De locatievoorwaarde gebruiken in beleid voor voorwaardelijke toegang

Zoals uitgelegd in het overzichtsartikel Beleid voor voorwaardelijke toegang, vormt dit hoofdzakelijk een eenvoudige, 'if, then'-instructie die signalen combineert, om beslissingen te nemen en organisatiebeleid af te dwingen. Een van de signalen die in het besluitvormingsproces kunnen worden opgenomen, is locatie.

Conceptueel voorwaardelijk signaal plus beslissing om afdwinging in te schakelen

Organisaties kunnen deze locatie gebruiken voor algemene taken, zoals:

  • Meervoudige verificatie vereisen voor gebruikers die toegang hebben tot een service wanneer ze zich buiten het bedrijfsnetwerk bevinden.
  • Toegang blokkeren voor gebruikers met toegang tot een service vanuit specifieke landen of regio's.

De locatie wordt bepaald door het openbare IP-adres dat een client aan Azure Active Directory- of GPS-coördinaten verstrekt via de Microsoft Authenticator-app. Beleid voor voorwaardelijke toegang is standaard van toepassing op alle IPv4- en IPv6-adressen.

Benoemde locaties

Locaties worden benoemd in de Azure Portal onder Azure Active Directory>Beveiliging>Voorwaardelijke toegang>Benoemde locaties. Deze benoemde netwerklocaties kunnen locaties bevatten, zoals de netwerkbereiken van het hoofdkantoor van een organisatie, VPN-netwerkbereiken of bereiken die u wilt blokkeren. De benoemde locaties kunnen worden gedefinieerd door IPv4-/IPv6-adresbereiken of per land.

Benoemde locaties in de Azure Portal

IP-adresbereiken

Als u een benoemde locatie wilt definiëren op basis van IPv4/IPv6-adresbereiken, moet u het volgende opgeven:

  • Een Naam voor de locatie
  • Een of meer IP-bereiken
  • Optioneel Als vertrouwde locatie markeren

Nieuwe IP-locaties in de Azure Portal

Benoemde locaties die zijn gedefinieerd door IPv4-/IPv6-adresbereiken zijn onderhevig aan de volgende beperkingen:

  • Maximaal 195 benoemde locaties configureren
  • Maximaal 2.000 IP-bereiken per benoemde locatie configureren
  • IPv4 en IPv6 worden ondersteund
  • Privé-IP-bereiken kunnen niet worden geconfigureerd
  • Het aantal IP-adressen in een bereik is beperkt. Alleen CIDR-maskers die groter zijn dan /8 zijn toegestaan bij het definiëren van een IP-bereik.

Vertrouwde locaties

Beheerders kunnen locaties benoemen die zijn gedefinieerd door IP-adresbereiken om vertrouwde benoemde locaties te kunnen zijn.

Aanmeldingen vanaf vertrouwde benoemde locaties dienen om de nauwkeurigheid van de risicoberekening van Azure AD Identity Protection te verbeteren, waardoor het aanmeldingsrisico van een gebruiker wordt verlaagd wanneer deze zich verifieert vanaf een locatie die is gemarkeerd als vertrouwd. Daarnaast kan op vertrouwde benoemde locaties worden gericht in het beleid voor voorwaardelijke toegang. U kunt bijvoorbeeld meervoudige verificatieregistratie beperken tot vertrouwde locaties.

Landen

Organisaties kunnen landlocatie bepalen op basis van IP-adres of GPS-coördinaten.

Als u een benoemde locatie per land wilt definiëren, moet u het volgende opgeven:

  • Een Naam voor de locatie
  • Kies om de locatie te bepalen via IP-adres of GPS-coördinaten
  • Een of meer landen toevoegen
  • Kies er eventueel voor om onbekende landen/regio's op te nemen

Land als locatie in de Azure Portal

Als u Locatie bepalen op IP-adres (alleen IPv4) selecteert, verzamelt het systeem het IP-adres van het apparaat waarop de gebruiker zich aanmeldt. Wanneer een gebruiker zich aanmeldt, wordt Azure AD het IPv4-adres van de gebruiker omgezet in een land of regio en wordt de toewijzing periodiek bijgewerkt. Organisaties kunnen benoemde locaties gebruiken die zijn gedefinieerd door landen om verkeer van landen te blokkeren waar ze geen zaken doen.

Notitie

Aanmeldingen van IPv6-adressen kunnen niet worden toegewezen aan landen of regio's en ze worden beschouwd als onbekende gebieden. U kunt alleen IPv4-adressen toewijzen aan landen of regio's.

Als u Locatie bepalen op GPS-coördinaten selecteert, moet de gebruiker de Microsoft Authenticator-app installeren op diens mobiele apparaat. Elk uur neemt het systeem contact op met de Microsoft Authenticator-app van de gebruiker om de GPS-locatie van het mobiele apparaat van de gebruiker te verzamelen.

De eerste keer dat de gebruiker diens locatie moet delen vanuit de Microsoft Authenticator-app, ontvangt hij/zij een melding in de app. De gebruiker moet de app openen en locatiemachtigingen verlenen.

Als de gebruiker gedurende de komende 24 uur nog steeds toegang heeft tot de bron en de app toestemming heeft gegeven om op de achtergrond uit te voeren, wordt de locatie van het apparaat één keer per uur gedeeld.

  • Na 24 uur moet de gebruiker de app openen en de melding goedkeuren.
  • Gebruikers die nummerkoppeling of aanvullende context hebben ingeschakeld in de Microsoft Authenticator-app, ontvangen geen meldingen op de achtergrond en moeten de app openen om meldingen goed te keuren.

Telkens wanneer de gebruiker diens GPS-locatie deelt, voert de app detectie op kraken uit (met dezelfde logica als de Intune MAM SDK). Als het apparaat is gekraakt, wordt de locatie niet als geldig beschouwd en krijgt de gebruiker geen toegang.

Een beleid voor voorwaardelijke toegang met op GPS gebaseerde benoemde locaties in de modus Alleen-rapport vraagt gebruikers om hun GPS-locatie te delen. Ook al worden ze niet geblokkeerd om zich aan te melden.

GPS-locatie werkt niet met verificatiemethoden zonder wachtwoord.

Toepassingen met meerdere beleidsregels voor voorwaardelijke toegang kunnen gebruikers vragen om hun GPS-locatie vóórdat alle beleidsregels voor voorwaardelijke toegang worden toegepast. Vanwege de manier waarop beleid voor voorwaardelijke toegang wordt toegepast, kan de toegang van een gebruiker worden geweigerd als deze de locatiecontrole doorgeeft, maar een ander beleid mislukt. Zie het artikel Een beleid voor voorwaardelijke toegang bouwen voor meer informatie over het afdwingen van beleid.

Belangrijk

Gebruikers kunnen elk uur prompts ontvangen, zodat ze weten dat Azure AD hun locatie controleert in de Authenticator-app. Het voorbeeld mag alleen worden gebruikt om zeer gevoelige apps te beveiligen waarbij dit gedrag acceptabel is of wanneer de toegang moet worden beperkt tot een specifiek land/specifieke regio.

Onbekende landen/regio's opnemen

Sommige IP-adressen worden niet toegewezen aan een specifiek land of specifieke regio, inclusief alle IPv6-adressen. Als u deze IP-locaties wilt vastleggen, schakelt u het selectievakje Onbekende landen/regio's opnemen in bij het definiëren van een geografische locatie. Met deze optie kunt u kiezen of deze IP-adressen moeten worden opgenomen in de benoemde locatie. Gebruik deze instelling wanneer het beleid met de benoemde locatie moet worden toegepast op onbekende locaties.

Vertrouwde IP-adressen voor MFA configureren

U kunt ook IP-adresbereiken configureren die het lokale intranet van uw organisatie vertegenwoordigen in de service-instellingen voor meervoudige verificatie. Met deze functie kunt u maximaal 50 IP-adresbereiken configureren. De IP-adresbereiken hebben een CIDR-indeling. Zie Vertrouwde IP-adressen voor meer informatie.

Als u de vertrouwde IP-adressen hebt geconfigureerd, worden deze weergegeven als vertrouwde IP-adressen met MFA in de lijst met locaties voor de locatievoorwaarde.

Meervoudige verificatie overslaan

Op de pagina met instellingen voor meervoudige verificatieservice kunt u zakelijke intranetgebruikers identificeren door meervoudige verificatie overslaan te selecteren voor aanvragen van federatieve gebruikers op mijn intranet. Deze instelling geeft aan dat binnen netwerkclaims van bedrijven, die worden uitgegeven door AD FS, moet worden vertrouwd en gebruikt om de gebruiker te identificeren als in het bedrijfsnetwerk. Zie voor meer informatie De functie Vertrouwde IP-adressen inschakelen met voorwaardelijke toegang.

Na het controleren van deze optie, met inbegrip van de benoemde locatie MFA Vertrouwde IP-adressen, is van toepassing op elk beleid waarvoor deze optie is geselecteerd.

Voor mobiele en desktoptoepassingen, die een lange levensduur van sessies hebben, wordt voorwaardelijke toegang periodiek opnieuw geëvalueerd. De standaardwaarde is één keer per uur. Wanneer de claim binnen het bedrijfsnetwerk alleen wordt uitgegeven op het moment van de eerste verificatie, heeft Azure AD mogelijk geen lijst met vertrouwde IP-bereiken. In dit geval is het moeilijker om te bepalen of de gebruiker zich nog in het bedrijfsnetwerk bevindt:

  1. Controleer of het IP-adres van de gebruiker zich in een van de vertrouwde IP-bereiken bevindt.
  2. Controleer of de eerste drie octetten van het IP-adres van de gebruiker overeenkomen met de eerste drie octetten van het IP-adres van de eerste verificatie. Het IP-adres wordt vergeleken met de eerste verificatie toen de claim binnen het bedrijfsnetwerk oorspronkelijk werd uitgegeven en de gebruikerslocatie werd gevalideerd.

Als beide stappen mislukken, wordt een gebruiker beschouwd als niet langer met een vertrouwd IP-adres.

Locatievoorwaarde in beleid

Als u de locatievoorwaarde configureert, kunt u onderscheid maken tussen:

  • Elke locatie
  • Alle vertrouwde locaties
  • Geselecteerde locaties

Elke locatie

Als u Elke locatie selecteert, wordt een beleid standaard toegepast op alle IP-adressen, wat elk adres op internet betekent. Deze instelling is niet beperkt tot IP-adressen die u hebt geconfigureerd als benoemde locatie. Wanneer u Elke locatie selecteert, kunt u nog steeds specifieke locaties uitsluiten van een beleid. U kunt bijvoorbeeld een beleid toepassen op alle locaties behalve vertrouwde locaties om het bereik in te stellen op alle locaties, met uitzondering van het bedrijfsnetwerk.

Alle vertrouwde locaties

Deze optie is van toepassing op:

  • Alle locaties die zijn gemarkeerd als vertrouwde locatie
  • Vertrouwde IP-adressen van MFA (indien geconfigureerd)

Geselecteerde locaties

Met deze optie kunt u een of meer benoemde locaties selecteren. Een gebruiker moet verbinding maken vanaf een van de geselecteerde locaties om een beleid met deze instelling toe kunnen te passen. Wanneer u Selecteert, wordt het benoemde netwerkselectiebeheer geopend waarin de lijst met benoemde netwerken wordt weergegeven. In de lijst wordt ook weergegeven of de netwerklocatie is gemarkeerd als vertrouwd. De benoemde locatie met de naam vertrouwde IP-adressen van MFA wordt gebruikt om de IP-instellingen op te nemen die kunnen worden geconfigureerd op de pagina met instellingsservices voor meervoudige verificatie.

IPv6-verkeer

Beleid voor voorwaardelijke toegang is standaard van toepassing op al het IPv6-verkeer. U kunt de specifieke IPv6-adresbereiken uitsluiten van een beleid voor Voorwaardelijke toegang als u niet wilt dat beleidsregels worden afgedwongen voor specifieke IPv6-bereiken. Als u bijvoorbeeld geen beleid wilt afdwingen voor gebruik op uw bedrijfsnetwerk en uw bedrijfsnetwerk wordt gehost op openbare IPv6-bereiken.

IPv6-verkeer identificeren in de Azure AD-rapporten over aanmeldingsactiviteit

U kunt IPv6-verkeer in uw tenant detecteren door te gaan naar de Azure AD-rapporten over aanmeldingsactiviteiten. Nadat u het activiteitenrapport hebt geopend, voegt u de kolom IP-adres toe. In deze kolom kunt u het IPv6-verkeer identificeren.

U kunt het IP-adres van de client ook vinden door op een rij in het rapport te klikken en vervolgens naar het tabblad Locatie te gaan in de details van aanmeldingsactiviteit.

Wanneer heeft mijn tenant IPv6-verkeer?

Azure Active Directory (Azure AD) biedt momenteel geen ondersteuning voor directe netwerkverbindingen die gebruikmaken van IPv6. Er zijn echter enkele gevallen waarin het verificatieverkeer wordt met een proxy omgeleid via een andere service. In die gevallen wordt het IPv6-adres gebruikt tijdens de beleidsevaluatie.

Het grootste deel van het IPv6-verkeer dat via een proxy naar Azure AD wordt geleid, is afkomstig van Microsoft Exchange Online. Indien beschikbaar, geeft Exchange de voorkeur aan IPv6-verbindingen. Als u daarom beleidsregels voor voorwaardelijke toegang hebt voor Exchange die zijn geconfigureerd voor specifieke IPv4-bereiken, moet u ervoor zorgen dat u ook de IPv6-bereiken van uw organisatie hebt toegevoegd. Het niet opnemen van IPv6-bereiken veroorzaakt onverwacht gedrag voor de volgende twee gevallen:

  • Wanneer een e-mailclient wordt gebruikt om verbinding te maken met Exchange Online met verouderde verificatie, kan Azure AD een IPv6-adres ontvangen. De eerste verificatieaanvraag gaat naar Exchange en wordt vervolgens naar Azure AD verzonden.
  • Wanneer Outlook Web Access (OWA) wordt gebruikt in de browser, wordt regelmatig gecontroleerd of aan alle beleidsregels voor voorwaardelijke toegang wordt voldaan. Deze controle wordt gebruikt om gevallen te ondervangen waarbij een gebruiker mogelijk is verplaatst van een toegestaan IP-adres naar een nieuwe locatie, zoals de koffiebar verderop in de straat. Als in dit geval een IPv6-adres wordt gebruikt en dit zich niet in een geconfigureerd bereik bevindt, kan de gebruiker de sessie laten onderbreken en worden teruggeleid naar Azure AD om opnieuw te verifiëren.

Als u Azure VNets gebruikt, hebt u verkeer dat afkomstig is van een IPv6-adres. Als u VNet-verkeer hebt geblokkeerd door beleid voor voorwaardelijke toegang, controleert u uw Azure AD-aanmeldingslogboek. Zodra u het verkeer hebt geïdentificeerd, kunt u het IPv6-adres ophalen dat wordt gebruikt en uitgesloten van uw beleid.

Notitie

Als u een IP CIDR-bereik voor één adres wilt opgeven, past u het /128-bits masker toe. Als u het IPv6-adres 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a ziet en dat enkele adres als een bereik wilt uitsluiten, zou u 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128 moeten gebruiken.

Wat u moet weten

Wanneer wordt een locatie geëvalueerd?

Beleid voor voorwaardelijke toegang wordt geëvalueerd wanneer:

  • Een gebruiker meldt zich in eerste instantie aan bij een web-app, een mobiele toepassing of een bureaubladtoepassing.
  • Een mobiele of desktoptoepassing die moderne verificatie gebruikt, gebruikt een vernieuwingstoken om een nieuw toegangstoken te verkrijgen. Deze controle is standaard één keer per uur.

Deze controle betekent dat voor mobiele en desktoptoepassingen met moderne verificatie een wijziging in de locatie wordt gedetecteerd binnen een uur na het wijzigen van de netwerklocatie. Voor mobiele en desktoptoepassingen die geen moderne verificatie gebruiken, wordt het beleid toegepast op elke tokenaanvraag. De frequentie van de aanvraag kan variëren op basis van de toepassing. Op dezelfde manier wordt voor webtoepassingen het beleid toegepast bij de eerste aanmelding en dit geldt voor de levensduur van de sessie in de webtoepassing. Vanwege verschillen in de levensduur van sessies in verschillende toepassingen, varieert de tijd tussen beleidsevaluaties ook. Telkens wanneer de toepassing een nieuw aanmeldingstoken aanvraagt, wordt het beleid toegepast.

Standaard geeft Azure AD per uur een token uit. Nadat u het bedrijfsnetwerk hebt verplaatst, wordt binnen een uur het beleid afgedwongen voor toepassingen met moderne verificatie.

IP-adres van gebruiker

Het IP-adres dat wordt gebruikt in beleidsevaluatie, is het openbare IP-adres van de gebruiker. Voor apparaten in een particulier netwerk is dit IP-adres niet het client-IP-adres van het apparaat van de gebruiker op het intranet, het adres dat door het netwerk wordt gebruikt om verbinding te maken met het openbare internet.

Bulksgewijs uploaden en downloaden van benoemde locaties

Wanneer u benoemde locaties maakt of bijwerkt, kunt u voor bulksgewijze updates een CSV-bestand uploaden of downloaden met de IP-bereiken. Een upload vervangt de IP-bereiken in de lijst door deze bereiken uit het bestand. Elke rij van het bestand bevat één IP-adresbereik in CIDR-indeling.

Cloud-proxy's en VPN's

Wanneer u een in de cloud gehoste proxy of VPN-oplossing gebruikt, is het IP-adres dat Azure AD tijdens het evalueren van een beleid gebruikt het IP-adres van de proxy. De X-Forwarded-For-header (XFF) die het openbare IP-adres van de gebruiker bevat, wordt niet gebruikt, omdat er geen validatie is dat deze afkomstig is van een vertrouwde bron, dus een methode voor het imiteren van een IP-adres.

Wanneer een cloud-proxy aanwezig is, kan een beleid dat wordt gebruikt voor het vereisen van een hybride Azure AD gekoppeld apparaat worden gebruikt, of de interne corpnet-claim van AD FS.

API-ondersteuning en PowerShell

Een voorbeeldversie van de Graph API voor benoemde locaties is beschikbaar voor meer informatie. Zie de namedLocation-API.

Volgende stappen