Använda platsvillkoret i en princip för villkorsstyrd åtkomst

Som förklaras i översiktsartikeln är principer för villkorsstyrd åtkomst som mest grundläggande och en if-then-instruktion som kombinerar signaler, fattar beslut och framtvingar organisationsprinciper. En av dessa signaler som kan införlivas i beslutsprocessen är plats.

Konceptuell villkorsstyrd signal plus beslut att få framtvingande

Organisationer kan använda den här platsen för vanliga uppgifter som:

  • Kräver multifaktorautentisering för användare som har åtkomst till en tjänst när de är utanför företagsnätverket.
  • Blockera åtkomst för användare som har åtkomst till en tjänst från specifika länder eller regioner.

Platsen bestäms av den offentliga IP-adress som en klient tillhandahåller Till Azure Active Directory eller GPS-koordinater som tillhandahålls av Microsoft Authenticator-appen. Principer för villkorsstyrd åtkomst gäller som standard för alla IPv4- och IPv6-adresser.

Namngivna platser

Platser namnges i Azure Portal under Azure Active Directory Security>>Villkorlig åtkomst>Namngivna platser. Dessa namngivna nätverksplatser kan innehålla platser som en organisations huvudkontors nätverksintervall, VPN-nätverksintervall eller intervall som du vill blockera. Namngivna platser kan definieras av IPv4/IPv6-adressintervall eller av länder.

Namngivna platser i Azure Portal

IP-adressintervall

Om du vill definiera en namngiven plats efter IPv4/IPv6-adressintervall måste du ange:

  • Ett namn för platsen
  • Ett eller flera IP-intervall
  • Du kan också markera som betrodd plats

Nya IP-platser i Azure Portal

Namngivna platser som definieras av IPv4/IPv6-adressintervall omfattas av följande begränsningar:

  • Konfigurera upp till 195 namngivna platser
  • Konfigurera upp till 2 000 IP-intervall per namngiven plats
  • Både IPv4- och IPv6-intervall stöds
  • Privata IP-intervall kan inte konfigureras
  • Antalet IP-adresser i ett intervall är begränsat. Endast CIDR-masker som är större än /8 tillåts när du definierar ett IP-intervall.

Betrodda platser

Administratörer kan namnge platser som definieras av IP-adressintervall för att vara betrodda namngivna platser.

Inloggningar från betrodda namngivna platser förbättrar noggrannheten för Azure AD Identity Protections riskberäkning, vilket minskar en användares inloggningsrisk när de autentiserar från en plats som markerats som betrodd. Dessutom kan betrodda namngivna platser vara mål för principer för villkorsstyrd åtkomst. Du kan till exempel begränsa registreringen av multifaktorautentisering till betrodda platser.

Länder

Organisationer kan fastställa landsplats efter IP-adress eller GPS-koordinater.

Om du vill definiera en namngiven plats efter land måste du ange:

  • Ett namn för platsen
  • Välj att fastställa plats efter IP-adress eller GPS-koordinater
  • Lägga till ett eller flera länder
  • Du kan också välja att inkludera okända länder/regioner

Land som en plats i Azure Portal

Om du väljer Bestäm plats efter IP-adress (endast IPv4) samlar systemet in IP-adressen för den enhet som användaren loggar in på. När en användare loggar in löser Azure AD användarens IPv4-adress till ett land eller en region, och mappningen uppdateras regelbundet. Organisationer kan använda namngivna platser som definieras av länder för att blockera trafik från länder där de inte gör affärer.

Anteckning

Inloggningar från IPv6-adresser kan inte mappas till länder eller regioner och betraktas som okända områden. Endast IPv4-adresser kan mappas till länder eller regioner.

Om du väljer Fastställ plats efter GPS-koordinater måste användaren ha Microsoft Authenticator-appen installerad på sin mobila enhet. Varje timme kontaktar systemet användarens Microsoft Authenticator-app för att samla in GPS-platsen för användarens mobila enhet.

Första gången användaren måste dela sin plats från Microsoft Authenticator-appen får användaren ett meddelande i appen. Användaren måste öppna appen och bevilja platsbehörigheter.

Under de kommande 24 timmarna, om användaren fortfarande har åtkomst till resursen och beviljat appen behörighet att köra i bakgrunden, delas enhetens plats tyst en gång i timmen.

  • Efter 24 timmar måste användaren öppna appen och godkänna meddelandet.
  • Användare som har nummermatchning eller ytterligare kontext aktiverat i Microsoft Authenticator-appen får inte meddelanden tyst och måste öppna appen för att godkänna meddelanden.

Varje gång användaren delar sin GPS-plats utför appen upplåsningsidentifiering (med samma logik som Intune MAM SDK). Om enheten är jailbrokad anses inte platsen vara giltig och användaren beviljas inte åtkomst.

En princip för villkorsstyrd åtkomst med GPS-baserade namngivna platser i rapportläge uppmanar användarna att dela sin GPS-plats, även om de inte blockeras från att logga in.

GPS-platsen fungerar inte med lösenordsfria autentiseringsmetoder.

Flera program för principer för villkorlig åtkomst kan uppmana användarna att ange sin GPS-plats innan alla principer för villkorsstyrd åtkomst tillämpas. På grund av hur principer för villkorsstyrd åtkomst tillämpas kan en användare nekas åtkomst om de klarar platskontrollen men misslyckas med en annan princip. Mer information om principtillämpning finns i artikeln Skapa en princip för villkorsstyrd åtkomst.

Viktigt

Användare kan få frågor varje timme om att Azure AD kontrollerar var de befinner sig i Authenticator-appen. Förhandsversionen bör endast användas för att skydda mycket känsliga appar där det här beteendet är acceptabelt eller där åtkomsten måste begränsas till ett visst land/en viss region.

Inkludera okända länder/regioner

Vissa IP-adresser mappas inte till ett visst land eller en viss region, inklusive alla IPv6-adresser. Om du vill samla in dessa IP-platser markerar du kryssrutan Inkludera okända länder/regioner när du definierar en geografisk plats. Med det här alternativet kan du välja om dessa IP-adresser ska ingå på den namngivna platsen. Använd den här inställningen när principen som använder den namngivna platsen ska gälla för okända platser.

Konfigurera betrodda IP-adresser för MFA

Du kan också konfigurera IP-adressintervall som representerar organisationens lokala intranät i inställningarna för multifaktorautentiseringstjänsten. Med den här funktionen kan du konfigurera upp till 50 IP-adressintervall. IP-adressintervallen är i CIDR-format. Mer information finns i Betrodda IP-adresser.

Om du har konfigurerat betrodda IP-adresser visas de som betrodda IP-adresser för MFA i listan över platser för platsvillkoret.

Hoppar över multifaktorautentisering

På sidan inställningar för multifaktorautentiseringstjänsten kan du identifiera företagsintranätsanvändare genom att välja Hoppa över multifaktorautentisering för begäranden från federerade användare på mitt intranät. Den här inställningen anger att invändigt företagsnätverksanspråk, som utfärdas av AD FS, ska vara betrott och användas för att identifiera användaren som i företagsnätverket. Mer information finns i Aktivera funktionen Betrodda IP-adresser med hjälp av villkorsstyrd åtkomst.

När du har kontrollerat det här alternativet gäller MFA:s betrodda IP-adresser för den namngivna platsen för alla principer med det här alternativet markerat.

För mobil- och skrivbordsprogram, som har livslängd för sessioner med lång livslängd, utvärderas villkorsstyrd åtkomst regelbundet på nytt. Standardvärdet är en gång i timmen. När det invända företagsnätverksanspråket endast utfärdas vid tidpunkten för den första autentiseringen kanske Azure AD inte har en lista över betrodda IP-intervall. I det här fallet är det svårare att avgöra om användaren fortfarande är i företagsnätverket:

  1. Kontrollera om användarens IP-adress finns i något av de betrodda IP-intervallen.
  2. Kontrollera om de tre första oktetterna i användarens IP-adress matchar de tre första oktetterna i IP-adressen för den första autentiseringen. IP-adressen jämförs med den första autentiseringen när det invända företagsnätverksanspråket ursprungligen utfärdades och användarplatsen verifierades.

Om båda stegen misslyckas anses en användare inte längre ha en betrodd IP-adress.

Platsvillkor i princip

När du konfigurerar platsvillkoret kan du skilja mellan:

  • Valfri plats
  • Alla betrodda platser
  • Valda platser

Valfri plats

Om du väljer Valfri plats tillämpas som standard en princip på alla IP-adresser, vilket innebär alla adresser på Internet. Den här inställningen är inte begränsad till IP-adresser som du har konfigurerat som namngiven plats. När du väljer Valfri plats kan du fortfarande exkludera specifika platser från en princip. Du kan till exempel tillämpa en princip på alla platser utom betrodda platser för att ange omfånget till alla platser, förutom företagsnätverket.

Alla betrodda platser

Det här alternativet gäller för:

  • Alla platser som har markerats som betrodda platser
  • Betrodda IP-adresser för MFA (om de har konfigurerats)

Valda platser

Med det här alternativet kan du välja en eller flera namngivna platser. För att en princip med den här inställningen ska gälla måste en användare ansluta från någon av de valda platserna. När du väljer den namngivna nätverksvalskontrollen som visar listan över namngivna nätverk öppnas. Listan visar också om nätverksplatsen har markerats som betrodd. Den namngivna platsen MFA Trusted IP används för att inkludera DE IP-inställningar som kan konfigureras på inställningssidan för multifaktorautentiseringstjänsten.

IPv6-trafik

Som standard gäller principer för villkorsstyrd åtkomst för all IPv6-trafik. Du kan undanta specifika IPv6-adressintervall från en princip för villkorsstyrd åtkomst om du inte vill att principer ska tillämpas för specifika IPv6-intervall. Om du till exempel inte vill framtvinga en princip för användning i företagsnätverket och företagsnätverket finns i offentliga IPv6-intervall.

Identifiera IPv6-trafik i rapporter om Azure AD inloggningsaktivitet

Du kan identifiera IPv6-trafik i din klientorganisation genom att gå till Azure AD inloggningsaktivitetsrapporterna. När du har öppnat aktivitetsrapporten lägger du till kolumnen "IP-adress". Den här kolumnen ger dig information om IPv6-trafiken.

Du kan också hitta klientens IP-adress genom att klicka på en rad i rapporten och sedan gå till fliken "Plats" i inloggningsaktivitetsinformationen.

När kommer min klientorganisation att ha IPv6-trafik?

Azure Active Directory (Azure AD) stöder för närvarande inte direkta nätverksanslutningar som använder IPv6. Det finns dock vissa fall där autentiseringstrafiken skickas via en annan tjänst. I dessa fall används IPv6-adressen under principutvärderingen.

Det mesta av IPv6-trafiken som skickas till Azure AD kommer från Microsoft Exchange Online. När det är tillgängligt föredrar Exchange IPv6-anslutningar. Så om du har några principer för villkorsstyrd åtkomst för Exchange, som har konfigurerats för specifika IPv4-intervall, bör du se till att du även har lagt till IPv6-intervall för organisationer. Om du inte tar med IPv6-intervall kan det orsaka oväntat beteende i följande två fall:

  • När en e-postklient används för att ansluta till Exchange Online med äldre autentisering kan Azure AD få en IPv6-adress. Den första autentiseringsbegäran skickas till Exchange och skickas sedan till Azure AD.
  • När Outlook Web Access (OWA) används i webbläsaren verifieras regelbundet att alla principer för villkorsstyrd åtkomst fortsätter att uppfyllas. Den här kontrollen används för att fånga fall där en användare kan ha flyttat från en tillåten IP-adress till en ny plats, till exempel kaféet längre ner på gatan. Om en IPv6-adress används och IPv6-adressen inte är i ett konfigurerat intervall kan användaren få sin session avbruten och omdirigeras tillbaka till Azure AD för att autentisera igen.

Om du använder virtuella Azure-nätverk får du trafik som kommer från en IPv6-adress. Om VNet-trafik blockeras av en princip för villkorsstyrd åtkomst kontrollerar du Azure AD inloggningsloggen. När du har identifierat trafiken kan du hämta IPv6-adressen som används och undanta den från principen.

Anteckning

Om du vill ange ett IP CIDR-intervall för en enskild adress använder du /128-bitarsmasken. Om du ser IPv6-adressen 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a och vill undanta den enskilda adressen som ett intervall, du skulle använda 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128.

Det här bör du veta

När utvärderas en plats?

Principer för villkorsstyrd åtkomst utvärderas när:

  • En användare loggar ursprungligen in på en webbapp, ett mobil- eller skrivbordsprogram.
  • Ett mobil- eller skrivbordsprogram som använder modern autentisering använder en uppdateringstoken för att hämta en ny åtkomsttoken. Som standard är den här kontrollen en gång i timmen.

Den här kontrollen innebär att för mobil- och skrivbordsprogram som använder modern autentisering identifieras en platsändring inom en timme efter att nätverksplatsen har ändrats. För mobil- och skrivbordsprogram som inte använder modern autentisering tillämpas principen på varje tokenbegäran. Frekvensen för begäran kan variera beroende på programmet. På samma sätt tillämpas principen för webbprogram vid den första inloggningen och är bra under sessionens livslängd i webbappen. På grund av skillnader i sessionslivslängd mellan program varierar även tiden mellan principutvärderingen. Varje gång programmet begär en ny inloggningstoken tillämpas principen.

Som standard utfärdar Azure AD en token per timme. När du har flyttat från företagsnätverket tillämpas principen inom en timme för program som använder modern autentisering.

Användarens IP-adress

IP-adressen som används i principutvärderingen är användarens offentliga IP-adress. För enheter i ett privat nätverk är den här IP-adressen inte klientens IP-adress för användarens enhet på intranätet, det är den adress som används av nätverket för att ansluta till det offentliga Internet.

Massuppladdning och nedladdning av namngivna platser

När du skapar eller uppdaterar namngivna platser kan du för massuppdateringar ladda upp eller ladda ned en CSV-fil med IP-intervallen. En uppladdning ersätter IP-intervallen i listan med dessa intervall från filen. Varje rad i filen innehåller ett IP-adressintervall i CIDR-format.

Molnproxyservrar och VPN:er

När du använder en molnbaserad proxy eller VPN-lösning är IP-adressen Azure AD använder när du utvärderar en princip proxyns IP-adress. X-Forwarded-For-huvudet (XFF) som innehåller användarens offentliga IP-adress används inte eftersom det inte finns någon validering av att den kommer från en betrodd källa, så det skulle vara en metod för att fejka en IP-adress.

När en molnproxy är på plats kan en princip som används för att kräva en hybrid Azure AD ansluten enhet användas, eller det inre corpnet-anspråket från AD FS.

API-stöd och PowerShell

Det finns en förhandsversion av Graph API för namngivna platser. Mer information finns i API:et namedLocation.

Nästa steg