Villkorlig åtkomst: Nätverkstilldelning

  • Artikel

Administratörer kan skapa principer som riktar sig mot specifika nätverksplatser som en signal tillsammans med andra villkor i beslutsprocessen. De kan inkludera eller exkludera dessa nätverksplatser som en del av sin principkonfiguration. Dessa nätverksplatser kan innehålla offentlig IPv4- eller IPv6-nätverksinformation, länder, okända områden som inte mappas till specifika länder eller globalt nätverk som uppfyller kraven för säker åtkomst.

Diagram som visar begreppet signaler för villkorsstyrd åtkomst samt beslut om att tillämpa organisationsprincip.

Kommentar

Principer för villkorsstyrd åtkomst tillämpas när förstafaktorautentiseringen har slutförts. Villkorsstyrd åtkomst är inte avsedd att vara en organisations första försvarslinje för scenarier som DoS-attacker (Denial-of-Service), men den kan använda signaler från dessa händelser för att fastställa åtkomst.

Organisationer kan använda dessa platser för vanliga uppgifter som:

  • Kräver multifaktorautentisering för användare som har åtkomst till en tjänst när de är utanför företagsnätverket.
  • Blockera åtkomst från specifika länder som din organisation aldrig arbetar från.

En användares plats hittas med hjälp av deras offentliga IP-adress eller DE GPS-koordinater som tillhandahålls av Microsoft Authenticator-appen. Principer för villkorlig åtkomst gäller som standard för alla platser.

Dricks

Platsvillkoret har flyttats och har bytt namn till Nätverk. Först visas det här villkoret på både tilldelningsnivå och under Villkor.

Skärmbild som visar villkoret för nätverkstilldelning i principen för villkorsstyrd åtkomst.

När den konfigureras i principen

När du konfigurerar platsvillkor kan du skilja mellan:

  • Alla nätverk eller platser
  • Alla betrodda nätverk och platser
  • Alla kompatibla nätverksplatser
  • Valda nätverk och platser

Alla nätverk eller platser

Om du väljer Valfri plats tillämpas som standard en princip på alla IP-adresser, vilket innebär alla adresser på Internet. Den här inställningen är inte begränsad till IP-adresser som du konfigurerar som namngivna platser. När du väljer Valfri plats kan du fortfarande exkludera specifika platser från en princip. Du kan till exempel tillämpa en princip på alla platser utom betrodda platser för att ange omfånget till alla platser, förutom företagsnätverket.

Alla betrodda nätverk och platser

Det här alternativet gäller för:

  • Alla platser som har markerats som betrodda platser.
  • Betrodda IP-adresser för multifaktorautentisering, om de har konfigurerats.

Betrodda IP-adresser för multifaktorautentisering

Användning av avsnittet betrodda IP-adresser i tjänstinställningarna för multifaktorautentisering rekommenderas inte längre. Den här kontrollen accepterar endast IPv4-adresser och bör endast användas för specifika scenarier som beskrivs i artikeln Konfigurera inställningar för multifaktorautentisering i Microsoft Entra.

Om du har konfigurerat dessa betrodda IP-adresser visas de som betrodda IP-adresser för MFA i listan över platser för platsvillkoret.

Alla kompatibla nätverksplatser

Organisationer med åtkomst till förhandsversionsfunktioner för global säker åtkomst har en annan plats som består av användare och enheter som följer organisationens säkerhetsprinciper. Mer information finns i avsnittet Aktivera global säker åtkomstsignalering för villkorsstyrd åtkomst. Den kan användas med principer för villkorsstyrd åtkomst för att utföra en kompatibel nätverkskontroll för åtkomst till resurser.

Valda nätverk och platser

Med det här alternativet kan du välja en eller flera namngivna platser. För att en princip med den här inställningen ska gälla måste en användare ansluta från någon av de valda platserna. När du väljer Välj visas en lista över definierade platser som öppnas. Den här listan visar namn, typ och om nätverksplatsen är markerad som betrodd.

Hur definieras dessa platser?

Platser definieras och finns i administrationscentret för Microsoft Entra under Skydd>Villkorlig åtkomst>Namngivna platser. Administratörer med minst rollen Administratör för villkorlig åtkomst kan skapa och uppdatera namngivna platser.

Skärmbild av namngivna platser i administrationscentret för Microsoft Entra.

Namngivna platser kan innehålla platser som en organisations huvudkontorsnätverksintervall, VPN-nätverksintervall eller intervall som du vill blockera. Namngivna platser innehåller IPv4-adressintervall, IPv6-adressintervall eller länder.

Adressintervall för IPv4 och IPv6

Om du vill definiera en namngiven plats efter offentliga IPv4- eller IPv6-adressintervall måste du ange:

  • Ett namn på platsen.
  • Ett eller flera offentliga IP-intervall.
  • Du kan också markera som betrodd plats.

Namngivna platser som definieras av IPv4/IPv6-adressintervall omfattas av följande begränsningar:

  • Högst 195 namngivna platser.
  • Högst 2 000 IP-intervall per namngiven plats.
  • Endast CIDR-masker som är större än /8 tillåts när du definierar ett IP-intervall.

För enheter i ett privat nätverk är IP-adressen inte klientens IP-adress för användarens enhet på intranätet (till exempel 10.55.99.3), det är adressen som används av nätverket för att ansluta till det offentliga Internet (till exempel 198.51.100.3).

Betrodda platser

Administratörer kan också markera IP-baserade platser som organisationens offentliga nätverksintervall som betrodda. Den här märkningen används av funktioner på flera sätt.

  • Principer för villkorsstyrd åtkomst kan inkludera eller exkludera dessa platser.
  • Inloggningar från betrodda namngivna platser förbättrar noggrannheten i Microsoft Entra ID Protections riskberäkning.

Platser som är markerade som betrodda kan inte tas bort utan att den betrodda beteckningen först tas bort.

Länder

Organisationer kan fastställa en geografisk plats för land efter IP-adress eller GPS-koordinater.

Om du vill definiera en namngiven plats efter land måste du:

  • Ange ett namn för platsen.
  • Välj att fastställa plats efter IP-adress eller GPS-koordinater.
  • Lägg till ett eller flera länder/regioner.
  • Du kan också välja Att inkludera okända länder/regioner.

Skärmbild av hur du skapar en ny plats med hjälp av länder.

När du väljer Bestäm plats efter IP-adress löser Microsoft Entra-ID användarens IPv4- eller IPv6-adress till ett land eller en region, baserat på en periodiskt uppdaterad mappningstabell.

När du väljer Bestäm plats efter GPS-koordinater måste användarna ha Microsoft Authenticator-appen installerad på sin mobila enhet. Varje timme kontaktar systemet användarens Microsoft Authenticator-app för att samla in GPS-platsen för deras mobila enhet.

  • Första gången användaren måste dela sin plats från Microsoft Authenticator-appen får de ett meddelande i appen. Användaren måste öppna appen och bevilja platsbehörigheter. Under de kommande 24 timmarna delas enhetens plats tyst en gång i timmen om användaren fortfarande har åtkomst till resursen och beviljat appen behörighet att köra den i bakgrunden.
  • Efter 24 timmar måste användaren öppna appen och godkänna meddelandet.
  • Varje gång användaren delar sin GPS-plats gör appen jailbreak-identifiering med samma logik som Microsoft Intune MAM SDK. Om enheten är jailbrokad anses platsen inte vara giltig och användaren beviljas inte åtkomst.
    • Microsoft Authenticator-appen på Android använder Google Play Integrity API för att underlätta identifiering av jailbreak. Om Google Play Integrity-API:et inte är tillgängligt nekas begäran och användaren kan inte komma åt den begärda resursen om inte principen för villkorsstyrd åtkomst är inaktiverad. Mer information om Microsoft Authenticator-appen finns i artikeln Vanliga frågor om Microsoft Authenticator-appen.
  • Användare kan ändra GPS-platsen enligt rapporter från iOS- och Android-enheter. Därför nekar Microsoft Authenticator-appen autentiseringar där användaren kanske använder en annan plats än den faktiska GPS-platsen för den mobila enhet där appen är installerad. Användare som ändrar platsen för sin enhet får ett avslagsmeddelande för GPS-platsbaserade principer.

Kommentar

En princip för villkorsstyrd åtkomst med GPS-baserade namngivna platser i rapportläge uppmanar användarna att dela sin GPS-plats, även om de inte blockeras från att logga in.

GPS-platsen fungerar inte med lösenordslösa autentiseringsmetoder.

Flera principer för villkorsstyrd åtkomst kan uppmana användarna att ange sin GPS-plats innan alla tillämpas. På grund av hur principer för villkorsstyrd åtkomst tillämpas kan en användare nekas åtkomst om de klarar platskontrollen men misslyckas med en annan princip. Mer information om principframtvingande finns i artikeln Skapa en princip för villkorsstyrd åtkomst.

Viktigt!

Användare kan få frågor varje timme som meddelar dem att Microsoft Entra-ID kontrollerar deras plats i Authenticator-appen. Den här funktionen bör endast användas för att skydda mycket känsliga appar där det här beteendet är acceptabelt eller där åtkomsten måste begränsas för ett visst land/en viss region.

Inkludera okända länder/regioner

Vissa IP-adresser mappas inte till ett visst land eller en viss region. Om du vill samla in dessa IP-platser markerar du kryssrutan Inkludera okända länder/regioner när du definierar en geografisk plats. Med det här alternativet kan du välja om dessa IP-adresser ska inkluderas på den namngivna platsen. Använd den här inställningen när principen som använder den namngivna platsen ska gälla för okända platser.

Vanliga frågor

Finns det stöd för Graph API?

Graph API-stöd för namngivna platser är tillgängligt, mer information finns i api:et namedLocation.

Vad händer om jag använder en molnproxy eller VPN?

När du använder en molnbaserad proxy eller VPN-lösning är IP-adressen som Microsoft Entra-ID använder när du utvärderar en princip PROXY-adressen. XFF-huvudet (X-Forwarded-For) som innehåller användarens offentliga IP-adress används inte eftersom det inte finns någon verifiering av att den kommer från en betrodd källa, så den skulle presentera en metod för att fejka en IP-adress.

När en molnproxy finns på plats kan en princip som kräver en Microsoft Entra-hybridanslutning eller kompatibel enhet vara enklare att hantera. Det kan vara nästan omöjligt att hålla en lista över IP-adresser som används av din molnbaserade proxy eller VPN-lösning uppdaterad.

Vi rekommenderar att organisationer använder global säker åtkomst för att aktivera käll-IP-återställning för att undvika den här ändringen i adress och förenkla hanteringen.

När utvärderas en plats?

Principer för villkorlig åtkomst utvärderas när:

  • En användare loggar först in på en webbapp, ett mobilt eller skrivbordsprogram.
  • Ett mobil- eller skrivbordsprogram som använder modern autentisering använder en uppdateringstoken för att hämta en ny åtkomsttoken. Som standard är den här kontrollen en gång i timmen.

Den här kontrollen innebär att för mobil- och skrivbordsprogram som använder modern autentisering identifieras en platsändring inom en timme efter att nätverksplatsen har ändrats. För mobil- och skrivbordsprogram som inte använder modern autentisering gäller principen för varje tokenbegäran. Frekvensen för begäran kan variera beroende på programmet. På samma sätt gäller principer för webbprogram vid inledande inloggning och är bra för sessionens livslängd i webbprogrammet. På grund av skillnader i sessionslivslängd mellan program varierar tiden mellan principutvärderingen. Varje gång programmet begär en ny inloggningstoken tillämpas principen.

Som standard utfärdar Microsoft Entra-ID en token per timme. När användarna har flyttat från företagsnätverket tillämpas principen inom en timme för program med modern autentisering.

När kan du blockera platser?

En princip som använder platsvillkoret för att blockera åtkomst anses vara restriktiv och bör utföras med försiktighet efter noggrann testning. Vissa instanser av att använda platsvillkoret för att blockera autentisering kan vara:

  • Blockera länder/regioner där din organisation aldrig gör affärer.
  • Blockera specifika IP-intervall som:
    • Kända skadliga IP-adresser innan en brandväggsprincip kan ändras.
    • Mycket känsliga eller privilegierade åtgärder och molnprogram.
    • Baserat på användarspecifikt IP-intervall som åtkomst till redovisning eller löneprogram.

Relaterat innehåll