Dela via

Tillämpa strikt lokaliseringsprinciper med kontinuerlig åtkomstutvärdering (förhandsversion)

  • Artikel

Strikt efterlevnad av platsriktlinjer är ett nytt efterlevnadsläge för utvärdering av kontinuerlig åtkomst (CAE), som används i villkorsstyrda åtkomstprinciper. Det här nya läget ger skydd för resurser och stoppar omedelbart åtkomsten om den IP-adress som identifierats av resursprovidern inte tillåts av principen för villkorsstyrd åtkomst. Det här alternativet är den högsta säkerhetsmodaliteten för CAE-platstillämpning och kräver att administratörerna förstår routningen av autentiserings- och åtkomstbegäranden i nätverksmiljön. Se vår introduktion till utvärdering av kontinuerlig åtkomst för en genomgång av hur CAE-kompatibla klienter och resursproviders, till exempel Outlook-e-postklienten och Exchange Online utvärderar platsändringar.

Läge för platskontroll Rekommenderad nätverkstopologi Om IP-adressen som identifieras av resursen inte finns i listan över tillåtna Förmåner Konfiguration
Standard (förvalt) Lämplig för alla topologier En kortlivad token utfärdas endast om Microsoft Entra-ID identifierar en tillåten IP-adress. Annars blockeras åtkomsten Återgår till läget för platsidentifiering före CAE i distributioner av delade tunnelnätverk där CAE-tillämpning skulle påverka produktiviteten. CAE upprätthåller fortfarande andra aktiviteter och regler. Ingen (standardinställning)
Strikt framtvingade platsprinciper Utgående IP-adresser är dedikerade och uppräknade för både Microsoft Entra ID och all trafik från resursleverantörer. Åtkomst blockerad Säkrast, men kräver väl förstådda nätverksvägar 1. Testa antaganden om IP-adresser med en liten population

2. Aktivera "Strikt framtvinga" under Sessionskontroller

Konfigurera strikt framtvingade platsprinciper

Steg 1 – Konfigurera en platsbaserad princip för villkorlig åtkomst för målanvändare

Innan administratörer skapar en princip för villkorsstyrd åtkomst som kräver strikt platstillämpning måste de vara bekväma med att använda principer som den som beskrivs i platsbaserade principer för villkorsstyrd åtkomst. Principer som den här bör testas med en delmängd användare innan du fortsätter till nästa steg. Administratörer kan undvika avvikelser mellan de tillåtna och faktiska IP-adresserna som microsoft Entra-ID ser under autentiseringen genom att testa innan strikt tillämpning aktiveras.

Steg 2 – Testa principen för en liten delmängd användare

Skärmbild som visar en princip för villkorlig åtkomst med

När du har aktiverat principer som kräver strikt platsverifiering för en del av testanvändarna verifierar du testupplevelsen med hjälp av filtret 'IP-adress' (visas av resursen) i Microsoft Entra-inloggningsloggarna. Med den här valideringen kan administratörer hitta scenarier där strikt platstillämpning kan blockera användare med en otillåten IP-adress som visas av den CAE-aktiverade resursprovidern.

Innan administratörer aktiverar principer för villkorsstyrd åtkomst som kräver strikt platstillämpning bör de:

  • Se till att all autentiseringstrafik mot Microsoft Entra-ID och åtkomsttrafik till resursprovidrar kommer från dedikerade utgående IP-adresser som är kända.
    • Som Exchange Online, Teams, SharePoint Online och Microsoft Graph
  • Se till att alla IP-adresser som deras användare kan komma åt Microsoft Entra-ID och resursprovidrar från ingår på deras IP-baserade namngivna platser.
  • Se till att de inte skickar trafik till icke-Microsoft 365-program via global säker åtkomst.
    • Käll-IP-återställning stöds inte för dessa icke-Microsoft 365-program. Om du aktiverar strikt platsframtvingande med global säker åtkomst blockeras åtkomst även om användaren är på en betrodd IP-plats.
  • Granska deras principer för villkorsstyrd åtkomst för att se till att de inte har några principer som inte stöder CAE. Mer information finns i CAE-stödda principer för villkorsstyrd åtkomst.

Om administratörer inte utför den här valideringen kan deras användare påverkas negativt. Om trafik till Microsoft Entra ID eller en CAE-resurs hanteras via en delad eller odefinierbar utgående IP-adress, bör du inte aktivera strikt platskontroll i dina villkorsstyrda åtkomstprinciper.

Steg 3 – Använd CAE-arbetsboken för att identifiera IP-adresser som ska läggas till på dina namngivna platser

Om du inte redan har gjort det skapar du en ny Azure-arbetsbok med hjälp av den offentliga mallen "Kontinuerlig åtkomstutvärderingsinsikter" för att identifiera IP-matchningsfel mellan IP-adress som visas av Microsoft Entra-ID och IP-adress (ses av resurs). I det här fallet kan du ha en nätverkskonfiguration med delad tunnel. För att säkerställa att användarna inte av misstag blir utelåsta när strikt kontroll av platsåtkomst är aktiverad bör administratörer:

  • Undersök och identifiera eventuella IP-adresser som identifieras i CAE-arbetsboken.

  • Lägg till offentliga IP-adresser som är associerade med kända organisationsutgående punkter till deras definierade namngivna platser.

    Skärmbild av cae-arbetsbok med ett exempel på IP-adress som visas av resursfiltret.

    Följande skärmbild visar ett exempel på en klients åtkomst till en resurs som blockeras. Det här blocket beror på principer som kräver att CAE strikt platsframtvingande utlöses och återkallar klientens session.

    Skärmbild av meddelandet en användare ser om de blockeras vid strikt platsbegränsning.

    Det här beteendet kan verifieras i inloggningsloggarna. Leta efter IP-adress (visas av resursen) och överväg att lägga till denna IP-adress i namngivna platser om oväntade block från villkorsstyrd åtkomst uppstår för användare.

    Skärmbild av en inloggningsloggpost med både IP-adress och IP-adress som visas av resursen.

    Om du tittar på informationsfliken Princip för villkorsstyrd åtkomst finns mer information om blockerade inloggningshändelser.

    Skärmbild av information om principer för villkorsstyrd åtkomst med de platser som visades.

Steg 4 – Fortsätt distributionen

Upprepa steg 2 och 3 med växande grupper av användare tills platsprinciperna strängt efterlevs över målanvändarbasen. Distribuera noggrant för att undvika att påverka användarupplevelsen.

Felsökning med inloggningsloggar

Administratörer kan undersöka inloggningsloggarna för att hitta fall med IP-adress (visas av resurs).

  1. Logga in på Microsoft Entras administrationscenter som minst en Rapportläsare.
  2. Bläddra till IdentitetÖvervakning & hälsaInloggningsloggar.
  3. Hitta händelser att granska genom att lägga till filter och kolumner för att filtrera bort onödig information.

    1. Lägg till kolumnen IP-adress (visas efter resurs) och filtrera bort eventuella tomma objekt för att begränsa omfånget. IP-adressen (som visas av resursen) är tom när ip-adressen som visas av Microsoft Entra-ID:t matchar den IP-adress som resursen ser.

      Skärmbild som visar ett exempel på hur du hittar mer information i inloggningsloggarna.

      IP-adressen (som visas av resursen) innehåller filtret är inte tomt i följande exempel:

Inledande autentisering

  1. Autentiseringen lyckas med ett CAE-token.

    Skärmbild som visar en lyckad inloggning med en CAE-token.

  2. IP-adressen (som visas av resursen) skiljer sig från DEN IP-adress som visas av Microsoft Entra-ID: t. Även om DEN IP-adress som resursen ser är känd, finns det ingen tillämpning förrän resursen omdirigerar användaren för omvärdering av IP-adressen som ses av resursen.

    Skärmbild som visar IP-adress och IP-adress som visas av resursen i inloggningsloggen.

  3. Microsoft Entra-autentiseringen är framgångsrik eftersom strikta platsbegränsningar inte tillämpas på resursnivå.

    Skärmbild som visar att en princip för villkorsstyrd åtkomst inte tillämpades eftersom platsen är undantagen.

Resursomdirigering för omvärdering

  1. Autentiseringen misslyckas och en CAE-token utfärdas inte.

    Skärmbild som visar en misslyckad autentisering.

  2. IP-adressen (som visas efter resurs) skiljer sig från DEN IP-adress som Microsoft Entra-ID:t ser.

    Skärmbild som visar ett matchningsfel i IP-adresser.

  3. Autentiseringen lyckas inte eftersom IP-adressen (som visas av resursen) inte är en känd namngiven plats i villkorlig åtkomst.

    Skärmbild som visar en tillämpad princip för villkorsstyrd åtkomst eftersom IP-adressen ingick i en blockregel.

Relaterat innehåll