Поделиться через

Строго применять политики расположения с помощью непрерывной оценки доступа (предварительная версия)

  • Статья

Строго применять политики расположения — это новый режим обеспечения соблюдения для непрерывной оценки доступа (CAE), используемый в политиках условного доступа. Этот новый режим обеспечивает защиту ресурсов, немедленно прекращая доступ, если IP-адрес, обнаруженный поставщиком ресурсов, не разрешен политикой условного доступа. Этот параметр является самым высоким уровнем безопасности применения расположения CAE и требует, чтобы администраторы понимали маршрутизацию аутентификационных и доступа запросов в своей сетевой среде. Ознакомьтесь с нашим введением в непрерывную оценку доступа для проверки того, как клиенты и поставщики ресурсов, поддерживающие оценку непрерывного доступа (ОНД), такие как клиент электронной почты Outlook и Exchange Online, оценивают изменения местоположения.

Режим принудительного контроля местоположения Рекомендуемая топология сети Если IP-адрес, обнаруженный ресурсом, отсутствует в списке разрешенных Льготы Настройка
Стандартный (по умолчанию) Подходит для всех топологий Кратковременный маркер выдается только в том случае, если идентификатор Microsoft Entra обнаруживает разрешенный IP-адрес. В противном случае доступ заблокирован Возвращается к режиму обнаружения местоположения до включения CAE в развёртываниях сети с разделением туннелей, где применение CAE будет влиять на производительность. CAE по-прежнему применяет другие мероприятия и правила. Нет (параметр по умолчанию)
Строго соблюдаемые политики в отношении местоположения IP-адреса исходящего трафика выделены и перечисляются как для идентификатора Microsoft Entra, так и для всего трафика поставщика ресурсов. Доступ блокируется Большинство безопасных, но требует хорошо понятных сетевых путей 1. Тестирование предположений об IP-адресах с небольшой выборкой

2. Включите "Строгое принудительное применение" в элементах управления сеансом

Настройка строго примененных политик расположения

Шаг 1. Настройка политики на основе расположения условного доступа для целевых пользователей

Прежде чем администраторы создадут политику условного доступа, требующую строгого контроля местоположения, они должны уверенно использовать политики, такие как описано в политиках условного доступа на основе расположения. Перед переходом к следующему шагу необходимо протестировать такие политики с подмножеством пользователей. Администраторы могут избежать несоответствий между допустимыми и фактическими IP-адресами, которые видит Microsoft Entra ID во время аутентификации, протестировав систему перед включением строгого контроля.

Шаг 2. Проверка политики для небольшого подмножества пользователей

Снимок экрана, показывающий политику условного доступа, с включенным параметром

После включения политики, требующей строгого контроля местоположения в подмножестве тестовых пользователей, проверьте свой опыт тестирования с помощью фильтра IP-адреса (видимое ресурсом) в журналах входа Microsoft Entra. Эта проверка позволяет администраторам находить сценарии, в которых строгое соблюдение требований к местоположению может блокировать пользователей с неразрешённым IP-адресом, видимым поставщиком ресурсов с поддержкой CAE.

Прежде чем администраторы включают политики условного доступа, требующие строгого соблюдения местоположения, они должны:

  • Убедитесь, что весь трафик аутентификации в Microsoft Entra ID и весь трафик доступа к поставщикам ресурсов исходят от известных выделенных IP-адресов исходящего трафика.
    • Например, Exchange Online, Teams, SharePoint Online и Microsoft Graph
  • Убедитесь, что все IP-адреса, из которых их пользователи могут получить доступ к идентификационной системе Microsoft Entra и поставщикам ресурсов, включены в именованные местоположения на основе IP-адресов.
  • Убедитесь, что они не отправляют трафик в приложения, отличные от Microsoft 365, через глобальный безопасный доступ.
    • Восстановление исходного IP-адреса не поддерживается для этих приложений, отличных от Microsoft 365. Включение строгой политики определения местоположения с помощью системы Global Secure Access блокирует доступ, даже если пользователь находится в надежном IP-адресе.
  • Просмотрите их политики условного доступа, чтобы убедиться, что у них нет политик, которые не поддерживают CAE. Для получения дополнительных сведений см. политики условного доступа, поддерживаемые CAE.

Если администраторы не выполняют эту проверку, это может негативно сказаться на их пользователях. Если трафик к Microsoft Entra ID или ресурсу с поддержкой непрерывной оценки доступа осуществляется через общий или неопределенный IP-адрес исходящего трафика, не включайте строгое применение расположения в политиках условного доступа.

Шаг 3. Используйте рабочую тетрадь CAE для идентификации IP-адресов, которые следует добавить в именованные места.

Если вы еще не сделали этого, создайте новую рабочую книгу Azure, используя общедоступный шаблон "Непрерывная оценка доступа", чтобы определить несоответствие IP-адресов между адресом IP, который видит Microsoft Entra ID, и IP-адресом (видимый для ресурса). В этом случае у вас может быть сетевая конфигурация с разделением туннеля. Чтобы гарантировать, что пользователи не окажутся случайно заблокированными при включении строгого контроля местоположения, администраторы должны:

  • Изучите и выявите все IP-адреса, указанные в рабочей тетради CAE.

  • Добавьте общедоступные IP-адреса, связанные с известными точками выхода организации, в определенные именованные расположения.

    Снимок экрана: cae-workbook с примером IP-адреса, просматриваемого фильтром ресурсов.

    На следующем снимку экрана показан пример доступа клиента к ресурсу, заблокированным. Эта блокировка вызвана политиками, требующими строгого соблюдения стандартов размещения CAE, что привело к аннулированию сеанса клиента.

    Снимок экрана сообщения, которое видит пользователь, если он заблокирован строгим соблюдением местоположения.

    Это поведение можно проверить в журналах входа. Найдите IP-адрес (видимый ресурсом) и изучите добавление этого IP-адреса в именованные расположения при возникновении непредвиденных блоков условного доступа для пользователей.

    Снимок экрана: запись журнала входа с IP-адресом и IP-адресом, видимыми ресурсом.

    На вкладке сведений о политике условного доступа содержатся дополнительные сведения о событиях заблокированного входа.

    Снимок экрана: сведения о политике условного доступа с расположениями, которые были замечены.

Шаг 4. Продолжение развертывания

Повторите шаги 2 и 3 с расширяющимися группами пользователей, пока политики строгого соблюдения местоположений не будут применены в вашей целевой базе пользователей. Тщательно внедряйте, чтобы избежать влияния на опыт пользователя.

Устранение неполадок с журналами входа

Администраторы могут проанализировать журналы входа, чтобы найти случаи с IP-адресом (видимый ресурсом).

  1. Войдите в центр администрирования Microsoft Entra с правами не ниже, чем чтение отчетов.
  2. Перейдите в Удостоверение>Мониторинг и работоспособность>Журналы входа.
  3. Поиск событий для проверки путем добавления фильтров и столбцов для фильтрации ненужных сведений.

    1. Добавьте столбец IP-адреса (видимый ресурсом) и отфильтруйте пустые элементы, чтобы сузить область. IP-адрес (видимый ресурсом) пуст, если этот IP-адрес, отображаемый идентификатором Microsoft Entra, совпадает с IP-адресом, отображаемым ресурсом.

      Снимок экрана: пример поиска дополнительных сведений в журналах входа.

      IP-адрес (как видит ресурс) содержит фильтр, который не пуст, в следующих примерах:

Начальная проверка подлинности

  1. Аутентификация завершается успешно с помощью токена CAE.

    Снимок экрана: успешный вход с маркером CAE.

  2. IP-адрес (видимый ресурсом) отличается от IP-адреса, замеченного идентификатором Microsoft Entra. Хотя ресурс знает видимый IP-адрес, он не применяется до тех пор, пока ресурс не перенаправит пользователя для повторной оценки видимого IP-адреса.

    Снимок экрана: IP-адрес и IP-адрес, отображаемые ресурсом в журнале входа.

  3. Аутентификация Microsoft Entra выполнена успешно, так как строгий контроль местоположения не применяется на уровне ресурса.

    Снимок экрана показывает, что политика контроля доступа не применена, поскольку местоположение исключено.

Перенаправление ресурсов для повторной оценки

  1. Проверка подлинности завершается ошибкой, и маркер CAE не выдан.

    Снимок экрана: сбой проверки подлинности.

  2. IP-адрес (видимый ресурсом) отличается от IP-адреса, просматриваемого идентификатором Microsoft Entra.

    Снимок экрана: несоответствие в IP-адресах.

  3. Проверка подлинности не выполнена успешно, так как IP-адрес (видимый ресурсом) не является известным именованным расположением в условном доступе.

    Снимок экрана: применена политика условного доступа, так как IP-адрес был включен в правило блокировки.

Связанный контент