan kebijakan organisasi. Salah satu sinyal yang dapat dimasukkan ke dalam proses pengambilan keputusan adalah lokasi jaringan.

Sinyal Bersyarat konseptual ditambah keputusan untuk mendapatkan penegakan

Organisasi dapat menggunakan lokasi jaringan ini untuk tugas umum seperti:

  • Memerlukan autentikasi multifaktor bagi pengguna yang mengakses layanan saat berada di luar jaringan perusahaan.
  • Memblokir akses bagi pengguna yang mengakses layanan dari negara atau wilayah tertentu.

Lokasi ditentukan oleh alamat IP publik yang disediakan klien ke Azure Active Directory atau koordinat GPS yang disediakan oleh aplikasi Microsoft Authenticator. Kebijakan Akses Bersyarat secara default berlaku untuk semua alamat IPv4 dan IPv6.

Lokasi bernama

Lokasi ditetapkan pada portal Microsoft Azure di bagian Azure Active Directory>Keamanan>Akses Bersyarat>Lokasi bernama. Lokasi jaringan bernama ini dapat mencakup lokasi seperti rentang jaringan kantor pusat organisasi, rentang jaringan VPN, atau rentang yang ingin Anda blokir. Lokasi bernama dapat ditentukan oleh rentang alamat IPv4/IPv6 atau menurut negara/wilayah.

Lokasi bernama di portal Microsoft Azure

Rentang alamat IP

Untuk menentukan lokasi bernama menurut rentang alamat IPv4/IPv6, Anda harus menyediakan hal berikut:

  • Nama untuk lokasi
  • Satu atau beberapa rentang IP
  • Tandai sebagai lokasi tepercaya secara opsional

Lokasi IP baru di portal Microsoft Azure

Lokasi bernama yang ditentukan oleh rentang alamat IPv4/IPv6 tunduk pada batasan berikut:

  • Mengonfigurasi hingga 195 lokasi bernama
  • Mengonfigurasi hingga 2000 rentang IP per lokasi bernama
  • Rentang IPv4 dan IPv6 didukung
  • Rentang IP privat tidak bisa dikonfigurasi
  • Jumlah alamat IP yang ada dalam rentang terbatas. Hanya masker CIDR yang lebih besar dari /8 yang diizinkan saat menentukan rentang IP.

Lokasi tepercaya

Administrator bisa menetapkan lokasi yang ditentukan oleh rentang alamat IP untuk menjadi lokasi bernama yang tepercaya.

Masuk dari lokasi bernama tepercaya meningkatkan akurasi perhitungan risiko Azure AD Identity Protection, menurunkan risiko masuk pengguna saat mereka mengautentikasi dari lokasi yang ditandai sebagai tepercaya. Selain itu, lokasi bernama tepercaya dapat ditargetkan dalam kebijakan Akses Bersyarat. Misalnya, Anda mungkin membutuhkan pembatasan pendaftaran autentikasi multifaktor ke lokasi tepercaya.

Negara

Organisasi dapat menentukan lokasi negara berdasarkan alamat IP atau koordinat GPS.

Untuk menentukan lokasi bernama menurut negara, Anda harus menyediakan berikut ini:

  • Nama untuk lokasi
  • Pilih untuk menentukan lokasi berdasarkan alamat IP atau koordinat GPS
  • Menambahkan satu atau beberapa negara
  • Pilih secara opsional untuk Menyertakan negara/wilayah yang tidak dikenal

Negara sebagai lokasi di portal Microsoft Azure

Jika Anda memilih Tentukan lokasi berdasarkan alamat IP (hanya IPv4) , sistem akan mengumpulkan alamat IP perangkat tempat pengguna masuk. Saat pengguna masuk, Azure AD menyelesaikan alamat IPv4 pengguna ke negara atau wilayah, dan pemetaan diperbarui secara berkala. Organisasi bisa menggunakan lokasi bernama yang ditentukan oleh negara untuk memblokir lalu lintas dari negara di mana mereka tidak berbisnis.

Catatan

Masuk dari alamat IPv6 tidak dapat dipetakan ke negara atau wilayah, dan dianggap sebagai area yang tidak diketahui. Hanya alamat IPv4 yang dapat dipetakan ke negara atau wilayah.

Jika Anda memilih Tentukan lokasi dengan koordinat GPS, pengguna harus menginstal aplikasi Microsoft Authenticator di perangkat seluler mereka. Setiap jam, sistem akan menghubungi aplikasi Microsoft Authenticator pengguna untuk mengumpulkan lokasi GPS perangkat seluler pengguna.

Pertama kali pengguna diharuskan untuk membagikan lokasinya dari aplikasi Microsoft Authenticator, pengguna akan menerima pemberitahuan di aplikasi. Pengguna harus membuka aplikasi dan memberikan izin lokasi.

Selama 24 jam ke depan, jika pengguna masih mengakses sumber daya dan memberikan izin aplikasi untuk berjalan di latar belakang, lokasi perangkat dibagikan secara diam-diam sekali per jam.

  • Setelah 24 jam, pengguna harus membuka aplikasi dan menyetujui pemberitahuan.
  • Pengguna yang memiliki pencocokan nomor atau konteks tambahan yang diaktifkan di aplikasi Microsoft Authenticator tidak akan menerima pemberitahuan secara diam-diam, dan harus membuka aplikasi untuk menyetujui pemberitahuan.

Setiap kali pengguna membagikan lokasi GPS-nya, aplikasi melakukan deteksi jailbreak (Menggunakan logika yang sama dengan Intune MAM SDK). Jika perangkat di-jailbreak, lokasi tersebut dianggap tidak sah dan pengguna tidak akan diberikan akses.

Kebijakan Akses Bersyarat dengan lokasi bernama berbasis GPS dalam mode khusus laporan meminta pengguna untuk membagikan lokasi GPS-nya, meskipun mereka tidak diblokir.

Lokasi GPS tidak berfungsi dengan metode autentikasi tanpa kata sandi.

Beberapa aplikasi kebijakan akses bersyarat bisa meminta pengguna untuk lokasi GPS mereka sebelum semua kebijakan Akses Bersyarat diterapkan. Karena cara kebijakan Akses Bersyarat diterapkan, pengguna dapat ditolak aksesnya jika mereka melewati pemeriksaan lokasi namun gagal dalam kebijakan lain. Untuk informasi selengkapnya tentang penegakan kebijakan, lihat artikel Membangun kebijakan Akses Bersyarat.

Penting

Pengguna dapat menerima petunjuk setiap jam yang memberi tahu mereka bahwa Azure AD sedang memeriksa lokasi mereka di aplikasi Authenticator. Pratinjau hanya boleh digunakan untuk melindungi aplikasi yang sangat sensitif di mana perilaku ini dapat diterima atau di mana akses perlu dibatasi ke negara / wilayah tertentu.

Sertakan negara/wilayah yang tidak dikenal

Beberapa alamat IP tidak dipetakan pada negara atau wilayah tertentu, termasuk semua alamat IPv6. Untuk menangkap lokasi IP ini, centang kotak Sertakan negara/wilayah yang tidak dikenal saat menentukan lokasi geografis. Opsi ini memungkinkan Anda memilih apakah alamat IP ini harus disertakan di lokasi bernama. Gunakan setelan ini saat kebijakan menggunakan lokasi bernama harus diterapkan ke lokasi yang tidak diketahui.

Mengonfigurasi IP tepercaya MFA

Anda juga dapat mengonfigurasi rentang alamat IP yang mewakili intranet lokal organisasi Anda pada pengaturan layanan autentikasi multifaktor. Fitur ini memungkinkan Anda mengonfigurasi hingga 50 rentang alamat IP. Rentang alamat IP dalam format CIDR. Untuk mengetahui informasi selengkapnya, lihat IP Tepercaya.

Jika IP Tepercaya dikonfigurasi, IP tersebut muncul sebagai IP Tepercaya MFA dalam daftar lokasi untuk kondisi lokasi.

Melewati autentikasi multifaktor

Di halaman pengaturan layanan autentikasi multifaktor, Anda bisa mengidentifikasi pengguna intranet perusahaan dengan memilih Melewati autentikasi multifaktor untuk permintaan dari pengguna federasi pada intranet saya. Pengaturan ini menunjukkan bahwa klaim di dalam jaringan perusahaan, yang dikeluarkan oleh AD FS, harus dipercaya dan digunakan untuk mengidentifikasi pengguna sebagai berada di jaringan perusahaan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan fitur IP Tepercaya dengan menggunakan Akses Bersyarat.

Setelah mencentang opsi ini, termasuk IP Tepercaya MFA lokasi bernama akan berlaku untuk kebijakan apa pun jika opsi ini dipilih.

Untuk aplikasi seluler dan desktop, yang memiliki masa pakai sesi yang lama, Akses Bersyarat dievaluasi kembali secara berkala. Defaultnya adalah satu jam sekali. Saat klaim di dalam jaringan perusahaan hanya dikeluarkan pada saat autentikasi awal, Azure AD mungkin tidak memiliki daftar rentang IP tepercaya. Dalam hal ini, lebih sulit untuk menentukan apakah pengguna masih berada dalam jaringan perusahaan:

  1. Periksa apakah alamat IP pengguna berada di salah satu rentang IP tepercaya.
  2. Periksa apakah tiga oktet pertama alamat IP pengguna cocok dengan tiga oktet pertama alamat IP autentikasi awal. Alamat IP dibandingkan dengan autentikasi awal saat klaim di dalam jaringan perusahaan awalnya dikeluarkan dan lokasi pengguna divalidasi.

Jika kedua langkah gagal, pengguna dianggap tidak lagi berada di IP tepercaya.

Syarat lokasi dalam kebijakan

Saat mengonfigurasi syarat lokasi, Anda memiliki opsi untuk membedakan antara:

  • Lokasi mana pun
  • Semua lokasi tepercaya
  • Lokasi yang dipilih

Lokasi mana pun

Secara default, memilih Lokasi mana pun menyebabkan kebijakan diterapkan ke semua alamat IP, yang berarti alamat mana pun di Internet. Pengaturan ini tidak terbatas untuk alamat IP yang telah Anda konfigurasi sebagai lokasi bernama. Saat Anda memilih Lokasi mana pun, Anda masih dapat mengecualikan lokasi tertentu dari kebijakan. Misalnya, Anda dapat menerapkan kebijakan ke semua lokasi kecuali lokasi tepercaya untuk mengatur cakupan ke semua lokasi, kecuali jaringan perusahaan.

Semua lokasi tepercaya

Opsi ini berlaku untuk:

  • Semua lokasi yang telah ditandai sebagai lokasi tepercaya
  • IP Tepercaya MFA (jika dikonfigurasi)

Lokasi yang dipilih

Dengan opsi ini, Anda dapat memilih satu atau beberapa lokasi bernama. Agar kebijakan dengan pengaturan ini berlaku, pengguna perlu terhubung dari salah satu lokasi yang dipilih. Saat Memilih kontrol pilihan jaringan bernama yang menunjukkan daftar jaringan bernama terbuka. Daftar ini juga menunjukkan apakah lokasi jaringan telah ditandai sebagai tepercaya. Lokasi bernama yang disebut IP Tepercaya MFA digunakan untuk menyertakan pengaturan IP yang dapat dikonfigurasi pada halaman pengaturan layanan autentikasi multifaktor.

Lalu lintas IPv6

Secara default, kebijakan Akses Bersyarat akan berlaku untuk semua lalu lintas IPv6. Anda dapat mengecualikan rentang alamat IPv6 tertentu dari kebijakan Akses Bersyarat jika tidak ingin kebijakan diberlakukan untuk rentang IPv6 tertentu. Misalnya, jika Anda ingin tidak memberlakukan kebijakan untuk penggunaan di jaringan perusahaan Anda, dan jaringan perusahaan Anda dihosting di rentang IPv6 publik.

Mengidentifikasi lalu lintas IPv6 di laporan aktivitas Masuk Azure AD

Anda dapat menemukan lalu lintas IPv6 di penyewa dengan membuka laporan aktivitas masuk Azure AD. Setelah laporan aktivitas terbuka, tambahkan kolom "Alamat IP". Kolom ini akan memberi Anda untuk mengidentifikasi lalu lintas IPv6.

Anda juga dapat menemukan IP klien dengan mengklik baris dalam laporan, lalu masuk ke tab "Lokasi" di detail aktivitas masuk.

Kapan penyewa saya akan memiliki lalu lintas IPv6?

Azure Active Directory (Azure AD) saat ini tidak mendukung koneksi jaringan langsung yang menggunakan IPv6. Namun, ada beberapa kasus bahwa lalu lintas autentikasi diproksikan melalui layanan lain. Dalam kasus ini, alamat IPv6 akan digunakan selama evaluasi kebijakan.

Sebagian besar lalu lintas IPv6 yang akan diproksikan ke Azure AD berasal dari Microsoft Exchange Online. Jika tersedia, Exchange akan lebih memilih koneksi IPv6. Jadi, jika Anda memiliki kebijakan Akses Bersyarat untuk Exchange, yang telah dikonfigurasi untuk rentang IPv4 tertentu, Anda dapat memastikan bahwa Anda juga telah menambahkan rentang IPv6 organisasi. Tidak menyertakan rentang IPv6 akan menyebabkan perilaku tak terduga untuk dua kasus berikut:

  • Saat klien email digunakan untuk menghubungkan ke Exchange Online dengan autentikasi warisan, Azure AD mungkin menerima alamat IPv6. Permintaan autentikasi awal masuk ke Exchange, kemudian diproksikan ke Azure AD.
  • Saat digunakan di browser, Outlook Web Access (OWA) akan secara berkala memverifikasi bahwa semua kebijakan Akses Bersyarat terus dipenuhi. Pemeriksaan ini digunakan untuk mengambil kasus saat pengguna mungkin telah berpindah dari alamat IP yang diizinkan ke lokasi baru, seperti kedai kopi di jalan. Dalam hal ini, jika alamat IPv6 digunakan dan jika alamat IPv6 tidak dalam rentang yang dikonfigurasi, sesi pengguna mungkin terganggu dan mereka diarahkan kembali ke Microsoft Azure Active Directory untuk autentikasi ulang.

jika Anda menggunakan Azure VNets, Anda akan memiliki lalu lintas yang berasal dari alamat IPv6. Jika Anda memiliki lalu lintas VNet yang diblokir oleh kebijakan Akses Bersyarat, periksa log masuk Azure AD Anda. Setelah mengidentifikasi lalu lintas, Anda bisa mendapatkan alamat IPv6 yang digunakan dan mengecualikannya dari kebijakan Anda.

Catatan

Jika Anda ingin menentukan rentang IP CIDR untuk satu alamat, terapkan masker /128 bit. Jika Anda melihat alamat IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a dan ingin mengecualikan alamat tunggal tersebut sebagai rentang, Anda akan menggunakan 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Apa yang harus Anda ketahui

Kapan lokasi dievaluasi?

Kebijakan Akses Bersyarat dievaluasi saat:

  • Pengguna awalnya masuk ke aplikasi web, aplikasi seluler, atau desktop.
  • Aplikasi seluler atau desktop yang menggunakan autentikasi modern, menggunakan token refresh untuk memperoleh token akses baru. Secara default, pemeriksaan ini dilakukan satu jam sekali.

Pemeriksaan ini berarti untuk aplikasi seluler dan desktop yang menggunakan autentikasi modern, perubahan lokasi akan terdeteksi dalam waktu satu jam setelah mengubah lokasi jaringan. Untuk aplikasi seluler dan desktop yang tidak menggunakan autentikasi modern, kebijakan diterapkan pada setiap permintaan token. Frekuensi permintaan dapat bervariasi berdasarkan aplikasi. Demikian pula, untuk aplikasi web, kebijakan diterapkan pada masuk awal dan baik untuk masa pakai sesi di aplikasi web. Karena perbedaan masa pakai sesi pada seluruh aplikasi, waktu antara evaluasi kebijakan juga akan bervariasi. Setiap kali aplikasi meminta token masuk baru, kebijakan diterapkan.

Secara default, Azure AD mengeluarkan token setiap jam. Setelah keluar dari jaringan perusahaan, dalam waktu satu jam kebijakan diberlakukan untuk aplikasi menggunakan autentikasi modern.

Alamat IP pengguna

Alamat IP yang digunakan dalam evaluasi kebijakan adalah alamat IP publik pengguna. Untuk perangkat pada jaringan privat, alamat IP ini bukan IP klien perangkat pengguna pada intranet, namun alamat IP ini adalah alamat yang digunakan oleh jaringan untuk terhubung ke internet publik.

Mengunggah dan mengunduh lokasi bernama secara massal

Saat Anda membuat atau memperbarui lokasi bernama, untuk pembaruan massal, Anda dapat mengunggah atau mengunduh file CSV dengan rentang IP. Unggahan menggantikan rentang IP dalam daftar dengan rentang tersebut dari file. Setiap baris file berisi satu rentang Alamat IP dalam format CIDR.

Proksi dan VPN cloud

Saat Anda menggunakan solusi VPN atau proksi yang dihosting cloud, alamat IP yang digunakan Azure AD saat mengevaluasi kebijakan adalah alamat IP proksi. Header X-Forwarded-For (XFF) yang berisi alamat IP publik pengguna tidak digunakan karena tidak terdapat validasi bahwa alamat berasal dari sumber tepercaya, sehingga akan menampilkan metode untuk memalsukan alamat IP.

Saat proksi cloud diterapkan, kebijakan yang digunakan untuk meminta perangkat gabungan Azure AD hibrid dapat digunakan, atau klaim di dalam corpnet dari AD FS.

Dukungan API dan PowerShell

Versi pratinjau Graph API untuk lokasi bernama tersedia, untuk informasi selengkapnya, lihat namedLocation API.

Langkah berikutnya