條件式存取:網路指派
系統管理員可以建立原則,以特定網路位置作為訊號,以及決策程序中的其他條件。 它們可以包含或排除這些網路位置,作為其原則設定的一部分。 這些網路位置可能包含公用 IPv4 或 IPv6 網路資訊、國家/地區、未對應至特定國家/地區的未知區域,或符合規範的全球安全存取網路。
注意
完成第一個要素驗證之後,即會施行條件式存取原則。 條件式存取不適合作為組織面對拒絕服務 (DoS) 攻擊之類情節的第一道防線,但是可以利用來自這些事件的訊號來決定存取權。
組織可能會將這些位置用於常見的工作,例如:
- 針對從公司網路外存取服務的使用者要求使用多重要素驗證。
- 封鎖貴組織從未運作的特定國家/地區存取。
使用者的位置是使用其公用 IP 位址或 Microsoft Authenticator 應用程式所提供的 GPS 座標找到。 根據預設,條件式存取原則會套用至所有位置。
提示
Location 條件已移動並重新命名為 Network。 首先,此條件會出現在 [指派] 層級以及 [條件] 底下。
更新或變更會出現在這兩個位置。 功能會維持不變,且使用 Location 的現有原則仍可繼續運作,而不需要變更。
在原則中設定時
在設定位置條件時,您可以區別:
- 任何網路或位置
- 所有信任的網路和位置
- 所有符合規範的網路位置
- 選取的網路和位置
任何網路或位置
根據預設,選取 [任何位置] 會將原則套用到所有 IP 位址,而這意味著網際網路上的所有位址。 這項設定不限於您已設為具名位置的 IP 位址。 當您選取 [任何位置] 時,您仍然可以從原則中排除特定位置。 例如,您可以將原則套用到受信任位置以外的所有位置,以將範圍設為公司網路以外的所有位置。
所有信任的網路和位置
此選項適用範圍:
- 已標示為信任的位置的所有位置。
- 多重要素驗證信任的 IP (如有設定)
多重要素驗證信任的 IP
不再建議使用多重要素驗證服務設定的受信任 IP 區段。 此控制項只接受 IPv4 位址,而且只應用於設定 Microsoft Entra 多重要素驗證設定一文中所述的特定案例。
如果您已設定受信任的 IP,這些 IP 會在位置條件的位置清單中顯示為 MFA 信任的 IP。
所有符合規範的網路位置
具有全域安全存取功能存取權的組織會列出另一個位置,這些位置是由符合您組織安全策略的使用者和裝置所組成。 如需詳細資訊,請參閱啟用條件式存取的全球安全存取訊號 (部分機器翻譯) 一節。 它可與條件式存取原則搭配使用,以執行相容的網路檢查,以存取資源。
選取的網路和位置
使用此選項,您可以選取一或多個具名位置。 將套用的原則若有此設定,使用者必須從任一選取的位置連線。 當您選擇 [選取] 時,您會看到已定義的位置清單隨即開啟。 此清單會顯示名稱、類型,以及網路位置是否標示為受信任。
如何定義這些位置?
位置會定義並存在於 [保護]>[條件式存取]>[具名位置] 底下的 Microsoft Entra 系統管理中心。 至少具有條件式存取系統管理員角色的系統管理員可以建立及更新具名位置。
具名位置可能包括組織的總部網路範圍、VPN 網路範圍,或您想要封鎖的範圍等位置。 具名位置包含 IPv4 位址範圍、IPv6 位址範圍或國家/地區。
IPv4 與 IPv6 位址範圍
若要根據公用 IPv4 或 IPv6 位址範圍定義具名位置,您必須提供:
- 位置的名稱。
- 一或多個公用 IP 範圍。
- (選擇性) 標記為受信任的位置。
IPv4/IPv6 位址範圍所定義的具名位置會受到下列限制:
- 不超過 195 個具名位置。
- 每個具名位置設定最多可設定 2000 個 IP 範圍。
- 定義 IP 範圍時,只允許大於 /8 的 CIDR 遮罩。
對於私人網路上的裝置,這個 IP 位址不是內部網路上使用者裝置的用戶端 IP (例如 10.55.99.3),而是用來連接到公用網際網路的網路位址 (例如 198.51.100.3)。
受信任位置
系統管理員可能會選擇性地將 IP 型位置 (例如您的組織公用網路範圍) 標示為受信任。 這項標記是透過數種方式由功能使用。
- 條件式存取原則可以包含或排除這些位置。
- 來自受信任具名位置的登入可改善 Microsoft Entra ID Protection 風險計算的正確性。
若未先移除受信任的指定,就無法刪除標示為受信任的位置。
國家/地區
組織可以依 IP 位址或 GPS 座標判斷國家/地區的位置。
若要依國家/地區定義具名位置,您必須:
- 提供位置的名稱。
- 選擇依 IP 位址或 GPS 座標判斷位置。
- 新增一或多個國家/地區。
- 視需要選擇包含未知的國家/地區。
選取 [依 IP 位址判斷位置] 時,Microsoft Entra ID 會根據定期更新的對應表,將使用者的 IPv4 或 IPv6 位址解析為國家或地區。
如果您選取 [依 GPS 座標判斷位置],使用者將需要在其行動裝置上安裝 Microsoft Authenticator 應用程式。 系統每小時都會連絡使用者的 Microsoft Authenticator 應用程式,收集行動裝置的 GPS 位置。
- 使用者第一次必須從 Microsoft Authenticator 應用程式分享其位置時,使用者會在應用程式中收到通知。 使用者必須開啟應用程式,並授與位置權限。 在接下來 24 小時,如果使用者仍在存取資源,並授與應用程式在背景執行的權限,則裝置的位置會以無訊息方式每小時共用一次。
- 24 小時之後,使用者必須開啟應用程式並核准通知。
- 每次使用者分享 GPS 位置時,應用程式會使用與 Microsoft Intune MAM SDK 的相同邏輯來進行越獄偵測。 如果裝置遭到越獄,則位置不被視為有效,使用者也不會被授與存取權。
- Android 上的 Microsoft Authenticator 應用程式會使用 Google Play 完整性 API 來協助進行越獄偵測。 如果 Google Play Integrity API 無法使用,要求會遭到拒絕,而且除非停用條件式存取原則,否則使用者無法存取要求的資源。 如需 Microsoft Authenticator 應用程式的詳細資訊,請參閱有關 Microsoft Authenticator 應用程式常見問題一文。
- 使用者可能修改 iOS 和 Android 裝置所報告的 GPS 位置。 因此,使用者可能使用與安裝應用程式之行動裝置實際 GPS 位置不同的驗證時,Microsoft Authenticator 應用程式會拒絕使用者。 修改裝置位置的使用者會收到 GPS 位置型原則的拒絕訊息。
注意
在報告專用模式中,具有 GPS 型命名位置的條件式存取原則會提示使用者分享 GPS 位置,即使他們未遭到封鎖登入也一樣。
只有在同時啟用 MFA 推播通知時,GPS 位置才能與 無密碼手機登入 搭配使用。 使用者可以使用 Microsoft Authenticator 登入,但他們也需要核准後續的 MFA 推播通知來共用其 GPS 位置。
設定無 密碼驗證方法 時,GPS 位置無法運作。
在套用所有條件式存取原則之前,多個條件式存取原則可能會提示使用者輸入其 GPS 位置。 由於套用條件式存取原則的方式,使用者可能會在通過位置檢查但另一個原則失敗時遭到拒絕存取。 如需強制執行原則的詳細資訊,請參閱文章:建立條件式存取原則。
重要
使用者每隔一小時就會收到提示,讓他們知道 Microsoft Entra ID 正在檢查 Authenticator 應用程式中的位置。 此功能只能用來保護非常敏感的應用程式,其中可接受這種行為,或必須將存取授權限制在特定的國家/地區。
包含未知的國家/地區
某些 IP 位址不會對應至特定國家或地區。 若要擷取這些 IP 位置,請在定義地理位置時勾選 [包含未知的國家/地區] 方塊。 此選項可讓您選擇這些 IP 位址是否應包含在具名位置中。 當使用具名位置的原則應套用到未知位置時,請使用此設定。
常見問題
是否有圖形 API 支援?
具名位置的圖形 API 支援可供使用,如需詳細資訊,請參閱 namedLocation API。
如果我使用雲端 Proxy 或 VPN,該怎麼辦?
當您使用雲端託管 Proxy 或 VPN 解決方案時,Microsoft Entra ID 在評估原則時使用的 IP 位址為 Proxy 的 IP 位址。 服務不會使用包含使用者公用 IP 位址的 X-Forwarded-For (XFF) 標頭,因為無法驗證其來自受信任的來源,故會提供偽造 IP 位址的方法。
當雲端 Proxy 就緒時,需要 Microsoft Entra 混合式加入或相容裝置的原則更容易管理。 將雲端託管 Proxy 或 VPN 解決方案所使用的 IP 位址清單保持在最新狀態幾乎是不可能的。
我們建議組織利用「全球安全存取」來啟用來源 IP 還原 (部分機器翻譯),以避免此位址變更並簡化管理。
何時會評估位置?
條件式存取原則的評估時機:
- 使用者初次登入 Web 應用程式、行動或桌面應用程式。
- 使用新式驗證的行動或桌面應用程式使用重新整理權杖來取得新的存取權杖。 預設是一小時檢查一次。
這項檢查適用於使用新式驗證的行動和桌面應用程式,系統會在變更網域位置的一小時內偵測到位置變更。 針對未使用新式驗證的行動和桌面應用程式,此原則會套用至每個權杖要求。 要求頻率會隨應用程式而異。 同樣地,針對 Web 應用程式,此原則會在初始登入時套用,且適用於 Web 應用程式工作階段的存留期。 由於跨應用程式的工作階段存留期有差異,因此原則評估之間的時間也會不同。 每次應用程式要求新的登入權杖時,就會套用此原則。
根據預設,Microsoft Entra ID 每小時會發出一個權杖。 在使用者移出公司網路後,一小時內就會使用新式驗證針對應用程式強制執行原則。
何時可能會封鎖位置?
使用位置條件來封鎖存取的原則屬於限制性措施,而且應在徹底測試後再謹慎執行。 使用位置條件封鎖驗證的某些執行個體可能包括:
- 封鎖貴組織從未執行業務的國家/地區。
- 封鎖特定的 IP 範圍,例如:
- 防火牆原則可以變更之前的已知惡意 IP。
- 高度敏感或具有特殊權限的動作和雲端應用程式。
- 根據使用者的特定 IP 範圍,例如存取會計或薪資應用程式。