Impor estritamente políticas de localização usando a avaliação contínua de acesso (versão prévia)
Impor estritamente políticas de localização é um novo modo de imposição para avaliação contínua de acesso (CAE), usada em políticas de acesso condicional. Esse novo modo fornece proteção para recursos, interrompendo imediatamente o acesso se o endereço IP detectado pelo provedor de recursos não for permitido pela política de acesso condicional. Essa opção é a modalidade de segurança mais alta da imposição de localização de CAE e exige que os administradores entendam o roteamento de solicitações de autenticação e acesso em seu ambiente de rede. Confira nossa Introdução à avaliação contínua de acesso para obter uma revisão de como clientes e provedores de recursos compatíveis com CAE, como o cliente de email do Outlook e Exchange Online avaliar as alterações de localização.
| Modo de imposição de localização | Topologia de rede recomendada | Se o endereço IP detectado pelo recurso não estiver na lista de permissões | Benefícios | Configuração |
|---|---|---|---|---|
| Standard (padrão) | Adequado para todas as topologias | Um token de curta duração será emitido somente se o Microsoft Entra ID detectar um endereço IP permitido. Caso contrário, o acesso será bloqueado | Volta para o modo de detecção de localização pré-CAE em implantações de rede de túnel dividido em que a imposição de CAE afetaria a produtividade. A CAE ainda impõe outros eventos e políticas. | Nenhum (configuração padrão) |
| Políticas de localização estritamente impostas | Os endereços IP de saída são dedicados e enumeráveis para o Microsoft Entra ID e todo o tráfego do provedor de recursos | Acesso bloqueado | Mais seguro, mas requer caminhos de rede bem compreendidos | 1. Testar suposições de endereço IP com uma população pequena 2. Habilitar “Impor estritamente” em Controles de sessão |
Configurar políticas de localização estritamente impostas
Etapa 1 – Configurar uma política de acesso condicional baseada na localização para seus usuários de destino
Antes que os administradores criem uma política de acesso condicional que exija a imposição estrita de localização, eles devem estar familiarizados com políticas como a descrita em Políticas de acesso condicional baseadas na localização. Políticas como esta devem ser testadas com um subconjunto antes de prosseguir para a próxima etapa. Os administradores podem evitar discrepância entre os endereços IP permitidos e reais vistos pelo Microsoft Entra ID durante a autenticação fazendo um teste antes de habilitar a imposição estrita.
Etapa 2 – Testar a política em um pequeno subconjunto de usuários
Depois de habilitar políticas que exigem a imposição estrita de localização em um subconjunto de usuários de teste, valide sua experiência de teste usando o filtro Endereço IP (visto pelo recurso) nos logs de entrada do Microsoft Entra. Esta validação permite que os administradores encontrem cenários em que a imposição de localização estrita pode bloquear usuários com um IP não permitido visto pelo provedor de recursos habilitado para CAE.
Antes que os administradores ativem políticas de acesso condicional que exijam uma imposição de localização estrita, eles devem:
- Certifique-se de que todo o tráfego de autenticação para o Microsoft Entra ID e o tráfego de acesso aos provedores de recursos sejam provenientes de IPs de saída dedicados e conhecidos.
- Como o Exchange Online, o Teams, o SharePoint Online e o Microsoft Graph
- Certifique-se de que todos os endereços IP a partir dos quais os seus usuários podem acessar o Microsoft Entra ID e os provedores de recursos estejam incluídos em seus locais nomeados baseados em IP.
- Certifique-se de que eles não estejam enviando tráfego para aplicativos que não sejam do Microsoft 365 por meio do Acesso Global Seguro.
- A restauração de IP de origem não é compatível com esses aplicativos que não são do Microsoft 365. Habilitar a imposição de localização estrita com o Acesso Global Seguro bloqueia o acesso mesmo se o usuário estiver em um local de IP confiável.
- Examine suas políticas de acesso condicional para garantir que elas não tenham políticas sem suporte à CAE. Para obter mais informações, confira políticas de autoridade de certificação compatíveis com CAE.
Se os administradores não executarem esta validação, seus usuários poderão ser afetados negativamente. Se o tráfego para o Microsoft Entra ID ou um recurso compatível com CAE for por meio de um IP de saída compartilhado ou indefinido, não habilite a imposição estrita de localização em suas políticas de acesso condicional.
Etapa 3 – Usar a Pasta de Trabalho de CAE para Identificar endereços IP que devem ser adicionados às localizações nomeadas
Caso ainda não o tenha feito, crie uma nova Pasta de Trabalho do Azure usando o modelo público "Insights de Avaliação de Acesso Contínuo" para identificar a incompatibilidade de IPs entre o endereço IP visto pelo Microsoft Entra ID e o endereço IP (visto pelo recurso). Nesse caso, você poderá ter uma configuração de rede de túnel dividido. Para garantir que os usuários não sejam bloqueados acidentalmente quando a imposição de localização estrita estiver habilitada, os administradores devem:
Investigue e identifique qualquer endereço IP identificado na Pasta de Trabalho de CAE.
Adicionar endereços IP públicos associados com pontos de saída organizacionais conhecidos às localizações nomeadas definidas.
A captura de tela a seguir mostra um exemplo do acesso de um cliente a um recurso que está sendo bloqueado. Esse bloco ocorre devido a políticas que exigem que a imposição estrita de localização de CAE seja disparada, revogando a sessão do cliente.
Esse comportamento pode ser verificado nos logs de entrada. Procure o endereço IP (visto pelo recurso) e investigue a adição desse IP a localizações nomeadas se estiver enfrentando bloqueios inesperados do acesso condicional aos usuários.
Examinar a guia Detalhes da política de acesso condicional fornece mais detalhes sobre eventos de entrada bloqueados.
Etapa 4 – Continuar a implantação
Repita as etapas 2 e 3 com grupos de usuários em expansão até que Impor estritamente políticas de localização sejam aplicadas em sua base de usuários de destino. Implemente com cuidado para evitar impactos na experiência do usuário.
Solução de problemas com logs de entrada
Os administradores podem investigar os logs de entrada para encontrar casos com endereço IP (visto pelo recurso).
- Entre no Centro de administração do Microsoft Entra como, pelo menos, Leitor de Relatórios.
- Navegue até Identidade>Monitoramento e integridade>Logs de entrada.
- Encontre eventos a serem revisados adicionando filtros e colunas para filtrar informações desnecessárias.
Adicione a coluna endereço IP (visto pelo recurso) e filtre todos os itens em branco para restringir o escopo. O endereço IP (visto pelo recurso) fica em branco quando esse IP visto pelo Microsoft Entra ID corresponde ao endereço IP visto pelo recurso.
O endereço IP (visto pelo recurso) contém o filtro que não está vazio nos seguintes exemplos:
Autenticação inicial
A autenticação é bem-sucedida usando um token de CAE.
O endereço IP (visto pelo recurso) é diferente do endereço IP visto pelo Microsoft Entra ID. Embora o endereço IP visto pelo recurso seja conhecido, não há imposição até que o recurso redirecione o usuário para reavaliação do endereço IP visto pelo recurso.
A autenticação do Microsoft Entra é bem-sucedida porque a imposição estrita de localização não é aplicada no nível do recurso.
Redirecionamento de recursos para reavaliação
A autenticação falha e um token de CAE não é emitido.
O endereço IP (visto pelo recurso) é diferente do IP visto pelo Microsoft Entra ID.
A autenticação não é bem-sucedida porque o endereço IP (visto pelo recurso) não é uma localização nomeada no acesso condicional.