Использование условия месторасположения в политике условного доступа

Как описано в статье с общими сведениями, политики условного доступа — это наиболее простой оператор if-then, объединяющий сигналы для принятия решений и обеспечения соблюдения политики организации. Одним из таких сигналов, которые можно учитывать в процессе принятия решений, — это расположение.

Концептуальный условный сигнал и решение о принудительном применении

Организации могут использовать это расположение для таких распространенных задач, как:

  • требование многофакторной проверки подлинности для пользователей, которые пытаются получить доступ к службе, но пока отключены от корпоративной сети;
  • Блокировка доступа для пользователей, которые пытаются получить доступ к службе из определенных стран или регионов.

Расположение определяется общедоступным IP-адресом, предоставляемым клиентом для Azure Active Directory, или GPS-координатами, предоставленными приложением Microsoft Authenticator. Политики условного доступа по умолчанию применяются ко всем адресам IPv4 и IPv6.

Именованные расположения

Расположения назначаются на портале Azure в разделе Azure Active Directory>Безопасность>Условный доступ>Именованные расположения. К именованным расположениям в сети можно отнести такие расположения, как диапазоны сетей главного офиса организации, диапазоны виртуальных частных сетей или диапазоны, которые вы хотите заблокировать. Именованные расположения можно определить с помощью диапазонов адресов IPv4/IPv6 или стран.

Именованные расположения на портале Azure

Диапазоны IP-адресов

Чтобы определить именованное расположение по диапазонам адресов IPv4/IPv6, необходимо указать следующие сведения:

  • Имя расположения.
  • Один или несколько диапазонов IP-адресов.
  • Или выбрать Отметить как надежное расположение.

Новые расположения IP-адреса на портале Azure

К именованным расположениям, определяемым диапазонами адресов IPv4/IPv6, применяются следующие ограничения:

  • Возможность настройки до 195 именованных расположений.
  • Возможность настройки до 2000 диапазонов IP-адресов на именованное расположение.
  • Поддерживаются диапазоны адресов IPv4 и IPv6.
  • Возможность настройки диапазонов частных IP-адресов не поддерживается.
  • Число IP-адресов, содержащихся в диапазоне, ограничено. При определении диапазона IP-адресов разрешены только маски CIDR длиной больше /8.

Надежные расположения

Администраторы могут обозначать расположения, определенные диапазонами IP-адресов, как надежные именованные расположения.

Входы из надежных именованных расположений улучшают точность вычисления рисков службой "Защита идентификации Azure Active Directory", снижая для пользователей риски при входе, если они проходят проверку подлинности из расположения, отмеченного как надежное. Кроме того, надежные именованные расположения можно использовать как целевые объекты в политиках условного доступа. Например, вы можете применить ограничения, чтобы многофакторная проверка подлинности выполнялась только в надежных расположениях.

Страны

Организации могут определить расположение страны по IP-адресу или координатам GPS.

Чтобы определить именованное расположение по стране, необходимо указать следующие сведения:

  • Имя расположения.
  • Выбрать параметр для определения расположения по IP-адресу или координатам GPS.
  • Добавить одну или несколько стран.
  • Также можно дополнительно включить неизвестные страны или регионы.

Страна в качестве расположения на портале Azure

Если выбрать параметр Determine location by IP address (IPv4 only) (Определять расположение по IP-адресу (только IPv4)), система будет собирать данные IP-адреса устройства, с помощью которого пользователь входит в систему. Когда пользователь входит в систему, Azure Active Directory разрешает адрес IPv4 пользователя в страну или регион и происходит периодическое обновление сопоставления. Организации могут использовать именованные местоположения, определенные странами, для блокировки трафика из стран, в которых они не ведут деятельность.

Примечание

Операции входа с адресов IPv6 нельзя сопоставить со странами или регионами, поэтому они считаются неизвестными областями. Со странами или регионами можно сопоставлять только адреса IPv4.

Если выбрать параметр Determine location by GPS coordinates (Определить расположение с помощью GPS-координат), пользователю потребуется установить приложение Microsoft Authenticator на мобильное устройство. Каждый час система будет связываться с приложением Microsoft Authenticator пользователя, чтобы получить сведения о расположении его мобильного устройства с помощью GPS.

Когда пользователю в первый раз потребуется передать сведения о своем расположении из приложения Microsoft Authenticator, он получит соответствующее уведомление в приложении. Для этого понадобится открыть приложение и предоставить разрешения на использование данных о расположении.

Если пользователь по-прежнему будет обращаться к ресурсу, предоставив разрешение на выполнение приложения в фоновому режиме, на протяжении следующих 24 часов, данные о расположении устройства будут автоматически передаваться каждый час.

  • Спустя 24 часа пользователь должен открыть приложение и подтвердить уведомление.
  • Пользователи, у которых в приложении Microsoft Authenticator включено сопоставление чисел или дополнительный контекст, не будут получать уведомления автоматически. Для утверждения уведомлений нужно будет открыть приложение.

Каждый раз, когда пользователь разглашает свое GPS-расположение, приложение выполняет обнаружение взлома (используя ту же логику, что и пакет SDK для MAM Intune). Если устройство взломано, расположение не считается допустимым и пользователю не предоставляется доступ.

Политика условного доступа с именованными расположениями на основе GPS в режиме "только отчет" предлагает пользователям предоставить доступ к их GPS-расположениям, даже если им запрещен вход.

GPS-расположения не работают со способами проверки подлинности без пароля.

Для применения сразу нескольких политик условного доступа эти политики могут запрашивать у пользователей GPS-расположение. Из-за особенностей применения политик условного доступа пользователю может быть отказано в доступе, если он прошел проверку расположения, но не соответствует требованиям другой политики. Дополнительные сведения о применении политик см. в статье о создании политики условного доступа.

Важно!

Пользователи могут получать запросы каждый час, чтобы убедиться, что Azure AD проверяет их расположение в приложении Authenticator. Предварительный просмотр следует использовать только для защиты приложений с конфиденциальными данными, в которых такое поведение приемлемо, или если требуется ограничить доступ для конкретной страны или региона.

Включение неизвестных стран и регионов

Некоторые IP-адреса, в том числе все адреса IPv6, не сопоставлены с определенными страной или регионом. Чтобы собирать данные об этих IP-адресах, установите флажок Включить неизвестные страны и регионы при определении географического расположения. Этот параметр позволяет указать, нужно ли включать эти IP-адреса в именованное расположение. Используйте данный параметр, когда политика, использующая именованное расположение, должна применяться к неизвестным расположениям.

Настройка надежных IP-адресов для MFA

Кроме того, вы можете настроить диапазоны IP-адресов, представляющие локальную интрасеть в параметрах службы многофакторной проверки подлинности. Эта функция позволяет настроить до 50 диапазонов IP-адресов. Диапазоны IP-адресов имеют формат CIDR. Дополнительные сведения см. в разделе Надежные IP-адреса.

Если надежные IP-адреса настроены, они отображаются в списке расположений для условия расположения как надежные IP-адреса MFA.

Пропуск многофакторной проверки подлинности

На странице параметров службы многофакторной проверки подлинности можно определить пользователей корпоративной интрасети, установив флажок Пропустить многофакторную проверку подлинности для запросов от федеративных пользователей из моей интрасети. Этот параметр указывает, что внутреннее утверждение корпоративной сети, выдаваемое сервером служб федерации Active Directory (AD FS), должно быть надежным и использоваться для идентификации пользователя в корпоративной сети. Дополнительные сведения см. в разделе Включение функции надежных IP-адресов с помощью условного доступа.

Если установить этот параметр, он, включая именованное расположение надежных IP-адресов MFA, будет применяться ко всем политикам, для которых установлен этот флажок.

Для мобильных и классических приложений с долгим временем существования сеансов периодически проводится повторная проверка условного доступа. По умолчанию — один раз в час. Если внутренне утверждение корпоративной сети выпускается только во время первоначальной проверки подлинности, Azure AD может не иметь списка диапазонов надежных IP-адресов. В этом случае трудно определить, находится ли по-прежнему пользователь в корпоративной сети.

  1. Проверьте, входит ли IP-адрес пользователя в один из диапазонов надежных IP-адресов.
  2. Проверьте, соответствуют ли первые три октета IP-адреса пользователя первым трем октетам IP-адреса начальной проверки подлинности. IP-адрес сравнивается с адресом при начальной проверке подлинности во время создания утверждения внутри корпоративной сети, а также выполнении проверки расположения пользователя.

Если оба этапа завершатся ошибкой, считается, что пользователь больше не использует надежный IP-адрес.

Условие расположения в политике

При настройке условия расположения вы можете выбрать:

  • Любое расположение
  • Все надежные расположения
  • Выбранные расположения

Любое расположение

По умолчанию выбор варианта Любое местонахождение приводит к тому, что политика применяется ко всем IP-адресам (то есть к любому адресу в Интернете). Этот параметр не ограничен IP-адресами, настроенными как именованное расположение. Выбрав вариант Любое местонахождение, вы все равно можете исключить определенные расположения из политики. Например, можно применить политику ко всем расположениям (за исключением надежных расположений), чтобы задать для области все расположения (за исключением корпоративной сети).

Все надежные расположения

Этот параметр применяется:

  • ко всем расположениям, помеченным как надежное расположение;
  • надежным IP-адресам MFA (если настроены).

Выбранные расположения

С помощью этого параметра можно выбрать одно или несколько именованных расположений. Для применения политики с этим параметром пользователю необходимо подключиться из любого из выбранных расположений. Если щелкнуть Выбрать, откроется элемент управления со списком именованных сетей. В списке также показано, является ли надежным расположение в сети. Именованное расположение Надежные IP-адреса MFA используется для включения параметров IP-адресов, которые можно настроить на странице параметров службы многофакторной проверки подлинности.

Трафик IPv6

По умолчанию политики условного доступа применяются ко всему трафику IPv6. Однако, вы можете исключить определенные диапазоны IPv6-адресов из политики условного доступа, если хотите, чтобы к некоторым диапазонам адресов IPv6 такие политики не применялись. Например, если вы не хотите применять политику для случаев использования в корпоративной сети, размещенной в диапазонах общедоступных адресов IPv6.

Определение трафика IPv6 в отчетах о действиях входа в Azure Active Directory

Вы можете обнаружить трафик IPv6 в клиенте, создав отчеты о действиях входа в Azure Active Directory. Открыв отчет о действиях, добавьте столбец "IP-адрес". Этот столбец позволит вам определить трафик IPv6.

IP-адрес клиента можно также найти, щелкнув строку в отчете, а затем перейдя на вкладку "Расположение" в разделе сведений о действии входа.

Когда у моего клиента появится трафик IPv6?

Azure Active Directory (AAD) в настоящее время не поддерживает прямые сетевые подключения, использующие IPv6. Однако иногда трафик проверки подлинности может передаваться через прокси другой службы. В этих случаях адрес IPv6 будет использоваться во время оценки политики.

Большая часть трафика IPv6, который передается в Azure Active Directory через прокси-сервер, поступает из Microsoft Exchange Online. Если такой параметр поддерживается, Exchange будет использовать только подключения по IPv6. Следовательно, при наличии политик условного доступа для Exchange, настроенных на определенные диапазоны IPv4, понадобится убедиться, что вы также добавили диапазоны адресов IPv6 организации. Отсутствие диапазонов адресов IPv6 приведет к неожиданному поведению в следующих двух случаях:

  • Azure Active Directory может получить IPv6-адрес при подключении к Exchange Online с использованием устаревшей проверки подлинности с помощью почтового клиента. Запрос на первоначальную проверку подлинности поступает в Exchange, а затем передается через прокси-сервер службе Azure Active Directory.
  • При использовании в браузере Outlook Web Access (OWA) будет периодически проверять соблюдение всех политик условного доступа. Такая проверка позволяет определить случаи перехода пользователя из разрешенного IP-адреса на IP-адрес другого расположения, например, при перемещении в кофейню на соседней улице. В этом случае, если используется адрес IPv6 и при этом он не входит в настроенный диапазон, сеанс пользователя может быть прерван и перенаправлен в Azure Active Directory для повторной проверки подлинности.

При использовании виртуальных сетей Azure ваш трафик будет поступать из адреса IPv6. Если трафик виртуальной сети заблокирован политикой условного доступа, проверьте журнал действий входа в Azure Active Directory. Определив трафик, вы можете получить используемый адрес IPv6 и исключить его из своей политики.

Примечание

Если необходимо указать диапазон CIDR IP для одного адреса, примените битовую маску /128. Предположим, ваш IPv6-адрес — 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a, и вы хотели бы исключить этот один адрес как диапазон. В этом случае вам нужно использовать 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Необходимая информация

Когда выполняется проверка расположения

Политики условного доступа оцениваются:

  • Изначально пользователь входит в веб-приложение, мобильное или классическое приложение.
  • Мобильное или классическое приложение, в котором применяется современная аутентификация, использует маркер обновления для получения нового маркера доступа. По умолчанию проверка происходит один раз в час.

Это значит, что для мобильных и классических приложений, использующих современную аутентификацию, изменение сетевого расположения будет обнаружено в течение часа. Для мобильных и классических приложений, которые не используют современную аутентификацию, к каждому запросу на маркер применяется политика. Частота выполнения запроса зависит от приложения. Для веб-приложений политика также применяется во время начального входа и действует в течение времени существования сеанса веб-приложения. Поскольку в разных приложениях время сеанса будет разным, интервал между оценкам политики также может меняться. Каждый раз, когда приложение запрашивает новый маркер входа, применяется политика.

По умолчанию Azure AD выдает токен на почасовой основе. После перемещения из корпоративной сети в течение часа политика применяется для приложений, использующих современную проверку подлинности.

IP-адрес пользователя

При оценке политики используется общедоступный IP-адрес пользователя. Для устройств в частной сети используется этот IP-адрес — не клиентский IP-адрес устройства пользователя в интрасети, а адрес, применяемый в сети для подключения к Интернету.

Массовое обновление и загрузка именованных расположений

При создании или обновлении именованных расположений для массовых обновлений можно передать или скачать CSV-файл с диапазонами IP-адресов. При передаче диапазоны IP-адресов заменяются диапазонами, указанными в файле. Каждая строка файла содержит один диапазон IP-адресов в формате CIDR.

Облачные прокси-серверы и виртуальные частные сети (VPN)

Если используется прокси-сервер, размещенный в облаке, или решение VPN, при оценке политики Azure AD использует IP-адрес прокси-сервера. Заголовок X-Forwarded-For (XFF), содержащий общедоступный IP-адрес пользователей, не используется, так как нет подтверждения того, что он поступает из надежного источника, а значит может быть поддельным.

При наличии облачного прокси-сервера можно использовать политику, требующую устройства с гибридным присоединением к Azure AD или внутреннее утверждение корпоративной сети из AD FS.

Поддержка API и PowerShell

Доступна предварительная версия API Graph для именованных расположений. Дополнительные сведения см. в описании API namedLocation.

Дальнейшие действия