Delen via


Voorwaardelijke toegang: netwerktoewijzing

Beheerders kunnen beleidsregels maken die zich richten op specifieke netwerklocaties als signaal, samen met andere voorwaarden in hun besluitvormingsproces. Ze kunnen deze netwerklocaties opnemen of uitsluiten als onderdeel van hun beleidsconfiguratie. Deze netwerklocaties kunnen openbare IPv4- of IPv6-netwerkgegevens, landen, onbekende gebieden bevatten die niet zijn toegewezen aan specifieke landen of het compatibele netwerk van Global Secure Access.

Diagram met het concept van voorwaardelijke toegangssignalen plus beslissing om organisatiebeleid af te dwingen.

Notitie

Beleid voor voorwaardelijke toegang wordt afgedwongen nadat verificatie van de eerste factor is voltooid. Voorwaardelijke toegang is niet zozeer bedoeld als de eerste verdedigingslinie van een organisatie tegen bijvoorbeeld DoS-aanvallen (Denial of Service), maar kan gebruikmaken van signalen van deze gebeurtenissen om wel of geen toegang te verlenen.

Organisaties kunnen deze locaties gebruiken voor algemene taken, zoals:

  • Meervoudige verificatie vereisen voor gebruikers die toegang hebben tot een service wanneer ze zich buiten het bedrijfsnetwerk bevinden.
  • Toegang blokkeren vanuit specifieke landen waar uw organisatie nooit van werkt.

De locatie van een gebruiker wordt gevonden met behulp van het openbare IP-adres of de GPS-coördinaten van de Microsoft Authenticator-app. Beleid voor voorwaardelijke toegang is standaard van toepassing op alle locaties.

Tip

De locatievoorwaarde is verplaatst en heeft de naam Netwerk gewijzigd. Deze voorwaarde wordt eerst weergegeven op zowel het toewijzingsniveau als onder Voorwaarden.

Updates of wijzigingen worden op beide locaties weergegeven. De functionaliteit blijft hetzelfde en het bestaande beleid met behulp van Location blijft werken zonder wijzigingen.

Schermopname van de voorwaarde voor netwerktoewijzing in beleid voor voorwaardelijke toegang.

Wanneer geconfigureerd in beleid

Als u de locatievoorwaarde configureert, kunt u onderscheid maken tussen:

  • Een netwerk of locatie
  • Alle vertrouwde netwerken en locaties
  • Alle compatibele netwerklocaties
  • Geselecteerde netwerken en locaties

Een netwerk of locatie

Als u Elke locatie selecteert, wordt een beleid standaard toegepast op alle IP-adressen, wat betekent dat elk adres op internet wordt gebruikt. Deze instelling is niet beperkt tot IP-adressen die u configureert als benoemde locaties. Wanneer u Elke locatie selecteert, kunt u nog steeds specifieke locaties uitsluiten van een beleid. U kunt bijvoorbeeld een beleid toepassen op alle locaties behalve vertrouwde locaties om het bereik in te stellen op alle locaties, met uitzondering van het bedrijfsnetwerk.

Alle vertrouwde netwerken en locaties

Deze optie is van toepassing op:

  • Alle locaties die zijn gemarkeerd als vertrouwde locaties.
  • Vertrouwde IP-adressen voor meervoudige verificatie, indien geconfigureerd.

Vertrouwde IP-adressen voor meervoudige verificatie

Het gebruik van de sectie vertrouwde IP-adressen van de service-instellingen voor meervoudige verificatie wordt niet meer aanbevolen. Dit besturingselement accepteert alleen IPv4-adressen en mag alleen worden gebruikt voor specifieke scenario's die worden beschreven in het artikel Meervoudige verificatie-instellingen voor Microsoft Entra configureren.

Als u deze vertrouwde IP-adressen hebt geconfigureerd, worden ze weergegeven als vertrouwde IP-adressen van MFA in de lijst met locaties voor de locatievoorwaarde.

Alle compatibele netwerklocaties

Organisaties met toegang tot global Secure Access-functies hebben een andere locatie die bestaat uit gebruikers en apparaten die voldoen aan het beveiligingsbeleid van uw organisatie. Zie de sectie Global Secure Access signaling inschakelen voor voorwaardelijke toegang voor meer informatie. Het kan worden gebruikt met beleid voor voorwaardelijke toegang om een compatibele netwerkcontrole uit te voeren op toegang tot resources.

Geselecteerde netwerken en locaties

Met deze optie kunt u een of meer benoemde locaties selecteren. Een gebruiker moet verbinding maken vanaf een van de geselecteerde locaties om een beleid met deze instelling toe kunnen te passen. Wanneer u Selecteren kiest, wordt er een lijst met gedefinieerde locaties geopend. Deze lijst bevat de naam, het type en als de netwerklocatie is gemarkeerd als vertrouwd.

Hoe worden deze locaties gedefinieerd?

Locaties worden gedefinieerd en bestaan in het Microsoft Entra-beheercentrum onder> Voorwaardelijke toegang>met de beveiliging benoemde locaties. Beheerders met ten minste de rol Beheerder voor voorwaardelijke toegang kunnen benoemde locaties maken en bijwerken.

Schermopname van benoemde locaties in het Microsoft Entra-beheercentrum.

Benoemde locaties kunnen locaties bevatten, zoals de hoofdkantoornetwerkbereiken van een organisatie, VPN-netwerkbereiken of bereiken die u wilt blokkeren. Benoemde locaties bevatten IPv4-adresbereiken, IPv6-adresbereiken of landen.

IPv4- en IPv6-adresbereiken

Als u een benoemde locatie wilt definiëren op basis van openbare IPv4- of IPv6-adresbereiken, moet u het volgende opgeven:

  • Een naam voor de locatie.
  • Een of meer openbare IP-bereiken.
  • Optioneel markeren als vertrouwde locatie.

Benoemde locaties die zijn gedefinieerd door IPv4-/IPv6-adresbereiken zijn onderhevig aan de volgende beperkingen:

  • Niet meer dan 195 benoemde locaties.
  • Niet meer dan 2000 IP-bereiken per benoemde locatie.
  • Alleen CIDR-maskers die groter zijn dan /8 zijn toegestaan bij het definiëren van een IP-bereik.

Voor apparaten in een particulier netwerk is het IP-adres niet het client-IP-adres van het apparaat van de gebruiker op het intranet (zoals 10.55.99.3), het adres dat door het netwerk wordt gebruikt om verbinding te maken met het openbare internet (zoals 198.51.100.3).

Vertrouwde locaties

Beheerders kunnen optioneel IP-locaties als openbare netwerkbereiken van uw organisatie markeren als vertrouwd. Deze markering wordt op verschillende manieren gebruikt door functies.

  • Beleidsregels voor voorwaardelijke toegang kunnen deze locaties bevatten of uitsluiten.
  • Aanmeldingen van vertrouwde benoemde locaties verbeteren de nauwkeurigheid van de risicoberekening van Microsoft Entra ID Protection.

Locaties die als vertrouwd zijn gemarkeerd, kunnen niet worden verwijderd zonder eerst de vertrouwde aanduiding te verwijderen.

Landen

Organisaties kunnen een geografische landlocatie bepalen op basis van IP-adres of GPS-coördinaten.

Als u een benoemde locatie per land wilt definiëren, moet u het volgende doen:

  • Geef een naam op voor de locatie.
  • Kies ervoor om de locatie te bepalen op IP-adres of GPS-coördinaten.
  • Voeg een of meer landen/regio's toe.
  • Kies desgewenst voor het opnemen van onbekende landen/regio's.

Schermopname van het maken van een nieuwe locatie met behulp van landen.

Wanneer u Locatie bepalen op IP-adres selecteert, wordt het IPv4- of IPv6-adres van de gebruiker omgezet in een land of regio op basis van een periodiek bijgewerkte toewijzingstabel.

Wanneer u Locatie bepalen op GPS-coördinaten selecteert, moeten gebruikers de Microsoft Authenticator-app hebben geïnstalleerd op hun mobiele apparaat. Elk uur neemt het systeem contact op met de Microsoft Authenticator-app van de gebruiker om de GPS-locatie van diens mobiele apparaat te verzamelen.

  • De eerste keer dat de gebruiker zijn locatie moet delen vanuit de Microsoft Authenticator-app, ontvangen ze een melding in de app. De gebruiker moet de app openen en locatiemachtigingen verlenen. Als de gebruiker gedurende de komende 24 uur nog steeds toegang heeft tot de bron en de app toestemming heeft gegeven om op de achtergrond uit te voeren, wordt de locatie van het apparaat één keer per uur gedeeld.
  • Na 24 uur moet de gebruiker de app openen en de melding goedkeuren.
  • Telkens wanneer de gebruiker zijn GPS-locatie deelt, wordt de jailbreakdetectie uitgevoerd met behulp van dezelfde logica als de Microsoft Intune MAM SDK. Als het apparaat is gejailbreakt, wordt de locatie niet als geldig beschouwd en krijgt de gebruiker geen toegang.
  • Gebruikers kunnen de GPS-locatie wijzigen zoals gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan weigert de Microsoft Authenticator-app verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop de app is geïnstalleerd. Gebruikers die de locatie van hun apparaat wijzigen, krijgen een weigeringsbericht voor beleid op basis van GPS-locaties.

Notitie

Een beleid voor voorwaardelijke toegang met op GPS gebaseerde benoemde locaties in de modus Alleen-rapport vraagt gebruikers om hun GPS-locatie te delen. Ook al worden ze niet geblokkeerd om zich aan te melden.

GPS-locatie kan alleen worden gebruikt met aanmelding zonder wachtwoord als MFA-pushmeldingen ook zijn ingeschakeld. Gebruikers kunnen Microsoft Authenticator gebruiken om zich aan te melden, maar ze moeten ook volgende MFA-pushmeldingen goedkeuren om hun GPS-locatie te delen.

GPS-locatie werkt niet wanneer alleen verificatiemethoden zonder wachtwoord zijn ingesteld.

Meerdere beleidsregels voor voorwaardelijke toegang kunnen gebruikers vragen om hun GPS-locatie voordat alle worden toegepast. Vanwege de manier waarop beleid voor voorwaardelijke toegang wordt toegepast, kan een gebruiker toegang worden geweigerd als deze de locatiecontrole doorgeeft, maar een ander beleid mislukt. Zie het artikel Een beleid voor voorwaardelijke toegang bouwen voor meer informatie over het afdwingen van beleid.

Belangrijk

Gebruikers kunnen elk uur prompts ontvangen die hen laten weten dat Microsoft Entra ID hun locatie controleert in de Authenticator-app. Deze functie mag alleen worden gebruikt om zeer gevoelige apps te beveiligen waarbij dit gedrag acceptabel is of waar de toegang moet worden beperkt voor een specifiek land/bepaalde regio.

Onbekende landen/regio's opnemen

Sommige IP-adressen worden niet toegewezen aan een specifiek land of specifieke regio. Als u deze IP-locaties wilt vastleggen, schakelt u het selectievakje Onbekende landen/regio's opnemen in bij het definiëren van een geografische locatie. Met deze optie kunt u kiezen of deze IP-adressen moeten worden opgenomen in de benoemde locatie. Gebruik deze instelling wanneer het beleid met de benoemde locatie moet worden toegepast op onbekende locaties.

Veelgestelde vragen

Is er ondersteuning voor Graph API?

Graph API-ondersteuning voor benoemde locaties is beschikbaar voor meer informatie, zie de benoemdeLocation-API.

Wat gebeurt er als ik een cloudproxy of VPN gebruik?

Wanneer u een in de cloud gehoste proxy of VPN-oplossing gebruikt, wordt het IP-adres van De Microsoft Entra-id gebruikt tijdens het evalueren van een beleid het IP-adres van de proxy. De X-Forwarded-For-header (XFF) die het openbare IP-adres van de gebruiker bevat, wordt niet gebruikt, omdat er geen validatie is dat deze afkomstig is van een vertrouwde bron, dus een methode voor het imiteren van een IP-adres.

Wanneer er een cloudproxy is geïmplementeerd, is een beleid dat vereist dat een hybride Apparaat van Microsoft Entra of compatibel is, eenvoudiger te beheren. Het kan bijna onmogelijk zijn om een lijst met IP-adressen die worden gebruikt door uw in de cloud gehoste proxy of VPN-oplossing up-to-date te houden.

Organisaties wordt aangeraden Global Secure Access te gebruiken om bron-IP-herstel in te schakelen om deze wijziging in adres te voorkomen en het beheer te vereenvoudigen.

Wanneer wordt een locatie geëvalueerd?

Beleid voor voorwaardelijke toegang wordt geëvalueerd wanneer:

  • Een gebruiker meldt zich in eerste instantie aan bij een web-app, een mobiele toepassing of een bureaubladtoepassing.
  • Een mobiele of desktoptoepassing die moderne verificatie gebruikt, gebruikt een vernieuwingstoken om een nieuw toegangstoken te verkrijgen. Deze controle is standaard één keer per uur.

Deze controle betekent dat voor mobiele en desktoptoepassingen met moderne verificatie een wijziging op locatie wordt gedetecteerd binnen een uur na het wijzigen van de netwerklocatie. Voor mobiele en desktoptoepassingen die geen moderne verificatie gebruiken, is het beleid van toepassing op elke tokenaanvraag. De frequentie van de aanvraag kan variëren op basis van de toepassing. Op dezelfde manier gelden beleidsregels voor webtoepassingen bij de eerste aanmelding en zijn ze goed voor de levensduur van de sessie in de webtoepassing. Vanwege verschillen in de levensduur van sessies tussen toepassingen, varieert de tijd tussen beleidsevaluatie. Telkens wanneer de toepassing een nieuw aanmeldingstoken aanvraagt, wordt het beleid toegepast.

Standaard geeft Microsoft Entra ID per uur een token uit. Nadat gebruikers het bedrijfsnetwerk hebben verplaatst, wordt binnen een uur het beleid afgedwongen voor toepassingen met moderne verificatie.

Wanneer kunt u locaties blokkeren?

Een beleid dat gebruikmaakt van de locatievoorwaarde om de toegang te blokkeren, wordt beschouwd als beperkend en moet zorgvuldig worden uitgevoerd na grondig testen. Sommige gevallen van het gebruik van de locatievoorwaarde om verificatie te blokkeren, zijn onder andere:

  • Landen/regio's blokkeren waar uw organisatie nooit zaken doet.
  • Specifieke IP-bereiken blokkeren, zoals:
    • Bekende schadelijke IP-adressen voordat een firewallbeleid kan worden gewijzigd.
    • Zeer gevoelige of bevoegde acties en cloudtoepassingen.
    • Op basis van een gebruikersspecifiek IP-bereik, zoals toegang tot boekhoud- of salarisadministratietoepassingen.