條件式存取:網路指派

  • 發行項

管理員 istrators 可以建立原則,以特定網路位置作為訊號,以及其決策程式中的其他條件。 它們可以包含或排除這些網路位置,做為其原則設定的一部分。 這些網路位置可能包含公用 IPv4 或 IPv6 網路資訊、國家/地區、未對應至特定國家/地區的未知區域,或 全域安全存取的相容網路

顯示條件式存取訊號概念以及強制執行組織原則決策的圖表。

注意

完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。

組織可能會將這些位置用於常見的工作,例如:

  • 要求在用戶離開公司網路時存取服務的多重要素驗證。
  • 封鎖貴組織從未運作的特定國家/地區存取。

使用者的位置是使用 Microsoft Authenticator 應用程式所提供的公用 IP 位址或 GPS 座標來找到。 條件式存取原則預設會套用至所有位置。

提示

位置條件已移動並重新命名為 Network。 首先,此條件會出現在 [指派] 層級和 [條件] 底下

顯示條件式存取原則中網路指派條件的螢幕快照。

在原則中設定時

在設定位置條件時,您可以區別:

  • 任何網路或位置
  • 所有信任的網路和位置
  • 所有符合規範的網路位置
  • 選取的網路和位置

任何網路或位置

根據預設,選取 [ 任何位置 ] 會導致原則套用至所有IP位址,這表示因特網上的任何位址。 此設定不限於您設定為具名位置的IP位址。 當您選取 [ 任何位置] 時,仍然可以從原則中排除特定位置。 例如,您可以將原則套用至信任位置以外的所有位置,以將範圍設定為公司網路以外的所有位置。

所有信任的網路和位置

這個選項適用於:

  • 標示為受信任位置的所有位置。
  • 如果已設定,多重要素驗證受信任的IP。

多重要素驗證受信任的IP

不再建議使用多重要素驗證服務設定的受信任 IP 區段。 此控件只接受 IPv4 位址,而且只應該用於設定 Microsoft Entra 多重要素驗證設定一文中涵蓋的特定案例。

如果您已設定這些受信任的IP,則會在 位置條件的位置清單中顯示為 MFA 信任 IP

所有符合規範的網路位置

可存取 Global Secure Access 預覽功能的組織會列出另一個位置,這些位置是由符合您組織安全策略的使用者和裝置所組成。 如需詳細資訊,請參閱啟用條件式存取的全域安全存取訊號一節。 它可與條件式存取原則搭配使用,以執行相容的網路檢查,以存取資源。

選取的網路和位置

使用此選項,您可以選取一或多個具名位置。 若要套用此設定的原則,用戶必須從任何選取的位置連線。 當您選擇 [ 選取] 時,您會看到已定義的位置清單隨即開啟。 此清單會顯示名稱、類型,以及網路位置是否標示為受信任。

如何定義這些位置?

位置會定義並存在於 Microsoft Entra 系統管理中心的 [保護>條件式存取>具名位置] 底下。 至少具有 管理員 istrators條件式存取 管理員 istrator 角色可以建立及更新具名位置。

Microsoft Entra 系統管理中心中具名位置的螢幕快照。

具名位置可能包含組織總部網路範圍、VPN 網路範圍或您想要封鎖的範圍等位置。 具名位置包含 IPv4 位址範圍、IPv6 位址範圍或國家/地區。

IPv4 和 IPv6 位址範圍

若要依公用 IPv4 或 IPv6 位址範圍定義具名位置,您必須提供:

  • 位置的名稱。
  • 一或多個公用IP範圍。
  • 選擇性地 將 [標示為信任的位置]。

IPv4/IPv6 位址範圍所定義的具名位置受限於下列限制:

  • 不超過 195 個具名位置。
  • 每個具名位置不超過 2000 個 IP 範圍。
  • 定義IP範圍時,只允許大於 /8的 CIDR 遮罩。

對於專用網上的裝置,IP 位址不是內部網路上使用者裝置的用戶端 IP(例如 10.55.99.3),它是網路用來連線到公用因特網的位址(例如 198.51.100.3)。

受信任位置

管理員 istrators 可能會選擇性地將 IP 型位置標示為受信任的組織公用網路範圍。 這項標記是透過數種方式由功能使用。

  • 條件式存取原則可以包含或排除這些位置。
  • 來自受信任具名位置的登入可改善 Microsoft Entra ID Protection 風險計算的正確性。

若未先移除受信任的指定,就無法刪除標示為受信任的位置。

國家/地區

組織可以依IP位址或 GPS 座標來判斷地理位置。

若要依國家/地區定義具名位置,您必須:

  • 提供位置的名稱。
  • 選擇依IP位址或 GPS 座標來判斷位置。
  • 新增一或多個國家/地區。
  • 選擇性地選擇 [包含未知國家/地區]。

使用國家/地區建立新位置的螢幕快照。

選取 [ 依IP位址判斷位置] 時,Microsoft Entra ID 會根據定期更新的對應表,將使用者的 IPv4 或 IPv6 位址解析為國家或地區。

選取 [ 依 GPS 座標判斷位置] 時,用戶必須在其行動裝置上安裝 Microsoft Authenticator 應用程式。 系統每小時都會連絡使用者的 Microsoft Authenticator 應用程式,以收集其行動裝置的 GPS 位置。

  • 使用者第一次必須從 Microsoft Authenticator 應用程式共用其位置時,他們會收到應用程式中的通知。 使用者必須開啟應用程式,並授與位置許可權。 在接下來的 24 小時內,如果使用者仍在存取資源,並授與應用程式在背景中執行的許可權,則裝置的位置會每小時以無訊息方式共用一次。
  • 24 小時之後,用戶必須開啟應用程式並核准通知。
  • 每次用戶共用其 GPS 位置時,應用程式都會使用與 Microsoft Intune MAM SDK 相同的邏輯進行越獄偵測。 如果裝置遭到越獄,則位置不會被視為有效,且使用者未獲授與存取權。
    • Android 上的 Microsoft Authenticator 應用程式會使用 Google Play 完整性 API 來協助進行越獄偵測。 如果 Google Play 完整性 API 無法使用,要求會遭到拒絕,而且除非停用條件式存取原則,否則使用者無法存取要求的資源。 如需 Microsoft Authenticator 應用程式的詳細資訊,請參閱 Microsoft Authenticator 應用程式的常見問題一文
  • 使用者可能會修改 iOS 和 Android 裝置所報告的 GPS 位置。 因此,Microsoft Authenticator 應用程式會拒絕使用者可能使用與安裝應用程式之行動裝置的實際 GPS 位置不同的驗證。 修改裝置位置的使用者會收到 GPS 位置型原則的拒絕訊息。

注意

在僅報告模式中使用 GPS 型具名位置的條件式存取原則會提示使用者共用其 GPS 位置,即使他們並未遭到封鎖而無法登入。

GPS 位置不適用於 無密碼驗證方法

在套用所有條件之前,多個條件式存取原則可能會提示使用者輸入其 GPS 位置。 由於套用條件式存取原則的方式,如果用戶通過位置檢查但失敗另一個原則,可能會拒絕存取。 如需原則強制執行的詳細資訊,請參閱建置條件式存取原則一文

重要

使用者可能會每小時收到提示,讓他們知道 Microsoft Entra ID 正在驗證器應用程式中檢查其位置。 此功能只應該用來保護可接受此行為的非常敏感的應用程式,或特定國家/地區必須限制存取的位置。

包含未知的國家/地區

某些IP位址不會對應至特定國家或地區。 若要擷取這些IP位置,請在定義地理位置時勾選 [包含未知的國家/地區 ]。 此選項可讓您選擇這些IP位址是否應該包含在具名位置中。 當使用具名位置的原則應該套用至未知的位置時,請使用此設定。

常見問題

是否有圖形 API 支援?

如需詳細資訊, 請參閱 namedLocation API 對具名位置的圖形 API 支援。

如果我使用雲端 Proxy 或 VPN,該怎麼辦?

當您使用雲端託管 Proxy 或 VPN 解決方案時,評估原則時,Microsoft Entra ID 所使用的 IP 位址是 Proxy 的 IP 位址。 未使用包含使用者公用IP位址的 X-Forwarded-For (XFF) 標頭,因為沒有來自受信任來源的驗證,因此會呈現偽造IP位址的方法。

當雲端 Proxy 就緒時,需要 加入 Microsoft Entra 混合式或相容裝置 的原則可能會更容易管理。 將雲端託管 Proxy 或 VPN 解決方案所使用的 IP 位址清單保持在最新狀態幾乎是不可能的。

我們建議組織利用全域安全存取來啟用 來源IP還原 ,以避免此位址變更並簡化管理。

何時評估位置?

條件式存取原則會在下列情況下進行評估:

  • 使用者一開始登入 Web 應用程式、行動裝置或傳統型應用程式。
  • 使用新式驗證的行動或傳統型應用程式,使用重新整理令牌來取得新的存取令牌。 根據預設,這項檢查是每小時一次。

這項檢查表示使用新式驗證的行動和桌面應用程式,會在變更網路位置的一小時內偵測到位置變更。 對於不使用新式驗證的行動和傳統型應用程式,原則適用於每個令牌要求。 要求的頻率可能會根據應用程式而有所不同。 同樣地,對於 Web 應用程式,原則會在初始登入時套用,而且適用於 Web 應用程式會話的存留期。 由於應用程式之間的會話存留期差異,原則評估之間的時間會有所不同。 每次應用程式要求新的登入令牌時,都會套用原則。

根據預設,Microsoft Entra ID 會每小時發出令牌。 使用者移出公司網路之後,會在一小時內針對使用新式驗證的應用程式強制執行原則。

何時可能會封鎖位置?

使用位置條件來封鎖存取的原則會被視為限制性,而且應在徹底測試之後小心完成。 使用位置條件封鎖驗證的某些實體可能包括:

  • 封鎖貴組織永不執行業務的國家/地區。
  • 封鎖特定的IP範圍,例如:
    • 防火牆原則可以變更之前已知的惡意IP。
    • 高度敏感或特殊許可權的動作和雲端應用程式。
    • 根據使用者特定的IP範圍,例如存取會計或薪資應用程式。

相關內容