Поделиться через


Условный доступ: назначение сети

Администраторы могут создавать политики, предназначенные для определенных сетевых расположений в качестве сигнала, а также другие условия в процессе принятия решений. Они могут включать или исключать эти сетевые расположения в рамках конфигурации политики. Эти сетевые расположения могут включать общедоступную информацию о сети IPv4 или IPv6, страны, неизвестные области, которые не сопоставляют с определенными странами или совместимой сетью глобального безопасного доступа.

Схема, показывающая концепцию сигналов условного доступа, а также решение о применении политики организации.

Примечание.

Политики условного доступа применяются после того, как пользователь прошел однофакторную аутентификацию. Условный доступ не может служить первой линией защиты организации для таких сценариев, как атаки типа "отказ в обслуживании" (DoS), но может использовать сигналы этих событий для определения доступа.

Организации могут использовать эти расположения для распространенных задач, таких как:

  • требование многофакторной проверки подлинности для пользователей, которые пытаются получить доступ к службе, но пока отключены от корпоративной сети;
  • Блокировка доступа из определенных стран, из которых ваша организация никогда не работает.

Расположение пользователя найдено с помощью общедоступного IP-адреса или координат GPS, предоставляемых приложением Microsoft Authenticator. Политики условного доступа применяются ко всем расположениям по умолчанию.

Совет

Условие расположения перемещено и переименовано в сеть. Сначала это условие будет отображаться как на уровне назначения, так и в разделе "Условия".

Обновления или изменения отображаются в обоих расположениях. Функциональные возможности остаются неизменными и существующие политики, использующие расположение , продолжают работать без изменений.

Снимок экрана: условие назначения сети в политике условного доступа.

При настройке в политике

При настройке условия расположения вы можете выбрать:

  • Любая сеть или расположение
  • Все доверенные сети и расположения
  • Все соответствующие расположения сети
  • Выбранные сети и расположения

Любая сеть или расположение

По умолчанию выбор любого расположения приводит к применению политики ко всем IP-адресам, что означает любой адрес в Интернете. Этот параметр не ограничивается IP-адресами, настроенными в качестве именованных расположений. Выбрав вариант Любое местонахождение, вы все равно можете исключить определенные расположения из политики. Например, можно применить политику ко всем расположениям (за исключением надежных расположений), чтобы задать для области все расположения (за исключением корпоративной сети).

Все доверенные сети и расположения

Этот параметр применяется:

  • Все расположения, помеченные как надежные расположения.
  • Многофакторная проверка подлинности доверенных IP-адресов, если настроена.

Многофакторная проверка подлинности доверенных IP-адресов

Использование раздела доверенных IP-адресов параметров службы многофакторной проверки подлинности больше не рекомендуется. Этот элемент управления принимает только IPv4-адреса и должен использоваться только для определенных сценариев, описанных в статье "Настройка параметров многофакторной проверки подлинности Microsoft Entra".

Если у вас настроены доверенные IP-адреса, они отображаются как доверенные IP-адреса MFA в списке расположений для условия расположения.

Все соответствующие расположения сети

Организации с доступом к функциям глобального безопасного доступа имеют другое расположение, состоящее из пользователей и устройств, которые соответствуют политикам безопасности вашей организации. Дополнительные сведения см. в разделе "Включение сигнала глобального безопасного доступа для условного доступа". Его можно использовать с политиками условного доступа для выполнения проверки доступа к ресурсам, соответствующим требованиям.

Выбранные сети и расположения

С помощью этого параметра можно выбрать одно или несколько именованных расположений. Для применения политики с этим параметром пользователю необходимо подключиться из любого из выбранных расположений. При нажатии кнопки "Выбрать" откроется список определенных расположений. В этом списке показано имя, тип и расположение сети, помеченное как доверенное.

Как определены эти расположения?

Расположения определяются и существуют в Центре администрирования Microsoft Entra в разделе "Именованные расположения условного доступа>защиты".> Администраторы с по крайней мере ролью администратора условного доступа могут создавать и обновлять именованные расположения.

Снимок экрана: именованные расположения в Центре администрирования Microsoft Entra.

Именованные расположения могут включать такие расположения, как диапазоны сети штаб-квартиры организации, диапазоны VPN-сети или диапазоны, которые вы хотите заблокировать. Именованные расположения содержат диапазоны адресов IPv4, диапазоны адресов IPv6 или страны.

Диапазоны адресов IPv4 и IPv6

Чтобы определить именованное расположение по общедоступным диапазонам адресов IPv4 или IPv6, необходимо указать следующее:

  • Имя расположения.
  • Один или несколько диапазонов общедоступных IP-адресов.
  • При необходимости помечается как надежное расположение.

К именованным расположениям, определяемым диапазонами адресов IPv4/IPv6, применяются следующие ограничения:

  • Не более 195 именованных расположений.
  • Не более 2000 диапазонов IP-адресов на именованное расположение.
  • При определении диапазона IP-адресов разрешены только маски CIDR длиной больше /8.

Для устройств в частной сети IP-адрес не является IP-адресом клиента устройства пользователя в интрасети (например, 10.55.99.3), это адрес, используемый сетью для подключения к общедоступному Интернету (например, 198.51.100.3).

Надежные расположения

Администраторы могут при необходимости пометить расположения на основе IP-адресов, такие как диапазоны общедоступных сетей вашей организации как доверенные. Эта маркировка используется различными способами.

  • Политики условного доступа могут включать или исключать эти расположения.
  • Входы из доверенных именованных расположений повышают точность вычисления рисков Защита идентификации Microsoft Entra.

Расположения, помеченные как доверенные, не могут быть удалены без первого удаления доверенного обозначения.

Страны

Организации могут определить географическое расположение страны по IP-адресу или координатам GPS.

Чтобы определить именованное расположение по стране, необходимо:

  • Укажите имя расположения.
  • Выберите расположение по IP-адресу или координатам GPS.
  • Добавьте один или несколько стран или регионов.
  • При необходимости выберите включить неизвестные страны или регионы.

Снимок экрана: создание нового расположения с помощью стран.

При выборе определения расположения по IP-адресу идентификатор Microsoft Entra разрешает IPv4-адрес пользователя или IPv6-адрес в страну или регион на основе периодической обновленной таблицы сопоставления.

При выборе местоположения по координатам GPS пользователи должны установить приложение Microsoft Authenticator на мобильном устройстве. Каждый час система связывается с приложением Microsoft Authenticator пользователя, чтобы определить местоположение его мобильного устройства по GPS.

  • Первый раз, когда пользователь должен предоставить общий доступ к своему расположению из приложения Microsoft Authenticator, он получает уведомление в приложении. Для этого необходимо открыть приложение и предоставить разрешения на использование данных о местоположении. Если пользователь по-прежнему будет обращаться к ресурсу, предоставив разрешение на выполнение приложения в фоновому режиме, на протяжении следующих 24 часов, данные о расположении устройства будут автоматически передаваться каждый час.
  • Спустя 24 часа пользователь должен открыть приложение и подтвердить уведомление.
  • Каждый раз, когда пользователь делится своим расположением GPS, приложение выполняет обнаружение с помощью той же логики, что и пакет SDK Microsoft Intune MAM. Если устройство взломано, расположение не считается допустимым и пользователю не предоставляется доступ.
    • Приложение Microsoft Authenticator на Android использует API целостности Google Play для упрощения обнаружения взлома. Если API целостности Google Play недоступен, запрос отклоняется, и пользователь не может получить доступ к запрошенному ресурсу, если политика условного доступа не отключена. Дополнительные сведения о приложении Microsoft Authenticator см. в статье Распространенные вопросы о приложении Microsoft Authenticator.
  • Пользователи могут изменять местоположение GPS, сообщаемое устройствами iOS и Android. В результате приложение Microsoft Authenticator отклоняет проверку подлинности, когда пользователь может использовать местоположение, отличное от фактического местоположения GPS мобильного устройства, на котором установлено приложение. Пользователи, которые изменяют местоположение своего устройства, получают сообщение об отказе в использовании политик на основе местоположения GPS.

Примечание.

Политика условного доступа с именованными расположениями на основе GPS в режиме "только отчет" предлагает пользователям предоставить доступ к их GPS-расположениям, даже если им запрещен вход.

Расположение GPS можно использовать при входе без пароля только в том случае, если также включены push-уведомления MFA. Пользователи могут использовать Microsoft Authenticator для входа, но им также нужно утвердить последующие push-уведомления MFA, чтобы поделиться своим расположением GPS.

Расположение GPS не работает, если заданы только методы проверки подлинности без пароля.

Перед применением нескольких политик условного доступа пользователи могут запрашивать расположение GPS. Из-за того, как применяются политики условного доступа, пользователь может быть отказано в доступе, если он передает проверку расположения, но завершается ошибкой другой политики. Дополнительные сведения о применении политик см. в статье о создании политики условного доступа.

Внимание

Пользователи могут получать запросы каждый час, сообщая им, что идентификатор Microsoft Entra проверяет их расположение в приложении Authenticator. Эта функция должна использоваться только для защиты очень конфиденциальных приложений, где это поведение приемлемо или где доступ должен быть ограничен для определенной страны или региона.

Включение неизвестных стран и регионов

Некоторые IP-адреса не сопоставляют с определенной страной или регионом. Чтобы собирать данные об этих IP-адресах, установите флажок Включить неизвестные страны и регионы при определении географического расположения. Этот параметр позволяет указать, нужно ли включать эти IP-адреса в именованное расположение. Используйте данный параметр, когда политика, использующая именованное расположение, должна применяться к неизвестным расположениям.

Часто задаваемые вопросы

Поддерживается ли API Graph?

Поддержка API Graph для именованных расположений доступна, дополнительные сведения см. в api именованного расположения.

Что делать, если я использую облачный прокси-сервер или VPN?

При использовании облачного размещенного прокси-сервера или VPN-адреса идентификатора Microsoft Entra, используемого при оценке политики, является IP-адресом прокси-сервера. Заголовок X-Forwarded-For (XFF), содержащий общедоступный IP-адрес пользователей, не используется, так как нет подтверждения того, что он поступает из надежного источника, а значит может быть поддельным.

При использовании облачного прокси-сервера политика, требующая гибридного соединения Или совместимого устройства Microsoft Entra, может быть проще управлять. Хранение списка IP-адресов, используемых облачным прокси-сервером или VPN-решением, практически невозможно.

Мы рекомендуем организациям использовать глобальный безопасный доступ, чтобы включить восстановление исходного IP-адреса, чтобы избежать этого изменения в адресе и упрощения управления.

Когда выполняется проверка расположения

Политики условного доступа оцениваются:

  • Изначально пользователь входит в веб-приложение, мобильное или классическое приложение.
  • Мобильное или классическое приложение, в котором применяется современная аутентификация, использует маркер обновления для получения нового маркера доступа. По умолчанию проверка происходит один раз в час.

Эта проверка означает наличие мобильных и классических приложений с использованием современной проверки подлинности, изменение расположения обнаруживается в течение часа после изменения сетевого расположения. Для мобильных и классических приложений, которые не используют современную проверку подлинности, политика применяется к каждому запросу маркера. Частота выполнения запроса зависит от приложения. Аналогичным образом, для веб-приложений политики применяются при первоначальном входе и хорошо подходит для времени существования сеанса в веб-приложении. Из-за различий в времени существования сеансов в приложениях время между оценкой политики зависит. Каждый раз, когда приложение запрашивает новый маркер входа, применяется политика.

По умолчанию идентификатор Microsoft Entra id выдает маркер почасовой основе. После перехода пользователей из корпоративной сети в течение часа политика применяется для приложений с использованием современной проверки подлинности.

Когда вы можете заблокировать расположения?

Политика, которая использует условие расположения для блокировки доступа, считается ограничивающим и должна выполняться с осторожностью после тщательного тестирования. Некоторые экземпляры использования условия расположения для блокировки проверки подлинности могут включать:

  • Блокировка стран или регионов, в которых ваша организация никогда не работает.
  • Блокировка определенных диапазонов IP-адресов, например:
    • Известные вредоносные IP-адреса перед изменением политики брандмауэра.
    • Высокочувствительные или привилегированные действия и облачные приложения.
    • На основе определенного диапазона IP-адресов пользователя, например доступа к приложениям для учета или заработной платы.