Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beheerders kunnen beleidsregels maken die zich richten op specifieke netwerklocaties als signaal, samen met andere voorwaarden in hun besluitvormingsproces. Ze kunnen deze netwerklocaties opnemen of uitsluiten als onderdeel van hun beleidsconfiguratie. Deze netwerklocaties kunnen openbare IPv4- of IPv6-netwerkgegevens, landen/regio's, onbekende gebieden bevatten die niet zijn toegewezen aan specifieke landen/regio's of het compatibele netwerk van Global Secure Access.
Notitie
Beleid voor voorwaardelijke toegang wordt toegepast nadat de eerste-factorauthenticatie is voltooid. Voorwaardelijke toegang is niet bedoeld als de eerste verdedigingslinie van een organisatie, maar kan signaleren van gebeurtenissen zoals DoS-aanvallen (Denial-of-Service-aanvallen) gebruiken om de toegang te bepalen.
Organisaties kunnen deze locaties gebruiken voor algemene taken, zoals:
- Meervoudige verificatie vereisen voor gebruikers die toegang hebben tot een service wanneer ze zich buiten het bedrijfsnetwerk bevinden.
- Toegang blokkeren vanuit specifieke landen waar uw organisatie nooit van werkt.
De locatie van een gebruiker wordt gevonden met behulp van het openbare IP-adres of de GPS-coördinaten van de Microsoft Authenticator-app. Beleid voor voorwaardelijke toegang is standaard van toepassing op alle locaties.
Aanbeveling
De locatievoorwaarde is verplaatst en de naam van het netwerk is gewijzigd. In eerste instantie wordt deze voorwaarde weergegeven op zowel het toewijzingsniveau als onder Voorwaarden.
Updates of wijzigingen worden op beide locaties weergegeven. De functionaliteit blijft hetzelfde en het bestaande beleid met behulp van Location blijft werken zonder wijzigingen.
Wanneer geconfigureerd in beleid
Als u de locatievoorwaarde configureert, kunt u onderscheid maken tussen:
- Een netwerk of locatie
- Alle vertrouwde netwerken en locaties
- Alle compatibele netwerklocaties
- Geselecteerde netwerken en locaties
Een netwerk of locatie
Als u Een locatie selecteert, wordt een beleid toegepast op alle IP-adressen, inclusief elk adres op internet. Deze instelling is niet beperkt tot IP-adressen die u configureert als benoemde locaties. Wanneer u Een locatie selecteert, kunt u specifieke locaties uitsluiten van een beleid. Pas bijvoorbeeld beleid toe op alle locaties behalve vertrouwde locaties om het bereik in te stellen op alle locaties behalve het bedrijfsnetwerk.
Alle vertrouwde netwerken en locaties
Deze optie is van toepassing op:
- Alle locaties die zijn gemarkeerd als vertrouwde locaties.
- Vertrouwde IP-adressen voor meervoudige verificatie, indien geconfigureerd.
Vertrouwde IP-adressen voor meervoudige verificatie
Het gebruik van de sectie vertrouwde IP-adressen van de service-instellingen van meervoudige verificatie wordt niet aanbevolen. Deze controle accepteert alleen IPv4-adressen en is bedoeld voor specifieke scenario's die worden beschreven in het artikel Microsoft Entra meervoudige verificatie-instellingen configureren.
Als u deze vertrouwde IP-adressen hebt geconfigureerd, worden ze weergegeven als vertrouwde IP-adressen van MFA in de lijst met locaties voor de locatievoorwaarde.
Alle compatibele netwerklocaties
Organisaties met toegang tot global Secure Access-functies zien een andere locatie die bestaat uit gebruikers en apparaten die voldoen aan het beveiligingsbeleid van uw organisatie. Zie Global Secure Access-signalering inschakelen voor voorwaardelijke toegang voor meer informatie. Het kan worden gebruikt met beleid voor voorwaardelijke toegang om een compatibele netwerkcontrole uit te voeren op toegang tot resources.
Geselecteerde netwerken en locaties
Selecteer met deze optie een of meer benoemde locaties. Een gebruiker moet verbinding maken vanaf een van de geselecteerde locaties om een beleid met deze instelling toe te passen. Wanneer u Selecteren kiest, wordt er een lijst met gedefinieerde locaties geopend. In deze lijst ziet u de naam, het type en of de netwerklocatie is gemarkeerd als vertrouwd.
Hoe worden deze locaties gedefinieerd?
Locaties bevinden zich in het Microsoft Entra-beheercentrum onderVoorwaardelijke toegang> tot Entra-id>benoemde locaties. Beheerders met ten minste de rol Beheerder voor voorwaardelijke toegang kunnen benoemde locaties maken en bijwerken.
Benoemde locaties kunnen bestaan uit de netwerkbereiken van het hoofdkantoor van een organisatie, VPN-netwerkbereiken of bereiken die u wilt blokkeren. Benoemde locaties bevatten IPv4-adresbereiken, IPv6-adresbereiken of landen.
IPv4- en IPv6-adresbereiken
Als u een benoemde locatie wilt definiëren op basis van openbare IPv4- of IPv6-adresbereiken, geeft u het volgende op:
- Een naam voor de locatie.
- Een of meer openbare IP-bereiken.
- Optioneel markeren als vertrouwde locatie.
Benoemde locaties die zijn gedefinieerd door IPv4- of IPv6-adresbereiken hebben de volgende beperkingen:
- Niet meer dan 195 benoemde locaties.
- Niet meer dan 2000 IP-bereiken per benoemde locatie.
- Alleen CIDR-maskers die groter zijn dan /8 zijn toegestaan bij het definiëren van een IP-bereik.
Voor apparaten in een particulier netwerk is het IP-adres niet het client-IP-adres van het apparaat van de gebruiker op het intranet (zoals 10.55.99.3), het adres dat door het netwerk wordt gebruikt om verbinding te maken met het openbare internet (zoals 198.51.100.3).
Vertrouwde locaties
Beheerders kunnen optioneel IP-locaties, zoals de openbare netwerkbereiken van uw organisatie, markeren als vertrouwd. Deze markering wordt op verschillende manieren gebruikt door functies.
- Beleidsregels voor voorwaardelijke toegang kunnen deze locaties bevatten of uitsluiten.
- Aanmeldingen van vertrouwde benoemde locaties verbeteren de nauwkeurigheid van de risicoberekening van Microsoft Entra ID Protection.
Locaties die als vertrouwd zijn gemarkeerd, kunnen niet worden verwijderd zonder eerst de vertrouwde aanduiding te verwijderen.
Landen
Organisaties kunnen een geografische land- of regiolocatie bepalen op BASIS van IP-adres of GPS-coördinaten.
Ga als volgt te werk om een benoemde locatie op land of regio te definiëren:
- Geef een naam op voor de locatie.
- Kies ervoor om de locatie te bepalen op IP-adres of GPS-coördinaten.
- Voeg een of meer landen/regio's toe.
- Kies desgewenst voor het opnemen van onbekende landen/regio's.
Wanneer u Locatie bepalen op IP-adres selecteert, wordt het IPv4- of IPv6-adres van de gebruiker omgezet in een land of regio op basis van een periodiek bijgewerkte toewijzingstabel.
Wanneer u Locatie bepalen op GPS-coördinaten selecteert, moeten gebruikers de Microsoft Authenticator-app hebben geïnstalleerd op hun mobiele apparaat. Elk uur neemt het systeem contact op met de Microsoft Authenticator-app van de gebruiker om de GPS-locatie van diens mobiele apparaat te verzamelen.
- De eerste keer dat de gebruiker zijn locatie moet delen vanuit de Microsoft Authenticator-app, ontvangen ze een melding in de app. De gebruiker moet de app openen en locatiemachtigingen verlenen. Als de gebruiker gedurende de komende 24 uur nog steeds toegang heeft tot de bron en de app toestemming heeft gegeven om op de achtergrond uit te voeren, wordt de locatie van het apparaat één keer per uur gedeeld.
- Na 24 uur moet de gebruiker de app openen en de melding goedkeuren.
- Telkens wanneer de gebruiker zijn GPS-locatie deelt, wordt de jailbreakdetectie uitgevoerd met behulp van dezelfde logica als de Microsoft Intune MAM SDK. Als het apparaat is gejailbreakt, wordt de locatie niet als geldig beschouwd en krijgt de gebruiker geen toegang.
- De Microsoft Authenticator-app op Android maakt gebruik van de Google Play Integrity-API om jailbreakdetectie te vergemakkelijken. Als de Google Play Integrity-API niet beschikbaar is, wordt de aanvraag geweigerd en heeft de gebruiker geen toegang tot de aangevraagde resource, tenzij het beleid voor voorwaardelijke toegang is uitgeschakeld. Zie het artikel Veelgestelde vragen over de Microsoft Authenticator-app voor meer informatie over de Microsoft Authenticator-app.
- Gebruikers kunnen de GPS-locatie wijzigen zoals gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan weigert de Microsoft Authenticator-app verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop de app is geïnstalleerd. Gebruikers die de locatie van hun apparaat wijzigen, krijgen een weigeringsbericht voor beleid op basis van GPS-locaties.
- De geretourneerde landcode is afhankelijk van de API van het apparaatplatform: bijvoorbeeld, één platform kan VS geven voor Puerto Rico, terwijl een ander platform PR aangeeft.
Notitie
Een beleid voor voorwaardelijke toegang met op GPS gebaseerde benoemde locaties in alleen-rapport modus vraagt gebruikers hun GPS-locatie mee te delen, zelfs als ze niet worden geblokkeerd bij het aanmelden.
GPS-locatie kan alleen worden gebruikt met wachtwoordloze telefoonaanmelding als MFA-pushmeldingen ook zijn ingeschakeld. Gebruikers kunnen Microsoft Authenticator gebruiken om zich aan te melden, maar ze moeten ook volgende MFA-pushmeldingen goedkeuren om hun GPS-locatie te delen.
GPS-locatie werkt niet wanneer alleen verificatiemethoden zonder wachtwoord zijn ingesteld.
Meerdere beleidsregels voor voorwaardelijke toegang kunnen gebruikers vragen om hun GPS-locatie voordat alle worden toegepast. Vanwege de manier waarop regels voor voorwaardelijke toegang worden toegepast, kan een gebruiker toegang worden geweigerd als ze de locatiecontrole doorstaan, maar niet aan een andere regel voldoen. Zie het artikel Een beleid voor voorwaardelijke toegang maken voor meer informatie over het afdwingen van beleid.
Belangrijk
Gebruikers ontvangen mogelijk elk uur prompts om hen te laten weten dat de Microsoft Entra-id hun locatie controleert in de Authenticator-app. Deze functie mag alleen worden gebruikt om zeer gevoelige apps te beveiligen waarbij dit gedrag acceptabel is of waar de toegang moet worden beperkt voor een specifiek land/bepaalde regio.
Onbekende landen/regio's opnemen
Sommige IP-adressen kunnen niet worden toegewezen aan een specifiek land of specifieke regio. Als u deze IP-locaties wilt vastleggen, schakelt u het selectievakje Onbekende landen/regio's opnemen in bij het definiëren van een geografische locatie. Met deze optie kunt u kiezen of deze IP-adressen moeten worden opgenomen in de benoemde locatie. Gebruik deze instelling wanneer het beleid met de benoemde locatie moet worden toegepast op onbekende locaties.
Veelgestelde vragen
Is er ondersteuning voor Graph API?
Graph API-ondersteuning voor benoemde locaties is beschikbaar. Zie de namedLocation-API voor meer informatie.
Wat gebeurt er als ik een cloudproxy of VPN gebruik?
Wanneer u een in de cloud gehoste proxy of VPN-oplossing gebruikt, is het IP-adres dat Microsoft Entra ID gebruikt bij het evalueren van een beleid, het IP-adres van de proxy. De X-Forwarded-For (XFF)-header die het openbare IP-adres van de gebruiker bevat, wordt niet gebruikt omdat er geen validatie is dat deze afkomstig is van een vertrouwde bron. Door dit gebrek aan validatie kan een IP-adres worden gefaagd.
Wanneer er een cloudproxy is geïmplementeerd, is een beleid dat een Microsoft Entra hybride aangesloten of compatibel apparaat vereist, eenvoudiger te beheren. Het is bijna onmogelijk om een up-to-datumlijst met IP-adressen te bewaren die worden gebruikt door uw cloud-hostende proxy of VPN-oplossing.
Organisaties wordt aangeraden Global Secure Access te gebruiken om bron-IP-herstel in te schakelen om deze wijziging in adres te voorkomen en het beheer te vereenvoudigen.
Wanneer wordt een locatie geëvalueerd?
Beleid voor voorwaardelijke toegang evalueert wanneer:
- Een gebruiker meldt zich in eerste instantie aan bij een web-app, een mobiele toepassing of een bureaubladtoepassing.
- Een mobiele of desktoptoepassing die moderne verificatie gebruikt, gebruikt een vernieuwingstoken om een nieuw toegangstoken te verkrijgen. Deze controle vindt standaard één keer per uur plaats.
Deze controle betekent dat voor mobiele en desktoptoepassingen met moderne verificatie een wijziging op locatie wordt gedetecteerd binnen een uur na het wijzigen van de netwerklocatie. Voor mobiele en desktoptoepassingen die geen moderne verificatie gebruiken, is het beleid van toepassing op elke tokenaanvraag. De frequentie van de aanvraag kan variëren op basis van de toepassing. Op dezelfde manier gelden beleidsregels voor webtoepassingen bij de eerste aanmelding en zijn ze goed voor de levensduur van de sessie in de webtoepassing. Vanwege verschillen in de levensduur van sessies tussen toepassingen, varieert de tijd tussen beleidsevaluatie. Telkens wanneer de toepassing een nieuw aanmeldingstoken aanvraagt, wordt het beleid toegepast.
Standaard geeft Microsoft Entra ID per uur een token uit. Nadat gebruikers het bedrijfsnetwerk hebben verlaten, wordt binnen een uur het beleid afgedwongen voor toepassingen die moderne authenticatie gebruiken.
Wanneer kunt u locaties blokkeren?
Een beleid dat gebruikmaakt van de locatievoorwaarde om de toegang te blokkeren, wordt beschouwd als beperkend en moet zorgvuldig worden uitgevoerd na grondig testen. Sommige gevallen van het gebruik van de locatievoorwaarde om verificatie te blokkeren, zijn onder andere:
- Landen/regio's blokkeren waar uw organisatie nooit zaken doet.
- Specifieke IP-bereiken blokkeren, zoals:
- Bekende schadelijke IP-adressen voordat een firewallbeleid kan worden gewijzigd.
- Zeer gevoelige of bevoegde acties en cloudtoepassingen.
- Op basis van een gebruikersspecifiek IP-bereik, zoals toegang tot boekhoud- of salarisadministratietoepassingen.