Condividi tramite

Applicare rigorosamente i criteri di localizzazione usando la valutazione continua dell'accesso (anteprima)

  • Articolo

Applicare rigorosamente le politiche di posizione è una nuova modalità di applicazione per la valutazione continua dell'accesso (CAE), usata nei criteri di accesso condizionale. Questa nuova modalità fornisce protezione per le risorse, arrestando immediatamente l'accesso se l'indirizzo IP rilevato dal provider di risorse non è consentito dai criteri di accesso condizionale. Questa opzione è la modalità di sicurezza più elevata dell'applicazione della posizione CAE e richiede che gli amministratori comprendano il routing delle richieste di autenticazione e accesso nel proprio ambiente di rete. Consulta l'Introduzione alla valutazione continua dell'accesso per una revisione del modo in cui i client e i provider di risorse che supportano CAE, come i client e-mail di Outlook e Exchange Online, valutano le modifiche alla posizione.

Modalità di applicazione della localizzazione Topologia di rete consigliata Se l'indirizzo IP rilevato dalla risorsa non è incluso nell'elenco consentito Vantaggi Impostazione
Standard (predefinito) Adatto a tutte le topologie Un token di breve durata viene emesso solo se Microsoft Entra ID rileva un indirizzo IP consentito. In caso contrario, l'accesso viene bloccato Ritorna alla modalità di rilevamento della posizione pre-CAE nelle distribuzioni di rete split tunnel in cui l'applicazione del CAE potrebbe influire sulla produttività. CAE impone comunque altri eventi e politiche. Nessuno (impostazione predefinita)
Applicare in modo rigoroso le politiche di localizzazione Gli indirizzi IP in uscita sono dedicati ed enumerabili sia per Microsoft Entra ID che per tutto il traffico del provider di risorse Accesso bloccato Più sicuro, ma richiede percorsi di rete ben compresi 1. Testare i presupposti degli indirizzi IP con un piccolo gruppo di utenti

2. Abilitare "Imponi rigorosamente" nei controlli sessione

Configurare politiche di localizzazione applicate in modo rigoroso

Passaggio 1: Configurare un criterio basato sulla posizione dell'accesso condizionale per gli utenti di destinazione

Prima che gli amministratori creino criteri di accesso condizionale che richiedono un'imposizione rigorosa della posizione, devono essere a proprio agio usando criteri come quello descritto in Criteri basati sulla località dell'accesso condizionale. I criteri come questo devono essere testati con un subset di utenti prima di procedere al passaggio successivo. Gli amministratori possono evitare discrepanze tra gli indirizzi IP consentiti e quelli effettivi visualizzati da Microsoft Entra ID durante l'autenticazione, eseguendo dei test prima di abilitare l'imposizione rigorosa.

Passaggio 2: Testare i criteri in un piccolo subset di utenti

Screenshot che mostra un criterio di accesso condizionale con l'opzione

Dopo aver abilitato le politiche che richiedono un'applicazione rigorosa della localizzazione in un insieme di utenti di test, convalidare l'esperienza di test usando il filtro indirizzo IP (visto dalla risorsa) nei log di accesso di Microsoft Entra. Questa convalida consente agli amministratori di trovare scenari in cui un'imposizione rigorosa della posizione potrebbe bloccare gli utenti con un indirizzo IP non consentito visualizzato dal provider di risorse abilitato per CAE.

Prima di attivare i criteri di accesso condizionale che richiedono un controllo rigoroso della posizione, gli amministratori devono:

  • Assicurarsi che tutto il traffico di autenticazione verso Microsoft Entra ID e il traffico di accesso ai provider di risorse provengano da indirizzi IP in uscita dedicati noti.
    • Come Exchange Online, Teams, SharePoint Online e Microsoft Graph
  • Assicurarsi che tutti gli indirizzi IP da cui gli utenti possano accedere all'ID e ai provider di risorse Microsoft Entra siano inclusi nelle località denominate basate su IP.
  • Assicurarsi che non inviino traffico alle applicazioni non Microsoft 365 tramite Accesso globale sicuro.
    • Il Ripristino IP di origine non è supportato per queste applicazioni non Microsoft 365. L'abilitazione di un'imposizione rigorosa della posizione con Accesso globale sicuro blocca l'accesso anche se l'utente si trova in una posizione IP attendibile.
  • Esaminare i criteri di accesso condizionale per assicurarsi che non ce ne siano alcuni che non supportano CAE. Per ulteriori informazioni, vedere criteri di accesso condizionale supportati da CAE.

Se gli amministratori non eseguono questa convalida, potrebbe esserci un impatto negativo sugli utenti. Se il traffico verso Microsoft Entra ID o una risorsa supportata da CAE avviene tramite un indirizzo IP di uscita condiviso o indefinibile, non abilitare l'applicazione rigorosa della posizione geografica nelle politiche di accesso condizionale.

Passaggio 3: Usare la cartella di lavoro CAE per identificare gli indirizzi IP da aggiungere alle località denominate

Se non l'hai già fatto, crea un nuovo Azure Workbook utilizzando il modello pubblico "Continuous Access Evaluation Insights" per identificare la mancata corrispondenza tra l'indirizzo IP visualizzato da Microsoft Entra ID e l'indirizzo IP (visto dalla risorsa). In questo caso, potrebbe essere disponibile una configurazione di rete split tunnel. Per assicurarsi che gli utenti non vengano accidentalmente bloccati quando sono abilitate restrizioni geografiche rigorose, gli amministratori devono:

  • Esaminare e identificare gli indirizzi IP identificati nella cartella di lavoro CAE.

  • Aggiungere indirizzi IP pubblici associati a punti di uscita organizzativi noti alle posizioni definite posizioni denominate.

    Screenshot di cae-workbook con un esempio di indirizzo IP visualizzato dal filtro delle risorse.

    Lo screenshot seguente mostra un esempio di accesso di un client a una risorsa bloccata. Questo blocco è dovuto a criteri che richiedono una rigorosa applicazione delle norme sulla localizzazione, causando la revoca della sessione del client.

    Screenshot del messaggio che compare all'utente quando è bloccato da una rigorosa applicazione delle normative di geolocalizzazione.

    Questo comportamento può essere verificato nei log di accesso. Cercare Indirizzo IP (visto dalla risorsa) e valutare se aggiungere questo indirizzo IP a località denominate nel caso in cui si verifichino blocchi inattesi da Accesso Condizionale sugli utenti.

    Screenshot di una voce di log di accesso con indirizzo IP e indirizzo IP visualizzato dalla risorsa.

    Esaminando la scheda Dettagli sui criteri di accesso condizionale si ottengono altri dettagli sugli eventi di accesso bloccati.

    Screenshot dei dettagli della politica di accesso condizionale con le posizioni visualizzate.

Passaggio 4: Continuare la distribuzione

Ripetere i passaggi 2 e 3 con gruppi di utenti sempre più ampi fino a quando i criteri di posizione vengono applicati rigorosamente all'intera base utenti di destinazione. Implementare con attenzione per evitare di influire sull'esperienza utente.

Risoluzione dei problemi dei log di accesso

Gli amministratori possono esaminare i log di accesso per trovare i casi con Indirizzo IP (visto dalla risorsa).

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra con almeno il ruolo di Lettore report.
  2. Passare a Identità>Monitoraggio e stato>Registri di accesso.
  3. Trovare gli eventi da esaminare aggiungendo filtri e colonne per filtrare le informazioni non necessarie.

    1. Aggiungere la colonna Indirizzo IP (visualizzato dalla risorsa) e filtrare eventuali elementi vuoti per restringere l'ambito. L'Indirizzo IP (visto dalla risorsa) è vuoto quando l'IP visualizzato da Microsoft Entra ID corrisponde all'indirizzo IP visto dalla risorsa.

      Screenshot che mostra un esempio di come trovare altre informazioni nei log di accesso.

      L'Indirizzo IP (visto dalla risorsa) contiene un filtro che non è vuoto negli esempi seguenti:

Autenticazione iniziale

  1. L'autenticazione riesce con un token CAE.

    Screenshot che mostra un accesso riuscito con un token CAE.

  2. L'Indirizzo IP (visto dalla risorsa) è diverso dall'IP visualizzato da Microsoft Entra ID. Anche se l'indirizzo IP visualizzato dalla risorsa è noto, non esiste alcuna imposizione fino a quando la risorsa reindirizza l'utente per la rivalutazione dell'indirizzo IP visualizzato dalla risorsa.

    Screenshot che mostra l'indirizzo IP e quello visualizzato dalla risorsa nel log di accesso.

  3. L'autenticazione di Microsoft Entra ha esito positivo perché non è applicata una rigorosa verifica della posizione a livello di risorsa.

    Screenshot che mostra che un criterio di accesso condizionale non è stato applicato perché la località è stata esclusa.

Reindirizzamento delle risorse per la rivalutazione

  1. L'autenticazione ha esito negativo e non viene emesso un token CAE.

    Screenshot che mostra un'autenticazione non riuscita.

  2. L'Indirizzo IP (visto dalla risorsa) è diverso dall'IP visualizzato da Microsoft Entra ID.

    Screenshot che mostra una discrepanza negli indirizzi IP.

  3. L'autenticazione non riesce perché l'Indirizzo IP (visto dalla risorsa) non è una località denominata nell'accesso condizionale.

    Screenshot che mostra un criterio di accesso condizionale applicato, perché l'indirizzo IP è stato incluso in una regola di blocco.

Contenuto correlato