使用條件式存取原則中的位置條件 (機器翻譯)

如同概觀文章中所述,條件式存取原則會基於 if-then 陳述式,結合信號進行決策,並強制執行組織原則。 其中一個可納入決策程序的信號是位置。

概念性的條件式訊號加上決策,然後強制執行

組織可以使用此位置來執行一般工作,例如:

  • 針對從公司網路外存取服務的使用者要求使用多重要素驗證。
  • 封鎖從特定國家或地區存取服務之使用者的存取權。

位置取決於用戶端提供給 Azure Active Directory 所提供的公用 IP 位址,或 Microsoft Authenticator 應用程式提供的 GPS 座標。 依預設,條件式存取原則適用於所有 IPv4 和 IPv6 位址。

具名位置

位置的命名方式是在 Azure 入口網站的 [Azure Active Directory]>[安全性]>[條件式存取]>[具名位置]。 這些名稱的網路位置可能包括組織的總部網路範圍、VPN 網路範圍,或您想要封鎖的範圍等位置。 具名位置可以根據 IPv4/IPv6 位址範圍或國家/地區進行定義。

Azure 入口網站中的具名位置

IP 位址範圍

若要根據 IPv4/IPv6 位址範圍定義具名位置,您必須提供:

  • 位置的名稱
  • 一或多個 IP 範圍
  • 選擇性標記為受信任的位置

Azure 入口網站中的新 IP 位置

IPv4/IPv6 位址範圍所定義的具名位置會受到下列限制:

  • 最多可設定 195 個具名位置
  • 每個具名位置設定最多可設定 2000 個 IP 範圍
  • 支援 IPv4 和 IPv6 範圍
  • 無法設定私人 IP 範圍
  • 範圍中包含的 IP 位址數目有限。 定義 IP 範圍時,只允許大於 /8 的 CIDR 遮罩。

信任的位置

系統管理員可以將 IP 位址範圍所定義的位置命名為受信任的具名位置。

從受信任的具名位置登入可提升 Azure AD Identity Protection 風險計算的精確度,當使用者從標示為受信任的位置進行驗證時,可以降低使用者的登入風險。 此外,受信任的具名位置可作為條件式存取原則的目標。 例如,您可以將多重要素驗證註冊限制在信任的位置

國家/地區

組織可以依 IP 位址或 GPS 座標判斷國家/地區的位置。

若要依國家/地區定義具名位置,您必須提供:

  • 位置的名稱
  • 選擇以 IP 位址或 GPS 座標判斷位置
  • 新增一或多個國家/地區
  • 視需要選擇包含未知的國家/地區

Azure 入口網站中的國家/地區位置

如果您選取 [依 IP 位址判斷位置 (僅 IPv4)],系統將會收集使用者所登入的裝置 IP 位址。 當使用者登入時,Azure AD 會將使用者的 IPv4 位址解析成國家或地區,並定期更新對應。 組織可以使用國家/地區所定義的具名位置來封鎖非業務往來國家/地區的流量。

注意

來自 IPv6 位址的登入無法對應到國家或地區,並被視為未知區域。 只有 IPv4 位址可以對應到國家或地區。

如果您選取 [依 GPS 座標判斷位置],使用者將需要在其行動裝置上安裝 Microsoft Authenticator 應用程式。 系統每隔一小時會聯繫使用者的 Microsoft Authenticator 應用程式,以收集使用者行動裝置的 GPS 位置。

使用者第一次需要從 Microsoft Authenticator 應用程式分享其位置時,使用者會在應用程式中收到通知。 使用者將需要開啟應用程式並授與位置權限。

在接下來的 24 小時內,如果使用者仍在存取資源,並授與應用程式在背景中執行的權限,則會每小時以無訊息方式共用裝置的位置。

  • 24 小時之後,使用者必須開啟應用程式並核准通知。
  • 在 Microsoft Authenticator 應用程式中啟用數字比對或其他內容的使用者不會以無訊息方式接收通知,而且必須開啟應用程式以核准通知。

每次使用者分享 GPS 位置時,應用程式會使用與 Intune MAM SDK 的相同邏輯來越獄偵測。 如果裝置已越獄,則位置不會被視為有效,且使用者不會獲得存取權。

在報告專用模式中,具有 GPS 型命名位置的條件式存取原則會提示使用者分享 GPS 位置,即使他們未遭到封鎖登入也一樣。

GPS 位置不適用於無密碼驗證方法

在套用所有條件式存取原則之前,多個條件式存取原則應用程式可能會提示使用者輸入其 GPS 位置。 由於套用條件式存取原則的方式,使用者可能會在通過位置檢查但另一個原則失敗時遭到拒絕存取。 如需強制執行原則的詳細資訊,請參閱文章:建立條件式存取原則

重要

使用者每隔一小時就會收到提示,讓他們知道 Azure AD 正在檢查 Authenticator 應用程式中的位置。 預覽只能用來保護非常敏感的應用程式,該程式可接受這種行為,或必須將存取授權限制在特定的國家/地區。

包含未知的國家/地區

某些 IP 位址不會對應到特定的國家或地區,包括所有 IPv6 位址。 若要擷取這些 IP 位置,請在定義地理位置時勾選 [包含未知的國家/地區] 方塊。 此選項可讓您選擇這些 IP 位址是否應包含在具名位置中。 當使用具名位置的原則應套用到未知位置時,請使用此設定。

設定 MFA 信任的 IP

您也可以在多重要素驗證服務設定中設定代表您組織的近端內部網路的 IP 位址範圍。 這項功能可讓您設定最多 50 個 IP 位址範圍。 IP 位址範圍是 CIDR 格式。 如需詳細資訊,請參閱信任的 IP

如果您已設定信任的 IP,這些 IP 會在在位置條件的位置清單中顯示為 MFA 信任的 IP

略過多重要素驗證

在多重要素驗證服務設定頁面中,您可以透過選取針對來自內部網路同盟使用者的要求略過多重要素驗證來識別公司內部網路使用者。 此設定表示 AD FS 所發出的內部公司網路宣告應受信任,並且應用來識別使用者位於公司網路上。 如需詳細資訊,請參閱使用條件式存取啟用信任的 IP 功能

勾選此選項之後,MFA 信任的 IP (包含具名位置) 將套用到選取此選項的任何原則。

對於工作階段存留期長的行動和桌面應用程式,系統會定期重新評估條件式存取。 預設值是一小時一次。 當只有在初始驗證才會發出位於公司網路內宣告時,Azure AD 可能不會有可信任 IP 範圍清單。 在此情況下,較難判斷使用者是否仍在公司網路上:

  1. 檢查使用者的 IP 位址是否在其中一個信任的 IP 範圍內。
  2. 檢查使用者 IP 位址的前三個八位元是否符合初始驗證 IP 位址的前三個八位元。 在最初發出內部公司網路宣告且使用者位置經驗證時,IP 位址會與初始驗證進行比較。

如果這兩個步驟均失敗,會將使用者視為不再位於信任的 IP。

原則中的位置條件

在設定位置條件時,您可以區別:

  • 任何位置
  • 所有信任的位置
  • 選取的位置

任何位置

根據預設,選取 [任何位置] 會將原則套用到所有 IP 位址,而這意味著網際網路上的所有位址。 這項設定不限於您已設為具名位置的 IP 位址。 當您選取 [任何位置] 時,您仍然可以從原則中排除特定位置。 例如,您可以將原則套用到受信任位置以外的所有位置,以將範圍設為公司網路以外的所有位置。

所有信任的位置

此選項適用範圍:

  • 已標示為信任的位置的所有位置
  • MFA 信任的 IP (若已設定)

選取的位置

使用此選項,您可以選取一或多個具名位置。 將套用的原則若有此設定,使用者必須從任一選取的位置連線。 當您選取時,顯示具名網路清單的具名網路選取控制項隨即開啟。 此清單也會顯示網路位置是否已標示為受信任。 稱為 [MFA 信任的 IP] 的具名位置是用來包含可在多重要素驗證服務設定頁面中設定的 IP 設定。

IPv6 流量

依預設,條件式存取原則會套用至所有 IPv6 流量。 如果您不想要針對特定 IPv6 範圍強制執行原則,您可以從條件式存取原則中排除特定 IPv6 位址範圍。 例如,如果您不想要在公司網路上強制執行原則,而您的公司網路是裝載在公用 IPv6 範圍上。

在 Azure AD 登入活動報告中識別 IPv6 流量

您可以藉由前往 Azure AD 登入活動報告,來探索您租用戶中的 IPv6 流量。 開啟活動報表後,請新增 [IP 位址] 資料行。 此資料欄可讓您識別 IPv6 流量。

您也可以按一下報表中的資料列,然後前往登入活動詳細資料中的 [位置] 索引標籤,以找到用戶端 IP。

我的租用戶什麼時候會有 IPv6 流量?

Azure Active Directory (Azure AD) 目前不支援使用 IPv6 的直接網路連線。 不過,在某些情況下,驗證流量會透過另一個服務代理。 在這些情況下,在原則評估期間將會使用 IPv6 位址。

大部分通過 Proxy 傳送給 Azure AD 的 IPv6 流量都是來自 Microsoft Exchange Online。 在可用時,Exchange 會偏好使用 IPv6 連線。 因此,如果您有 Exchange 的任何條件式存取原則,且該原則已針對特定 IPv4 範圍進行設定,則建議確認已同時新增組織的 IPv6 範圍。 若不包括 IPv6 範圍,在下列兩種情況會造成非預期的行為:

  • 當使用電子郵件用戶端連線到具有舊版驗證的 Exchange Online 時,Azure AD 可能會收到 IPv6 位址。 初始驗證要求會傳至 Exchange,然後再通過 Proxy 傳送至 Azure AD。
  • Outlook Web Access (OWA) 用於瀏覽器時,將會定期驗證所有條件式存取原則是否持續符合。 這項檢查是用來攔截使用者可能已從允許的 IP 位址移至新位置的情況,例如街邊的咖啡廳。 在此情況下,如果使用的是 IPv6 位址,且 IPv6 位址不在設定的範圍內,使用者的工作階段可能會中斷,並導向回到 Azure AD 重新驗證。

如果您是使用 Azure Vnet,則會有來自 IPv6 位址的流量。 如果您有 VNet 流量受到條件式存取原則封鎖,請檢查您的 Azure AD 登入記錄。 在識別出流量之後,您就可以取得所使用的 IPv6 位址,並將其從原則中排除。

注意

如果您想要指定單一位址的 IP CIDR 範圍,請套用 /128 位元遮罩。 如果您看到 IPv6 位址 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a,而且想要將該單一位址排除為範圍,請使用 2607:fb90:b27a:6f69:f8d5:dea0:fb39:74a/128。

您應該知道的事情

何時會評估位置?

條件式存取原則的評估時機:

  • 使用者初次登入 Web 應用程式、行動或桌面應用程式。
  • 使用新式驗證的行動或桌面應用程式使用重新整理權杖來取得新的存取權杖。 預設是一小時檢查一次。

這項檢查適用於使用新式驗證的行動和桌面應用程式,系統會在變更網域位置的一小時內偵測到位置變更。 對於不使用新式驗證的行動和桌面應用程式,此原則會套用至每個權杖要求。 要求頻率會隨應用程式而異。 同樣地,針對 Web 應用程式,此原則會在初始登入時套用,且適用於 Web 應用程式工作階段的存留期。 由於跨應用程式的工作階段存留期有差異,所以原則評估之間的時間也會不同。 每次應用程式要求新的登入權杖時,就會套用此原則。

根據預設,Azure AD 每小時會發出一個權杖。 在移出公司網路後,一小時內就會使用新式驗證針對應用程式強制執行原則。

使用者 IP 位址

原則評估所使用的 IP 位址是使用者的公用 IP 位址。 對於私人網路上的裝置,這個 IP 位址不是內部網路上使用者裝置的用戶端 IP,而是用來連接到公用網際網路的網路位址。

大量上傳與下載具名位置

當您建立或更新具名位置時,您可以上傳或下載包含 IP 範圍的 CSV 檔案來進行大量更新。 上傳會使用檔案中的 IP 範圍取代清單中的 IP 範圍。 檔案的每個資料列均包含一個 CIDR 格式的 IP 位址範圍。

雲端 Proxy 和 VPN

當您使用雲端託管 Proxy 或 VPN 解決方案時,Azure AD 在評估原則時使用的 IP 位址為 Proxy 的 IP 位址。 服務不會使用包含使用者公用 IP 位址的 X-Forwarded-For (XFF) 標頭,因為無法驗證其來自受信任的來源,故會提供偽造 IP 位址的方法。

當雲端 Proxy 已就緒時,就能使用用來要求已使用混合式 Azure AD 聯結裝置的原則,或來自 AD FS 的內部公司網路宣告。

API 支援與 PowerShell

具名位置的圖形 API 預覽版本可供使用,如需詳細資訊,請參閱 namedLocation API

後續步驟