管理員可以建立原則,以特定網路位置作為訊號,與其他條件一起在決策過程中使用。 它們可以包含或排除這些網路位置,作為其原則設定的一部分。 這些網路位置可能包括公用 IPv4 或 IPv6 網路資訊、國家或地區、未對應至特定國家或地區的未知區域,或 符合 Global Secure Access 規範的網路。
注意
條件式存取原則會在第一因素驗證完成之後強制執行。 條件式存取並非旨在成為組織針對阻斷服務 (DoS) 攻擊等案例的第一線防禦,但它可以使用來自這些事件的訊號來判斷存取。
組織可能會將這些位置用於常見任務,例如:
- 針對從公司網路外存取服務的使用者要求使用多重要素驗證。
- 封鎖貴組織從未運作的特定國家/地區存取。
使用者的位置是使用其公用 IP 位址或 Microsoft Authenticator 應用程式提供的 GPS 座標來判斷。 根據預設,條件式存取原則會套用至所有位置。
提示
位置條件已移動並重新命名為 Network。 一開始,此條件會出現在 [指派 ] 層級和 [ 條件] 底下。
更新或變更會出現在這兩個位置。 功能會維持不變,而使用 位置 的現有原則仍可繼續運作,而不需要變更。
在政策中設定時
在設定位置條件時,您可以區別:
- 任何網路或位置
- 所有信任的網路和位置
- 所有符合規範的網路位置
- 選取的網路和位置
任何網路或位置
選取 [ 任何位置 ] 會將原則套用至所有 IP 位址,包括網際網路上的任何位址。 此設定不限於您設定為具名位置的 IP 位址。 當您選取 [任何位置] 時,可以從原則中排除特定位置。 例如,將原則套用至受信任位置以外的所有位置,以將範圍限制為公司網路外部的位置。
所有信任的網路和位置
此選項適用範圍:
- 所有標記為信任的位置。
- 多重要素驗證信任的 IP (如有設定)
多重要素驗證的信任 IP 地址
不建議使用多重要素驗證服務設定的受信任 IP 區段。 此控制項只接受 IPv4 位址,而且是針對 設定 Microsoft Entra 多重要素驗證設定一文中涵蓋的特定案例所設計。
如果您已設定受信任的 IP,這些 IP 會在位置條件的位置清單中顯示為 MFA 信任的 IP。
所有符合規範的網路位置
具有全域安全存取功能存取權的組織會看到列出另一個位置,其中包含符合組織安全策略的使用者和裝置。 如需詳細資訊,請參閱 啟用條件式存取的全域安全存取訊號。 搭配條件式存取原則使用,可執行符合規範的網路檢查以存取資源。
選取的網路和位置
使用此選項,選取一或多個具名位置。 若要套用具有此設定的原則,使用者必須從其中一個選取的位置連線。 當您選擇 [ 選取] 時,即會開啟已定義位置的清單。 此清單會顯示名稱、類型,以及網路位置是否標示為受信任。
如何定義這些位置?
位置位於 Microsoft Entra 系統管理中心的Entra ID>條件式存取>命名位置下。 至少具有 條件式存取系統管理員 角色的系統管理員可以建立及更新具名位置。
具名位置可能包含組織的總部網路範圍、VPN 網路範圍或您想要封鎖的範圍。 具名位置包含 IPv4 位址範圍、IPv6 位址範圍或國家/地區。
IPv4 與 IPv6 位址範圍
若要依公用 IPv4 或 IPv6 位址範圍定義具名位置,請提供:
- 位置的名稱。
- 一或多個公用 IP 範圍。
- (選擇性) 標記為受信任的位置。
IPv4 或 IPv6 位址範圍所定義的具名位置有下列限制:
- 不超過 195 個具名位置。
- 每個具名位置最多可包含 2000 個 IP 範圍。
- 定義 IP 範圍時,只允許大於 /8 的 CIDR 遮罩。
對於私人網路上的裝置,這個 IP 位址不是內部網路上使用者裝置的用戶端 IP (例如 10.55.99.3),而是用來連接到公用網際網路的網路位址 (例如 198.51.100.3)。
受信任位置
系統管理員可以將 IP 型位置 (例如組織的公用網路範圍) 標示為受信任。 功能以多種方式使用此標記。
- 條件式存取原則可以包含或排除這些位置。
- 來自受信任具名位置的登入可改善 Microsoft Entra ID Protection 風險計算的正確性。
若未先移除受信任的指定,就無法刪除標示為受信任的位置。
國家
組織可以依IP位址或 GPS 座標來判斷地理國家或地區位置。
若要依國家或地區定義具名位置,請執行下列動作:
- 提供位置的名稱。
- 選擇依 IP 位址或 GPS 座標判斷位置。
- 新增一或多個國家/地區。
- 視需要選擇包含未知的國家/地區。
選取 [依 IP 位址判斷位置] 時,Microsoft Entra ID 會根據定期更新的對應表,將使用者的 IPv4 或 IPv6 位址解析為國家或地區。
若要使用 [依 GPS 座標判斷位置],使用者需要在其行動裝置上安裝 Microsoft Authenticator 應用程式。 系統每小時都會連絡使用者的 Microsoft Authenticator 應用程式,收集行動裝置的 GPS 位置。
- 使用者第一次必須從 Microsoft Authenticator 應用程式分享其位置時,使用者會在應用程式中收到通知。 使用者必須開啟應用程式,並授與位置權限。 在接下來的 24 小時內,如果使用者仍在存取資源,且已授予應用程式在背景執行的權限,則裝置的位置會每小時安靜地共用一次。
- 24 小時之後,使用者必須開啟應用程式並核准通知。
- 每次使用者分享 GPS 位置時,應用程式會使用與 Microsoft Intune MAM SDK 的相同邏輯來進行越獄偵測。 如果裝置遭到越獄,則位置不被視為有效,使用者也不會被授與存取權。
- Android 上的 Microsoft Authenticator 應用程式會使用 Google Play 完整性 API 來協助進行越獄偵測。 如果 Google Play Integrity API 無法使用,要求會遭到拒絕,而且除非停用條件式存取原則,否則使用者無法存取要求的資源。 如需 Microsoft Authenticator 應用程式的詳細資訊,請參閱有關 Microsoft Authenticator 應用程式常見問題一文。
- 用戶可以修改 iOS 和 Android 裝置所報告的 GPS 位置。 因此,Microsoft Authenticator 應用程式會在使用者顯示的地點和安裝此應用程式的行動裝置的實際 GPS 位置不一致時拒絕驗證。 修改裝置位置的使用者會收到 GPS 位置型原則的拒絕訊息。
- 傳回的國家/地區代碼取決於裝置平臺 API:例如,一個平臺可能會向波多黎各報告美國,而另一個平臺則報告 PR。
注意
在報告專用模式中,具有 GPS 型命名位置的條件式存取原則會提示使用者分享 GPS 位置,即使他們未遭到封鎖登入也一樣。
只有在同時啟用 MFA 推播通知時,GPS 位置才能與 無密碼手機登入 搭配使用。 使用者可以使用 Microsoft Authenticator 登入,但他們也需要核准後續的 MFA 推播通知來共用其 GPS 位置。
設定僅使用 無密碼驗證方法 時,GPS 位置無法運作。
在套用所有條件式存取原則之前,多個條件式存取原則可能會提示使用者輸入其 GPS 位置。 由於套用條件式存取原則的方式,使用者可能會在通過位置檢查但另一個原則失敗時遭到拒絕存取。 如需強制執行原則的詳細資訊,請參閱文章:建立條件式存取原則。
重要
使用者可能會每小時收到提示,讓他們知道Microsoft Entra ID 正在驗證器應用程式中檢查其位置。 此功能只能用來保護非常敏感的應用程式,其中可接受這種行為,或必須將存取授權限制在特定的國家/地區。
包含未知的國家/地區
某些IP位址無法對應至特定國家或地區。 若要擷取這些 IP 位置,請選取 [定義地理位置時 包含未知國家/地區] 方塊。 此選項可讓您選擇這些 IP 位址是否應包含在具名位置中。 當使用具名位置的原則應套用到未知位置時,請使用此設定。
還原已刪除的位置
在 30 天的軟刪除期間內,如果刪除了條件式存取政策或位置,可以將其還原。 如需還原條件式存取原則和具名位置的詳細資訊,請參閱 復原刪除項目一文。
常見問題
是否有圖形 API 支援
提供具名位置的圖形 API 支援。 如需詳細資訊,請參閱 namedLocation API。
如果我使用雲端代理或 VPN 怎麼辦
當您使用雲端裝載的 Proxy 或 VPN 解決方案時,Microsoft Entra ID 在評估原則時使用的 IP 位址是 Proxy 的 IP 位址。 包含使用者公用 IP 位址的 X-Forwarded-For (XFF) 標頭不會使用,因為沒有驗證它來自受信任的來源。 這種缺乏驗證可能會允許偽造IP位址。
當雲端 Proxy 到位時,要求 Microsoft Entra 混合式加入或相容裝置的原則更容易管理。 將雲端裝載的 Proxy 或 VPN 解決方案所使用的 IP 位址清單保留 up-to日期清單幾乎是不可能的。
我們建議組織利用「全球安全存取」來啟用來源 IP 還原 (部分機器翻譯),以避免此位址變更並簡化管理。
何時評估位置
條件式存取原則會在下列情況下進行評估:
- 使用者初次登入 Web 應用程式、行動或桌面應用程式。
- 使用現代驗證的行動或桌面應用程式會使用重新整理權杖來獲取新的存取權杖。 根據預設,此檢查會每小時進行一次。
這項檢查適用於使用新式驗證的行動和桌面應用程式,系統會在變更網域位置的一小時內偵測到位置變更。 針對未使用新式驗證的行動和桌面應用程式,此原則會套用至每個權杖要求。 要求頻率會隨應用程式而異。 同樣地,針對 Web 應用程式,此原則會在初始登入時套用,且適用於 Web 應用程式工作階段的存留期。 由於跨應用程式的工作階段存留期存在差異,因此政策評估之間的間隔時間也會不同。 每次應用程式要求新的登入權杖時,就會套用此原則。
根據預設,Microsoft Entra ID 會每小時發行權杖。 在使用者離開公司網路後,一小時內會針對使用現代驗證的應用程式強制執行政策。
何時可能會封鎖位置
使用位置條件來封鎖存取的原則屬於限制性措施,而且應在徹底測試後再謹慎執行。 使用位置條件來封鎖驗證的某些情況可能包括:
- 封鎖貴組織從未執行業務的國家/地區。
- 封鎖特定 IP 範圍,例如:
- 在變更防火牆原則之前,已知的惡意 IP。
- 高度敏感或具有特殊權限的動作和雲端應用程式。
- 根據使用者的特定 IP 範圍,例如存取會計或薪資應用程式。