Bagikan melalui

Akses Bersyarat: Asignasi jaringan

Administrator dapat membuat kebijakan yang menargetkan lokasi jaringan tertentu sebagai sinyal bersama dengan kondisi lain dalam proses pengambilan keputusan mereka. Mereka dapat menyertakan atau mengecualikan lokasi jaringan ini sebagai bagian dari konfigurasi kebijakan mereka. Lokasi jaringan ini mungkin mencakup informasi jaringan IPv4 atau IPv6 publik, negara/wilayah, area tidak dikenal yang tidak dipetakan ke negara/wilayah tertentu, atau jaringan yang mematuhi Akses Aman Global.

Diagram yang memperlihatkan konsep sinyal Akses Bersyarat dan keputusan untuk menegakkan kebijakan organisasi.

Catatan

Kebijakan Akses Bersyarkat diberlakukan setelah autentikasi faktor pertama selesai. Akses Bersyarat tidak dimaksudkan untuk menjadi garis depan pertahanan organisasi untuk skenario seperti serangan denial-of-service (DoS), tetapi dapat menggunakan sinyal dari peristiwa ini untuk menentukan akses.

Organisasi mungkin menggunakan lokasi ini untuk tugas umum seperti:

  • Memerlukan autentikasi multifaktor bagi pengguna yang mengakses layanan saat berada di luar jaringan perusahaan.
  • Memblokir akses dari negara-negara tertentu tempat organisasi Anda tidak beroperasi.

Lokasi pengguna ditemukan menggunakan alamat IP publik mereka atau koordinat GPS yang disediakan oleh aplikasi Microsoft Authenticator. Kebijakan Akses Bersyarat berlaku untuk semua lokasi secara bawaan.

Kiat

Kondisi Lokasi dipindahkan dan diganti namanya menjadi Jaringan. Awalnya, kondisi ini muncul di tingkat Penugasan dan di bawah Kondisi.

Pembaruan atau perubahan muncul di kedua lokasi. Fungsionalitasnya tetap sama, dan kebijakan yang ada menggunakan Lokasi terus berfungsi tanpa perubahan.

Cuplikan layar yang memperlihatkan kondisi pengaturan jaringan dalam kebijakan Akses Bersyarat.

Saat dikonfigurasi dalam kebijakan

Saat mengonfigurasi syarat lokasi, Anda memiliki opsi untuk membedakan antara:

  • Jaringan atau lokasi apa pun
  • Semua jaringan dan lokasi tepercaya
  • Semua lokasi Jaringan yang Sesuai
  • Jaringan dan lokasi terpilih

Jaringan atau lokasi apa pun

Memilih Lokasi mana pun menerapkan kebijakan ke semua alamat IP, termasuk alamat apa pun di Internet. Pengaturan ini tidak terbatas pada alamat IP yang Anda konfigurasi sebagai lokasi bernama. Saat memilih Lokasi mana pun, Anda dapat mengecualikan lokasi tertentu dari kebijakan. Misalnya, terapkan kebijakan ke semua lokasi kecuali lokasi tepercaya untuk mengatur cakupan ke semua lokasi kecuali jaringan perusahaan.

Semua jaringan dan lokasi tepercaya

Opsi ini berlaku untuk:

  • Semua lokasi ditandai sebagai lokasi tepercaya.
  • Autentikasi multifaktor dengan IP tepercaya, jika dikonfigurasi.

IP tepercaya untuk autentikasi multifaktor

Menggunakan bagian IP tepercaya dari pengaturan layanan autentikasi multifaktor tidak disarankan. Kontrol ini hanya menerima alamat IPv4 dan ditujukan untuk skenario tertentu yang tercakup dalam artikel Mengonfigurasi pengaturan autentikasi multifaktor Microsoft Entra.

Jika Anda memiliki IP tepercaya yang dikonfigurasi, maka IP tersebut akan muncul sebagai IP Tepercaya MFA dalam daftar lokasi untuk kondisi lokasi.

Semua lokasi Jaringan yang Sesuai

Organisasi dengan akses ke fitur Akses Aman Global melihat lokasi lain yang tercantum, yang terdiri dari pengguna dan perangkat yang mematuhi kebijakan keamanan organisasi Anda. Untuk informasi selengkapnya, lihat Mengaktifkan sinyal Akses Aman Global untuk Akses Bersyarat. Ini dapat digunakan dengan kebijakan Conditional Access untuk melakukan pemeriksaan jaringan yang mematuhi ketentuan untuk akses ke sumber daya.

Jaringan dan lokasi terpilih

Dengan opsi ini, pilih satu atau beberapa lokasi bernama. Agar kebijakan dengan pengaturan ini diterapkan, pengguna harus tersambung dari salah satu lokasi yang dipilih. Saat Anda memilih Pilih, daftar lokasi yang ditentukan akan terbuka. Daftar ini memperlihatkan nama, jenis, dan apakah lokasi jaringan ditandai sebagai tepercaya.

Bagaimana lokasi ini ditentukan?

Lokasi ada di pusat admin Microsoft Entra di bawah Entra ID>, Akses Bersyarat>, dan Lokasi Bernama. Admin dengan peran minimal Administrator Akses Bersyar dapat membuat dan memperbarui lokasi bernama.

Tangkapan layar dari lokasi tertentu di pusat admin Microsoft Entra.

Lokasi bernama mungkin menyertakan rentang jaringan kantor pusat organisasi, rentang jaringan VPN, atau rentang yang ingin Anda blokir. Lokasi bernama berisi rentang alamat IPv4, rentang alamat IPv6, atau negara.

Rentang alamat IPv4 dan IPv6

Untuk menentukan lokasi bernama menurut rentang alamat IPv4 atau IPv6 publik, berikan:

  • Nama untuk lokasi.
  • Satu atau beberapa rentang IP publik.
  • Secara opsional Tandai sebagai lokasi tepercaya.

Lokasi bernama yang ditentukan oleh rentang alamat IPv4 atau IPv6 memiliki batasan berikut:

  • Tidak lebih dari 195 lokasi bernama.
  • Tidak lebih dari 2000 rentang IP per lokasi yang diberi nama.
  • Hanya masker CIDR yang lebih besar dari /8 yang diizinkan saat menentukan rentang IP.

Untuk perangkat di jaringan privat, alamat IP bukan IP klien perangkat pengguna di intranet (seperti 10.55.99.3), alamat yang digunakan oleh jaringan untuk terhubung ke internet publik (seperti 198.51.100.3).

Lokasi tepercaya

Administrator dapat secara opsional menandai lokasi berbasis IP, seperti rentang jaringan publik organisasi Anda, sebagai tepercaya. Penandaan ini digunakan oleh fitur dalam beberapa cara.

  • Kebijakan Akses Bersyarat bisa mencakup atau mengecualikan lokasi-lokasi ini.
  • Masuk dari lokasi bernama tepercaya meningkatkan akurasi Microsoft Entra ID Protection dalam menghitung risiko.

Lokasi yang ditandai sebagai tepercaya tidak dapat dihapus tanpa terlebih dahulu menghapus penandaan tepercaya.

Negara

Organisasi dapat menentukan negara geografis atau lokasi wilayah berdasarkan alamat IP atau koordinat GPS.

Untuk menentukan lokasi bernama menurut negara atau wilayah, lakukan hal berikut:

  • Berikan Nama untuk lokasi tersebut.
  • Pilih untuk menentukan lokasi berdasarkan alamat IP atau koordinat GPS.
  • Tambahkan satu atau beberapa negara/wilayah.
  • Secara opsional pilih Sertakan negara/wilayah yang tidak dikenal.

Cuplikan layar pembuatan lokasi baru menggunakan negara.

Saat memilih Tentukan lokasi menurut alamat IP, MICROSOFT Entra ID menyelesaikan alamat IPv4 atau IPv6 pengguna ke negara atau wilayah, berdasarkan tabel pemetaan yang diperbarui secara berkala.

Saat memilih Tentukan lokasi berdasarkan koordinat GPS, pengguna harus menginstal aplikasi Microsoft Authenticator di perangkat seluler mereka. Setiap jam, sistem menghubungi aplikasi Microsoft Authenticator pengguna untuk mengumpulkan lokasi GPS perangkat seluler mereka.

  • Pertama kali pengguna harus berbagi lokasi mereka dari aplikasi Microsoft Authenticator, mereka menerima pemberitahuan di aplikasi. Pengguna harus membuka aplikasi dan memberikan izin lokasi. Selama 24 jam ke depan, jika pengguna masih mengakses sumber daya dan memberikan izin aplikasi untuk berjalan di latar belakang, lokasi perangkat dibagikan secara diam-diam sekali per jam.
  • Setelah 24 jam, pengguna harus membuka aplikasi dan menyetujui pemberitahuan.
  • Setiap kali pengguna berbagi lokasi GPS mereka, aplikasi melakukan deteksi jailbreak menggunakan logika yang sama dengan Microsoft Intune MAM SDK. Jika perangkat di-jailbreak, lokasi tersebut dianggap tidak sah dan pengguna tidak akan diberikan akses.
    • Aplikasi Microsoft Authenticator di Android menggunakan Google Play Integrity API untuk memfasilitasi deteksi jailbreak. Jika Google Play Integrity API tidak tersedia, permintaan ditolak dan pengguna tidak dapat mengakses sumber daya yang diminta kecuali kebijakan Akses Bersyarkat dinonaktifkan. Untuk informasi selengkapnya tentang aplikasi Microsoft Authenticator, lihat artikel Pertanyaan umum tentang aplikasi Microsoft Authenticator.
  • Pengguna dapat mengubah lokasi GPS seperti yang dilaporkan oleh perangkat iOS dan Android. Akibatnya, aplikasi Microsoft Authenticator menolak autentikasi di mana pengguna mungkin menggunakan lokasi yang berbeda dari lokasi GPS aktual perangkat seluler tempat aplikasi diinstal. Pengguna yang memodifikasi lokasi perangkat mereka mendapatkan pesan penolakan untuk kebijakan berbasis lokasi GPS.
  • Kode negara yang dikembalikan tergantung pada API platform perangkat: Misalnya satu platform mungkin melaporkan AS untuk Puerto Riko, sementara yang lain melaporkan PR.

Catatan

Kebijakan Akses Bersyarat dengan lokasi bernama berbasis GPS dalam mode khusus laporan meminta pengguna untuk membagikan lokasi GPS-nya, meskipun mereka tidak diblokir.

Lokasi GPS dapat digunakan dengan masuk telepon tanpa kata sandi hanya jika pemberitahuan push MFA juga diaktifkan. Pengguna dapat menggunakan Microsoft Authenticator untuk masuk, tetapi mereka juga perlu menyetujui pemberitahuan push MFA berikutnya untuk berbagi lokasi GPS mereka.

Lokasi GPS tidak berfungsi ketika hanya metode autentikasi tanpa kata sandi yang diatur.

Beberapa kebijakan Akses Bersyarat mungkin meminta pengguna memberikan lokasi GPS mereka sebelum semua kebijakan diterapkan. Karena cara kebijakan Akses Bersyarat diterapkan, pengguna mungkin ditolak aksesnya jika mereka melewati pemeriksaan lokasi tetapi gagal dalam memenuhi kebijakan lain. Untuk informasi selengkapnya tentang penegakan kebijakan, silakan merujuk ke artikel Membangun kebijakan Akses Bersyarat.

Penting

Pengguna mungkin menerima perintah setiap jam yang memberi tahu mereka bahwa ID Microsoft Entra memeriksa lokasi mereka di aplikasi Authenticator. Fitur ini hanya boleh digunakan untuk melindungi aplikasi yang sangat sensitif di mana perilaku ini dapat diterima atau di mana akses harus dibatasi untuk negara/wilayah tertentu.

Sertakan negara/wilayah yang tidak dikenal

Beberapa alamat IP tidak dapat dipetakan ke negara atau wilayah tertentu. Untuk menangkap lokasi IP ini, centang kotak Sertakan negara/wilayah yang tidak diketahui saat menentukan lokasi geografis. Opsi ini memungkinkan Anda memilih apakah alamat IP ini harus disertakan di lokasi bernama. Gunakan setelan ini saat kebijakan menggunakan lokasi bernama harus diterapkan ke lokasi yang tidak diketahui.

Pertanyaan umum

Apakah ada dukungan Graph API?

Dukungan Graph API untuk lokasi yang diberi nama tersedia. Untuk informasi selengkapnya, lihat API namedLocation.

Bagaimana jika saya menggunakan proksi cloud atau VPN?

Saat Anda menggunakan proksi yang dihosting cloud atau solusi VPN, alamat IP yang digunakan Microsoft Entra ID saat mengevaluasi kebijakan adalah alamat IP proksi. Header X-Forwarded-For (XFF) yang berisi alamat IP publik pengguna tidak digunakan karena tidak ada validasi bahwa header tersebut berasal dari sumber tepercaya. Kurangnya validasi ini dapat memungkinkan memalsukan alamat IP.

Saat proksi cloud diberlakukan, kebijakan yang memerlukan perangkat yang bergabung atau mematuhi hibrid Microsoft Entra dapat lebih mudah dikelola. Menyimpan daftar alamat IP up-to-date yang digunakan oleh proksi yang dihosting cloud atau solusi VPN Anda hampir tidak mungkin.

Sebaiknya organisasi menggunakan Akses Aman Global untuk mengaktifkan pemulihan IP sumber untuk menghindari perubahan alamat ini dan menyederhanakan manajemen.

Kapan lokasi dievaluasi?

Kebijakan Akses Kondisional mengevaluasi kondisi saat:

  • Pengguna awalnya masuk ke aplikasi web, aplikasi seluler, atau desktop.
  • Aplikasi seluler atau desktop yang menggunakan autentikasi modern, menggunakan token refresh untuk memperoleh token akses baru. Secara default, pemeriksaan ini terjadi sekali dalam satu jam.

Pemeriksaan ini berarti untuk aplikasi seluler dan desktop menggunakan autentikasi modern, perubahan lokasi terdeteksi dalam waktu satu jam setelah mengubah lokasi jaringan. Untuk aplikasi seluler dan desktop yang tidak menggunakan autentikasi modern, kebijakan berlaku pada setiap permintaan token. Frekuensi permintaan dapat bervariasi berdasarkan aplikasi. Demikian pula, untuk aplikasi web, kebijakan berlaku saat masuk pertama kali dan berlaku selama masa pakai sesi di aplikasi web. Karena perbedaan masa pakai sesi di seluruh aplikasi, waktu antara evaluasi kebijakan bervariasi. Setiap kali aplikasi meminta token masuk baru, kebijakan diterapkan.

Secara default, MICROSOFT Entra ID mengeluarkan token setiap jam. Setelah pengguna pindah dari jaringan perusahaan, dalam satu jam kebijakan diberlakukan untuk aplikasi menggunakan autentikasi modern.

Kapan Anda mungkin memblokir lokasi?

Kebijakan yang menggunakan kondisi lokasi untuk memblokir akses dianggap ketat, dan harus dilakukan dengan hati-hati setelah pengujian menyeluruh. Beberapa contoh penggunaan kondisi lokasi untuk memblokir autentikasi mungkin meliputi:

  • Memblokir negara/wilayah di mana organisasi Anda tidak pernah melakukan bisnis.
  • Memblokir rentang IP tertentu, seperti:
    • IP berbahaya yang diketahui sebelum kebijakan firewall dapat diubah.
    • Tindakan dan aplikasi cloud yang sangat sensitif atau istimewa.
    • Berdasarkan rentang IP khusus pengguna seperti akses ke aplikasi akuntansi atau penggajian.

Konten terkait