Usando a condição de localização numa política de acesso condicional

Como explicado no artigo geral as políticas de acesso condicionado são no seu mais básico, uma declaração se-então combinando sinais, para tomar decisões e impor políticas de organização. Um desses sinais que podem ser incorporados no processo de tomada de decisão é a localização.

Sinal condicional conceptual mais decisão de ser enforcement

As organizações podem usar este local para tarefas comuns como:

  • Requerendo autenticação multifactor para os utilizadores que acedam a um serviço quando estão fora da rede corporativa.
  • Bloquear o acesso dos utilizadores que acedam a um serviço de países ou regiões específicas.

A localização é determinada pelo endereço IP público que um cliente fornece ao Azure Ative Directory ou às coordenadas GPS fornecidas pela aplicação Microsoft Authenticator. As políticas de acesso condicional por padrão aplicam-se a todos os endereços IPv4 e IPv6.

Localizações com nome

As localizações são nomeadas no portal do Azure ao abrigo doslocais nomeados paraacesso condicionaldesegurança>>do Diretório> Ativo Azure. Estas localizações de rede nomeadas podem incluir localizações como as gamas de rede de sede de uma organização, gamas de rede VPN ou intervalos que deseja bloquear. As localizações nomeadas podem ser definidas por intervalos de endereços IPv4/IPv6 ou por países.

Locais nomeados no portal do Azure

Intervalos de endereços IP

Para definir uma localização nomeada pelos intervalos de endereços IPv4/IPv6, terá de fornecer:

  • Um nome para a localização
  • Uma ou mais gamas de IP
  • Opcionalmente Marque como localização fidedigna

Novas localizações ip no portal do Azure

As localizações nomeadas definidas pelas gamas de endereços IPv4/IPv6 estão sujeitas às seguintes limitações:

  • Configurar até 195 locais nomeados
  • Configurar até 2000 gamas de IP por localização nomeada
  • As gamas IPv4 e IPv6 são suportadas
  • As gamas IP privadas não podem ser configuradas
  • O número de endereços IP contidos num intervalo é limitado. Apenas máscaras CIDR superiores a /8 são permitidas ao definir uma gama de IP.

Locais fidedignos

Os administradores podem nomear locais definidos por intervalos de endereços IP para serem confiáveis locais nomeados.

Os acessos de locais com nome fidedignos melhoram a precisão do cálculo de risco da proteção de identidade Azure AD, reduzindo o risco de entrada de um utilizador quando autenticam a partir de um local marcado como confiável. Além disso, locais com nome fidedigno podem ser direcionados para políticas de Acesso Condicional. Por exemplo, pode restringir o registo de autenticação multifactor a locais fidedignos.

Países

As organizações podem determinar a localização do país através do endereço IP ou das coordenadas GPS.

Para definir um local nomeado por país, você precisa fornecer:

  • Um nome para a localização
  • Escolha determinar a localização por endereço IP ou coordenadas GPS
  • Adicionar um ou mais países
  • Opcionalmente escolha incluir países/regiões desconhecidos

País como uma localização no portal do Azure

Se selecionar Determinar a localização por endereço IP (apenas IPv4), o sistema recolherá o endereço IP do dispositivo em que o utilizador está a iniciar a sua assinatura. Quando um utilizador assina, Azure AD resolve o endereço IPv4 do utilizador para um país ou região, e o mapeamento é atualizado periodicamente. As organizações podem usar locais nomeados definidos por países para bloquear o tráfego de países onde não fazem negócios.

Nota

As inscrições dos endereços IPv6 não podem ser mapeadas para países ou regiões e são consideradas áreas desconhecidas. Apenas os endereços IPv4 podem ser mapeados para países ou regiões.

Se selecionar determinar a localização pelas coordenadas GPS, o utilizador terá de ter a aplicação Microsoft Authenticator instalada no seu dispositivo móvel. A cada hora, o sistema entrará em contacto com a aplicação microsoft autenticadora do utilizador para recolher a localização GPS do dispositivo móvel do utilizador.

A primeira vez que o utilizador é obrigado a partilhar a sua localização a partir da aplicação Microsoft Authenticator, o utilizador receberá uma notificação na aplicação. O utilizador terá de abrir a aplicação e conceder permissões de localização.

Nas próximas 24 horas, se o utilizador ainda estiver a aceder ao recurso e tiver autorização para executar em segundo plano, a localização do dispositivo é partilhada silenciosamente uma vez por hora.

  • Após 24 horas, o utilizador deve abrir a app e aprovar a notificação.
  • Os utilizadores que tenham um número de correspondência ou um contexto adicional ativado na aplicação Microsoft Authenticator não receberão notificações silenciosamente e devem abrir a aplicação para aprovar notificações.

Sempre que o utilizador partilha a sua localização de GPS, a aplicação faz a deteção de jailbreak (utilizando a mesma lógica que o Intune MAM SDK). Se o dispositivo for preso, o local não é considerado válido, e o utilizador não tem acesso.

Uma política de acesso condicional com localizações com nome gPS no modo apenas de relatórios leva os utilizadores a partilhar a sua localização de GPS, mesmo que não estejam impedidos de iniciar sessão.

A localização do GPS não funciona com métodos de autenticação sem palavras-passe.

Várias aplicações de políticas de acesso condicional podem levar os utilizadores para a sua localização GPS antes de todas as políticas de Acesso Condicional serem aplicadas. Devido à forma como as políticas de acesso condicional são aplicadas, um utilizador pode ser impedido de ter acesso se passar na verificação de localização, mas falhar outra política. Para obter mais informações sobre a aplicação de políticas, consulte o artigo Construir uma política de acesso condicional.

Importante

Os utilizadores podem receber solicitações de hora em hora, informando-os de que Azure AD está a verificar a sua localização na aplicação Authenticator. A pré-visualização só deve ser usada para proteger aplicações muito sensíveis em caso de aceitável ou onde o acesso deve ser restringido a um país/região específico.

Incluir países/regiões desconhecidos

Alguns endereços IP não são mapeados para um país ou região específico, incluindo todos os endereços IPv6. Para capturar estes locais IP, verifique a caixa Inclua países/regiões desconhecidos ao definir uma localização geográfica. Esta opção permite-lhe escolher se estes endereços IP devem ser incluídos no local nomeado. Utilize esta definição quando a política que utiliza a localização nomeada se aplicar a locais desconhecidos.

Configure IPs fidedignos da MFA

Também pode configurar intervalos de endereços IP que representam a intranet local da sua organização nas definições de serviço de autenticação multifactor. Esta funcionalidade permite-lhe configurar até 50 intervalos de endereços IP. Os intervalos de endereços IP estão no formato CIDR. Para obter mais informações, veja IPs Fidedignos.

Se tiver IPs fidedignos configurados, eles aparecem como IPs fidedignos da MFA na lista de locais para a condição de localização.

Saltar a autenticação multifactor

Na página de definições de serviço de autenticação multifactor, pode identificar utilizadores intranet corporativos selecionando a autenticação multifactor Skip para pedidos de utilizadores federados na minha intranet. Esta definição indica que a alegação de rede corporativa interna, emitida pela AD FS, deve ser confiável e usada para identificar o utilizador como estando na rede corporativa. Para obter mais informações, consulte ativar a funcionalidade IPs Fidedigna utilizando o Acesso Condicional.

Após a verificação desta opção, incluindo o local nomeado MFA Trusted IPs aplicar-se-á a quaisquer políticas com esta opção selecionada.

Para aplicações móveis e desktop, que têm longas vidas de sessão, o Acesso Condicional é periodicamente reavaliado. O padrão é uma vez por hora. Quando a reclamação da rede corporativa interna só for emitida no momento da autenticação inicial, Azure AD pode não ter uma lista de gamas IP fidedignas. Neste caso, é mais difícil determinar se o utilizador ainda está na rede corporativa:

  1. Verifique se o endereço IP do utilizador está numa das gamas IP fidedignas.
  2. Verifique se os três primeiros octetos do endereço IP do utilizador correspondem aos três primeiros octetos do endereço IP da autenticação inicial. O endereço IP é comparado com a autenticação inicial quando a reclamação da rede corporativa interna foi originalmente emitida e a localização do utilizador foi validada.

Se ambos os passos falharem, considera-se que um utilizador já não se encontra num IP de confiança.

Condição de localização na política

Ao configurar a condição de localização, pode distinguir entre:

  • Qualquer localização
  • Todos os locais de confiança
  • Locais selecionados

Qualquer localização

Por predefinição, a seleção de Qualquer localização faz com que uma política seja aplicada a todos os endereços IP, o que significa qualquer endereço na Internet. Esta definição não se limita a endereços IP configurados como localização nomeada. Quando seleciona Qualquer local, ainda pode excluir localizações específicas de uma apólice. Por exemplo, pode aplicar uma política a todos os locais, exceto locais fidedignos, para definir o âmbito de aplicação em todos os locais, exceto na rede corporativa.

Todos os locais de confiança

Esta opção aplica-se a:

  • Todos os locais que foram marcados como localização confiável
  • IPs fidedignos da MFA (se configurados)

Locais selecionados

Com esta opção, pode selecionar um ou mais locais nomeados. Para que uma política com esta definição se aplique, um utilizador precisa de se conectar a partir de qualquer um dos locais selecionados. Quando selecionar o controlo de seleção de rede nomeado que mostra a lista de redes nomeadas abre-se. A lista também mostra se a localização da rede foi marcada como confiável. A localização nomeada chamada MFA Trusted IPs é usada para incluir as definições de IP que podem ser configuradas na página de definição de serviço de autenticação multifactor.

Tráfego IPv6

Por predefinição, as políticas de acesso condicional aplicar-se-ão a todo o tráfego IPv6. Pode excluir gamas específicas de endereços IPv6 de uma política de Acesso Condicional se não quiser que as políticas sejam aplicadas para gamas específicas de IPv6. Por exemplo, se não pretender impor uma política de utilização na sua rede corporativa, e a sua rede corporativa está hospedada em gamas públicas de IPv6.

Identificação do tráfego IPv6 nos relatórios de atividades de inscrição Azure AD

Você pode descobrir o tráfego IPv6 no seu inquilino indo o Azure AD relatórios de atividades de inscrição. Depois de ter o relatório de atividade aberto, adicione a coluna "endereço IP". Esta coluna vai dar-lhe para identificar o tráfego IPv6.

Também pode encontrar o IP do cliente clicando numa linha no relatório e, em seguida, indo para o separador "Localização" nos detalhes da atividade de login.

Quando é que o meu inquilino vai ter tráfego IPv6?

O Azure Ative Directory (Azure AD) não suporta atualmente ligações diretas de rede que utilizam o IPv6. No entanto, existem alguns casos em que o tráfego de autenticação é proxiitado através de outro serviço. Nestes casos, o endereço IPv6 será utilizado durante a avaliação política.

A maior parte do tráfego IPv6 que é proxiitado para Azure AD vem de Microsoft Exchange Online. Quando disponível, o Exchange preferirá as ligações IPv6. Portanto, se tiver alguma política de Acesso Condicional para Troca, que tenha sido configurada para gamas específicas do IPv4, deverá certificar-se de que também adicionou as gamas IPv6 das suas organizações. Sem incluir as gamas IPv6 causará um comportamento inesperado para os dois casos seguintes:

  • Quando um cliente de correio é utilizado para ligar a Exchange Online com a autenticação antiga, Azure AD podem receber um endereço IPv6. O pedido inicial de autenticação vai para a Bolsa e é então proxied para Azure AD.
  • Quando o Outlook Web Access (OWA) for utilizado no navegador, verificará periodicamente todas as políticas de Acesso Condicional que continuam a ser satisfeitas. Esta verificação é usada para capturar casos em que um utilizador pode ter mudado de um endereço IP permitido para um novo local, como o café ao fundo da rua. Neste caso, se for utilizado um endereço IPv6 e se o endereço IPv6 não estiver num intervalo configurado, o utilizador poderá ter a sua sessão interrompida e ser direcionado de volta para Azure AD para reauttenticar.

Se estiver a usar VNets Azure, terá tráfego vindo de um endereço IPv6. Se tiver o tráfego VNet bloqueado por uma política de Acesso Condicional, verifique o seu registo de Azure AD de entrada. Uma vez identificado o tráfego, pode obter a utilização do endereço IPv6 e excluí-lo da sua política.

Nota

Se pretender especificar um intervalo IP CIDR para um único endereço, aplique a máscara /128 bit. Se vir o endereço IPv6 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a e quiser excluir esse único endereço como um intervalo, você usaria 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

O que deve saber

Quando é avaliado um local?

As políticas de acesso condicional são avaliadas quando:

  • Um utilizador inicialmente assina uma aplicação web, aplicação móvel ou desktop.
  • Uma aplicação móvel ou desktop que utiliza a autenticação moderna, usa um token de atualização para adquirir um novo token de acesso. Por predefinição, esta verificação é uma vez por hora.

Esta verificação significa que para aplicações móveis e desktop usando a autenticação moderna, uma alteração na localização seria detetada dentro de uma hora após a alteração da localização da rede. Para aplicações móveis e desktop que não utilizem a autenticação moderna, a política é aplicada em cada pedido simbólico. A frequência do pedido pode variar em função da aplicação. Da mesma forma, para aplicações web, a política é aplicada no início da sessão e é boa para o tempo de vida da sessão na aplicação web. Devido às diferenças nas horas de sessão entre aplicações, o tempo entre a avaliação das políticas também variará. Cada vez que o pedido solicita um novo sinal de inscrição, a apólice é aplicada.

Por defeito, Azure AD emite um símbolo de hora a hora. Depois de sair da rede corporativa, dentro de uma hora a política é aplicada para aplicações usando a autenticação moderna.

Endereço IP do utilizador

O endereço IP utilizado na avaliação de políticas é o endereço IP público do utilizador. Para dispositivos numa rede privada, este endereço IP não é o IP do cliente do dispositivo do utilizador na intranet, é o endereço utilizado pela rede para se ligar à internet pública.

Carregamento e descarregamento em massa de locais nomeados

Quando criar ou atualizar localizações nomeadas, para atualizações a granel, pode carregar ou descarregar um ficheiro CSV com as gamas IP. Um upload substitui as gamas IP da lista por essas variações a partir do ficheiro. Cada linha do ficheiro contém uma gama de endereços IP no formato CIDR.

Proxies de nuvem e VPNs

Quando utiliza uma solução de procuração ou VPN hospedada na nuvem, o endereço IP Azure AD utiliza enquanto avalia uma política é o endereço IP do representante. O cabeçalho X-Forwarded-For (XFF) que contém o endereço IP público do utilizador não é utilizado porque não há validação de que ele provenha de uma fonte fidedigna, por isso apresentaria um método para falsificar um endereço IP.

Quando um proxy de nuvem está no lugar, uma política que é usada para exigir um dispositivo híbrido Azure AD unidos pode ser usado, ou a reivindicação de corpnet interno da AD FS.

Suporte da API e PowerShell

Uma versão de pré-visualização do Graph API para localizações nomeadas está disponível, para mais informações, consulte a API delocalização.

Passos seguintes