Używanie warunku lokalizacji w zasadach dostępu warunkowego

Zgodnie z opisem w artykule Omówienie zasady dostępu warunkowego są najbardziej podstawowe instrukcje if-then łączące sygnały, aby podejmować decyzje i wymuszać zasady organizacji. Jednym z tych sygnałów, które można włączyć do procesu podejmowania decyzji, jest lokalizacja.

Koncepcyjny sygnał warunkowy plus decyzja o wymuszenia

Organizacje mogą używać tej lokalizacji do typowych zadań, takich jak:

  • Wymaganie uwierzytelniania wieloskładnikowego dla użytkowników, którzy uzyskują dostęp do usługi, gdy są poza siecią firmową.
  • Blokowanie dostępu dla użytkowników korzystających z usługi z określonych krajów lub regionów.

Lokalizacja jest określana przez publiczny adres IP udostępniany przez klienta współrzędnych usługi Azure Active Directory lub GPS udostępnianych przez aplikację Microsoft Authenticator. Zasady dostępu warunkowego mają domyślnie zastosowanie do wszystkich adresów IPv4 i IPv6.

Nazwane lokalizacje

Lokalizacje są nazwane w Azure Portal w obszarzeDostęp warunkowy zabezpieczeń>>usługi Azure Active Directory>nazwane lokalizacje. Te nazwane lokalizacje sieciowe mogą obejmować lokalizacje, takie jak zakresy sieci głównej organizacji, zakresy sieci VPN lub zakresy, które chcesz zablokować. Nazwane lokalizacje można zdefiniować według zakresów adresów IPv4/IPv6 lub krajów.

Nazwane lokalizacje w Azure Portal

Zakresy adresów IP

Aby zdefiniować nazwaną lokalizację według zakresów adresów IPv4/IPv6, należy podać następujące elementy:

  • Nazwa lokalizacji
  • Co najmniej jeden zakres adresów IP
  • Opcjonalnie oznacz jako zaufaną lokalizację

Nowe lokalizacje adresów IP w Azure Portal

Nazwane lokalizacje zdefiniowane przez zakresy adresów IPv4/IPv6 podlegają następującym ograniczeniom:

  • Konfigurowanie maksymalnie 195 nazwanych lokalizacji
  • Konfigurowanie maksymalnie 2000 zakresów adresów IP na nazwaną lokalizację
  • Obsługiwane są zarówno zakresy IPv4, jak i IPv6
  • Nie można skonfigurować zakresów prywatnych adresów IP
  • Liczba adresów IP zawartych w zakresie jest ograniczona. Podczas definiowania zakresu adresów IP dozwolone są tylko maski CIDR większe niż /8.

Zaufane lokalizacje

Administratorzy mogą nazwać lokalizacje zdefiniowane przez zakresy adresów IP jako zaufane nazwane lokalizacje.

Logowania z zaufanych nazwanych lokalizacji zwiększają dokładność obliczania ryzyka usługi Azure AD Identity Protection, obniżając ryzyko logowania użytkownika podczas uwierzytelniania z lokalizacji oznaczonej jako zaufana. Ponadto zaufane nazwane lokalizacje mogą być objęte zasadami dostępu warunkowego. Można na przykład ograniczyć rejestrację uwierzytelniania wieloskładnikowego do zaufanych lokalizacji.

Kraje

Organizacje mogą określić lokalizację kraju według adresów IP lub współrzędnych GPS.

Aby zdefiniować nazwaną lokalizację według kraju, należy podać następujące elementy:

  • Nazwa lokalizacji
  • Wybierz, aby określić lokalizację według adresów IP lub współrzędnych GPS
  • Dodaj co najmniej jeden kraj
  • Opcjonalnie wybierz opcję Dołącz nieznane kraje/regiony

Kraj jako lokalizacja w Azure Portal

W przypadku wybrania opcji Określ lokalizację według adresu IP (tylko protokół IPv4) system będzie zbierać adres IP urządzenia, do którego loguje się użytkownik. Gdy użytkownik się zaloguje, Azure AD rozpozna adres IPv4 użytkownika w kraju lub regionie, a mapowanie jest okresowo aktualizowane. Organizacje mogą używać nazwanych lokalizacji zdefiniowanych przez kraje, aby blokować ruch z krajów, w których nie działają.

Uwaga

Logowania z adresów IPv6 nie mogą być mapowane na kraje lub regiony i są uważane za nieznane obszary. Tylko adresy IPv4 można mapować na kraje lub regiony.

Jeśli wybierzesz pozycję Określ lokalizację według współrzędnych GPS, użytkownik będzie musiał mieć zainstalowaną aplikację Microsoft Authenticator na urządzeniu przenośnym. Co godzinę system skontaktuje się z aplikacją Microsoft Authenticator użytkownika, aby zebrać lokalizację GPS urządzenia przenośnego użytkownika.

Po raz pierwszy użytkownik musi udostępnić swoją lokalizację z aplikacji Microsoft Authenticator, użytkownik otrzyma powiadomienie w aplikacji. Użytkownik musi otworzyć aplikację i udzielić uprawnień lokalizacji.

W ciągu najbliższych 24 godzin, jeśli użytkownik nadal uzyskuje dostęp do zasobu i przyznał aplikacji uprawnienie do uruchamiania w tle, lokalizacja urządzenia jest udostępniana w trybie dyskretnym raz na godzinę.

  • Po upływie 24 godzin użytkownik musi otworzyć aplikację i zatwierdzić powiadomienie.
  • Użytkownicy z włączonym numerem lub dodatkowym kontekstem w aplikacji Microsoft Authenticator nie będą otrzymywać powiadomień dyskretnie i muszą otworzyć aplikację w celu zatwierdzenia powiadomień.

Za każdym razem, gdy użytkownik udostępnia swoją lokalizację GPS, aplikacja wykonuje wykrywanie zdjęć zabezpieczeń systemu (korzystając z tej samej logiki co zestaw SDK zarządzania aplikacjami mobilnymi Intune). Jeśli urządzenie jest zdjęte zabezpieczeń systemu, lokalizacja nie jest uznawana za prawidłową, a użytkownik nie ma dostępu.

Zasady dostępu warunkowego z nazwanymi lokalizacjami GPS w trybie tylko do raportu monitują użytkowników o udostępnienie swojej lokalizacji GPS, mimo że nie są blokowane podczas logowania.

Lokalizacja GPS nie działa z metodami uwierzytelniania bez hasła.

Wiele aplikacji zasad dostępu warunkowego może monituje użytkowników o lokalizację GPS przed zastosowaniem wszystkich zasad dostępu warunkowego. Ze względu na sposób stosowania zasad dostępu warunkowego użytkownik może zostać odrzucony, jeśli przekaże kontrolę lokalizacji, ale nie powiedzie się innym zasadom. Aby uzyskać więcej informacji na temat wymuszania zasad, zobacz artykuł Tworzenie zasad dostępu warunkowego.

Ważne

Użytkownicy mogą otrzymywać monity co godzinę, informując ich, że Azure AD sprawdza swoją lokalizację w aplikacji Authenticator. Wersja zapoznawcza powinna służyć tylko do ochrony bardzo poufnych aplikacji, w których takie zachowanie jest dopuszczalne lub gdy dostęp musi być ograniczony do określonego kraju/regionu.

Uwzględnianie nieznanych krajów/regionów

Niektóre adresy IP nie są mapowane na określony kraj lub region, w tym wszystkie adresy IPv6. Aby przechwycić te lokalizacje IP, zaznacz pole wyboru Uwzględnij nieznane kraje/regiony podczas definiowania lokalizacji geograficznej. Ta opcja umożliwia wybranie, czy te adresy IP powinny być uwzględnione w nazwanej lokalizacji. Użyj tego ustawienia, gdy zasady używające nazwanej lokalizacji powinny być stosowane do nieznanych lokalizacji.

Konfigurowanie zaufanych adresów IP usługi MFA

Zakresy adresów IP reprezentujące lokalny intranet organizacji można również skonfigurować w ustawieniach usługi uwierzytelniania wieloskładnikowego. Ta funkcja umożliwia skonfigurowanie maksymalnie 50 zakresów adresów IP. Zakresy adresów IP są w formacie CIDR. Aby uzyskać więcej informacji, zobacz Zaufane adresy IP.

Jeśli skonfigurowano zaufane adresy IP, są one wyświetlane jako zaufane adresy IP usługi MFA na liście lokalizacji.

Pomijanie uwierzytelniania wieloskładnikowego

Na stronie ustawień usługi uwierzytelniania wieloskładnikowego można zidentyfikować użytkowników intranetu firmowego, wybierając pozycję Pomiń uwierzytelnianie wieloskładnikowe dla żądań od użytkowników federacyjnych w intranecie. To ustawienie wskazuje, że wewnątrz oświadczenia sieci firmowej, które jest wydawane przez usługi AD FS, powinny być zaufane i używane do identyfikowania użytkownika jako będącego w sieci firmowej. Aby uzyskać więcej informacji, zobacz Włączanie funkcji zaufanych adresów IP przy użyciu dostępu warunkowego.

Po sprawdzeniu tej opcji, w tym nazwane adresy IP zaufane uwierzytelniania wieloskładnikowego będą stosowane do wszystkich zasad z wybraną tą opcją.

W przypadku aplikacji mobilnych i klasycznych, które mają długie okresy istnienia sesji, dostęp warunkowy jest okresowo ponownie oceniane. Wartość domyślna to raz na godzinę. Gdy wewnętrzne oświadczenie sieci firmowej jest wystawiane tylko w momencie początkowego uwierzytelniania, Azure AD może nie mieć listy zaufanych zakresów adresów IP. W takim przypadku trudniej jest ustalić, czy użytkownik nadal znajduje się w sieci firmowej:

  1. Sprawdź, czy adres IP użytkownika znajduje się w jednym z zaufanych zakresów adresów IP.
  2. Sprawdź, czy pierwsze trzy oktety adresu IP użytkownika są zgodne z pierwszymi trzema oktetami adresu IP początkowego uwierzytelniania. Adres IP jest porównywany z początkowym uwierzytelnianiem, gdy wewnętrzne oświadczenie sieci firmowej zostało pierwotnie wystawione, a lokalizacja użytkownika została zweryfikowana.

Jeśli oba kroki nie powiedzą się, użytkownik zostanie uznany za nieuwierzytnego adresu IP.

Warunek lokalizacji w zasadach

Podczas konfigurowania warunku lokalizacji można odróżnić następujące elementy:

  • Dowolnej aplikacji.
  • Wszystkie zaufane lokalizacje
  • Wybrane lokalizacje

Dowolnej aplikacji.

Domyślnie wybranie pozycji Dowolna lokalizacja powoduje zastosowanie zasad do wszystkich adresów IP, co oznacza dowolny adres w Internecie. To ustawienie nie jest ograniczone do adresów IP skonfigurowanych jako nazwana lokalizacja. Po wybraniu pozycji Dowolna lokalizacja nadal można wykluczyć określone lokalizacje z zasad. Można na przykład zastosować zasady do wszystkich lokalizacji z wyjątkiem zaufanych lokalizacji, aby ustawić zakres na wszystkie lokalizacje, z wyjątkiem sieci firmowej.

Wszystkie zaufane lokalizacje

Ta opcja dotyczy:

  • Wszystkie lokalizacje oznaczone jako zaufana lokalizacja
  • Zaufane adresy IP usługi MFA (jeśli skonfigurowano)

Wybrane lokalizacje

Za pomocą tej opcji możesz wybrać co najmniej jedną nazwę lokalizacji. Aby zasady z tym ustawieniem miały zastosowanie, użytkownik musi nawiązać połączenie z dowolnej z wybranych lokalizacji. Po wybraniu nazwanej kontrolki wyboru sieci wyświetlanej zostanie lista nazwanych sieci. Lista pokazuje również, czy lokalizacja sieciowa została oznaczona jako zaufana. Nazwana lokalizacja o nazwie Zaufane adresy IP usługi MFA służy do uwzględnienia ustawień adresu IP, które można skonfigurować na stronie ustawienia usługi uwierzytelniania wieloskładnikowego.

Ruch IPv6

Domyślnie zasady dostępu warunkowego będą stosowane do całego ruchu IPv6. Można wykluczyć określone zakresy adresów IPv6 z zasad dostępu warunkowego, jeśli nie chcesz wymuszać zasad dla określonych zakresów IPv6. Jeśli na przykład nie chcesz wymuszać zasad do użycia w sieci firmowej, a sieć firmowa jest hostowana w publicznych zakresach IPv6.

Identyfikowanie ruchu IPv6 w raportach aktywności logowania Azure AD

Możesz odnaleźć ruch IPv6 w dzierżawie, przechodząc do Azure AD raportów aktywności logowania. Po otwarciu raportu aktywności dodaj kolumnę "Adres IP". Ta kolumna umożliwia zidentyfikowanie ruchu IPv6.

Adres IP klienta można również znaleźć, klikając wiersz w raporcie, a następnie przechodząc do karty "Lokalizacja" w szczegółach działania logowania.

Kiedy moja dzierżawa będzie miała ruch IPv6?

Usługa Azure Active Directory (Azure AD) nie obsługuje obecnie bezpośrednich połączeń sieciowych korzystających z protokołu IPv6. Istnieją jednak pewne przypadki, w których ruch uwierzytelniania jest kierowany przez inną usługę. W takich przypadkach adres IPv6 będzie używany podczas oceny zasad.

Większość ruchu IPv6, który jest proporcjonalny do Azure AD pochodzi z Microsoft Exchange Online. Jeśli jest dostępna, program Exchange preferuje połączenia IPv6. Jeśli więc masz jakiekolwiek zasady dostępu warunkowego dla programu Exchange, które zostały skonfigurowane dla określonych zakresów IPv4, upewnij się, że dodano również zakresy IPv6 organizacji. Nie uwzględnianie zakresów IPv6 spowoduje nieoczekiwane zachowanie następujących dwóch przypadków:

  • Gdy klient poczty jest używany do nawiązywania połączenia z Exchange Online ze starszym uwierzytelnianiem, Azure AD może otrzymać adres IPv6. Początkowe żądanie uwierzytelniania przechodzi do programu Exchange, a następnie jest proxied do Azure AD.
  • Gdy program Outlook Web Access (OWA) jest używany w przeglądarce, okresowo sprawdza, czy wszystkie zasady dostępu warunkowego będą nadal spełnione. Ta kontrola służy do przechwytywania przypadków, w których użytkownik mógł przenieść się z dozwolonego adresu IP do nowej lokalizacji, takiej jak kawiarnia w dół ulicy. W takim przypadku, jeśli jest używany adres IPv6 i jeśli adres IPv6 nie znajduje się w skonfigurowanym zakresie, użytkownik może przerwać sesję i zostać przekierowany z powrotem do Azure AD w celu ponownego uwierzytelnienia.

Jeśli używasz sieci wirtualnych platformy Azure, będziesz mieć ruch pochodzący z adresu IPv6. Jeśli ruch sieci wirtualnej jest zablokowany przez zasady dostępu warunkowego, sprawdź dziennik logowania Azure AD. Po zidentyfikowaniu ruchu możesz uzyskać używany adres IPv6 i wykluczyć go z zasad.

Uwaga

Jeśli chcesz określić zakres CIDR ip dla pojedynczego adresu, zastosuj maskę /128 bitów. Jeśli zobaczysz adres IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a i chcesz wykluczyć ten pojedynczy adres jako zakres, użyjesz 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Co należy wiedzieć

Kiedy jest oceniana lokalizacja?

Zasady dostępu warunkowego są oceniane, gdy:

  • Użytkownik początkowo loguje się do aplikacji internetowej, aplikacji mobilnej lub klasycznej.
  • Aplikacja mobilna lub klasyczna korzystająca z nowoczesnego uwierzytelniania używa tokenu odświeżania w celu uzyskania nowego tokenu dostępu. Domyślnie to sprawdzanie jest raz na godzinę.

Oznacza to, że w przypadku aplikacji mobilnych i klasycznych korzystających z nowoczesnego uwierzytelniania wykryto zmianę lokalizacji w ciągu godziny od zmiany lokalizacji sieciowej. W przypadku aplikacji mobilnych i klasycznych, które nie korzystają z nowoczesnego uwierzytelniania, zasady są stosowane w każdym żądaniu tokenu. Częstotliwość żądania może się różnić w zależności od aplikacji. Podobnie w przypadku aplikacji internetowych zasady są stosowane podczas początkowego logowania i są dobre dla okresu istnienia sesji w aplikacji internetowej. Ze względu na różnice w okresach istnienia sesji w aplikacjach czas między oceną zasad będzie się również różnić. Za każdym razem, gdy aplikacja żąda nowego tokenu logowania, zasady są stosowane.

Domyślnie Azure AD wystawia token co godzinę. Po przeniesieniu sieci firmowej w ciągu godziny zasady są wymuszane dla aplikacji korzystających z nowoczesnego uwierzytelniania.

Adres IP użytkownika

Adres IP używany w ocenie zasad to publiczny adres IP użytkownika. W przypadku urządzeń w sieci prywatnej ten adres IP nie jest adresem IP klienta urządzenia użytkownika w intranecie, jest to adres używany przez sieć do łączenia się z publicznym Internetem.

Zbiorcze przekazywanie i pobieranie nazwanych lokalizacji

Podczas tworzenia lub aktualizowania nazwanych lokalizacji w celu aktualizacji zbiorczych można przekazać lub pobrać plik CSV z zakresami adresów IP. Przekazywanie zastępuje zakresy adresów IP na liście tymi zakresami z pliku. Każdy wiersz pliku zawiera jeden zakres adresów IP w formacie CIDR.

Serwery proxy chmury i sieci VPN

Jeśli używasz hostowanego w chmurze serwera proxy lub rozwiązania sieci VPN, adres IP Azure AD używa podczas oceniania zasad jest adresem IP serwera proxy. Nagłówek X-Forwarded-For (XFF), który zawiera publiczny adres IP użytkownika, nie jest używany, ponieważ nie ma weryfikacji, która pochodzi z zaufanego źródła, więc przedstawi metodę fakingu adresu IP.

Gdy serwer proxy w chmurze jest w miejscu, można użyć zasad, które wymagają użycia hybrydowego Azure AD dołączonego urządzenia lub wewnętrznego oświadczenia sieci firmowej z usług AD FS.

Obsługa interfejsu API i program PowerShell

Dostępna jest wersja zapoznawcza interfejs Graph API dla nazwanych lokalizacji, aby uzyskać więcej informacji, zobacz interfejs API o nazwieLocation.

Następne kroki