Strikt framtvinga platsprinciper med kontinuerlig åtkomstutvärdering (förhandsversion)
Strikt framtvinga platsprinciper är ett nytt tvingande läge för utvärdering av kontinuerlig åtkomst (CAE), som används i principer för villkorsstyrd åtkomst. Det här nya läget ger skydd för resurser och stoppar omedelbart åtkomsten om den IP-adress som identifierats av resursprovidern inte tillåts av principen för villkorsstyrd åtkomst. Det här alternativet är den högsta säkerhetsmodaliteten för CAE-platstillämpning och kräver att administratörerna förstår routningen av autentiserings- och åtkomstbegäranden i nätverksmiljön. Se vår introduktion till utvärdering av kontinuerlig åtkomst för en genomgång av hur CAE-kompatibla klienter och resursproviders, till exempel Outlook-e-postklienten och Exchange Online utvärderar platsändringar.
Läge för platsframtvingande | Rekommenderad nätverkstopologi | Om IP-adressen som identifieras av resursen inte finns i listan över tillåtna | Förmåner | Konfiguration |
---|---|---|---|---|
Standard (standard) | Lämplig för alla topologier | En kortlivad token utfärdas endast om Microsoft Entra-ID identifierar en tillåten IP-adress. Annars blockeras åtkomsten | Återgår till läget för platsidentifiering före CAE i distributioner av delade tunnelnätverk där CAE-tillämpning skulle påverka produktiviteten. CAE tillämpar fortfarande andra händelser och principer. | Ingen (standardinställning) |
Strikt framtvingade platsprinciper | Utgående IP-adresser är dedikerade och uppräknade för både Microsoft Entra-ID och all resursprovidertrafik | Åtkomst blockerad | Säkrast, men kräver väl förstådda nätverksvägar | 1. Testa antaganden om IP-adresser med en liten population 2. Aktivera "Strikt framtvinga" under Sessionskontroller |
Konfigurera strikt framtvingade platsprinciper
Steg 1 – Konfigurera en platsbaserad princip för villkorlig åtkomst för målanvändare
Innan administratörer skapar en princip för villkorsstyrd åtkomst som kräver strikt platstillämpning måste de vara bekväma med att använda principer som den som beskrivs i platsbaserade principer för villkorsstyrd åtkomst. Principer som den här bör testas med en delmängd användare innan du fortsätter till nästa steg. Administratörer kan undvika avvikelser mellan de tillåtna och faktiska IP-adresserna som microsoft Entra-ID ser under autentiseringen genom att testa innan strikt tillämpning aktiveras.
Steg 2 – Testa principen för en liten delmängd användare
När du har aktiverat principer som kräver strikt platsframtvingande för en delmängd av testanvändarna verifierar du testupplevelsen med hjälp av filter-IP-adressen (visas av resursen) i Inloggningsloggarna för Microsoft Entra. Med den här valideringen kan administratörer hitta scenarier där strikt platstillämpning kan blockera användare med en otillåten IP-adress som visas av den CAE-aktiverade resursprovidern.
Innan administratörer aktiverar principer för villkorsstyrd åtkomst som kräver strikt platstillämpning bör de:
- Se till att all autentiseringstrafik mot Microsoft Entra-ID och åtkomsttrafik till resursprovidrar kommer från dedikerade utgående IP-adresser som är kända.
- Som Exchange Online, Teams, SharePoint Online och Microsoft Graph
- Se till att alla IP-adresser som deras användare kan komma åt Microsoft Entra-ID och resursprovidrar från ingår på deras IP-baserade namngivna platser.
- Se till att de inte skickar trafik till icke-Microsoft 365-program via global säker åtkomst.
- Käll-IP-återställning stöds inte för dessa icke-Microsoft 365-program. Om du aktiverar strikt platsframtvingande med global säker åtkomst blockeras åtkomst även om användaren är på en betrodd IP-plats.
- Granska deras principer för villkorsstyrd åtkomst för att se till att de inte har några principer som inte stöder CAE. Mer information finns i CAE-stödda CA-principer.
Om administratörer inte utför den här valideringen kan deras användare påverkas negativt. Om trafik till Microsoft Entra-ID eller en CAE-resurs som stöds via en delad eller odefinierbar utgående IP-adress ska du inte aktivera strikt platsframtvingande i dina principer för villkorsstyrd åtkomst.
Steg 3 – Använd CAE-arbetsboken för att identifiera IP-adresser som ska läggas till på dina namngivna platser
Om du inte redan har gjort det skapar du en ny Azure-arbetsbok med hjälp av den offentliga mallen "Kontinuerlig åtkomstutvärderingsinsikter" för att identifiera IP-matchningsfel mellan IP-adress som visas av Microsoft Entra-ID och IP-adress (ses av resurs). I det här fallet kan du ha en nätverkskonfiguration med delad tunnel. För att säkerställa att användarna inte av misstag blir utelåst när strikt platstillämpning är aktiverat bör administratörer:
Undersök och identifiera eventuella IP-adresser som identifieras i CAE-arbetsboken.
Lägg till offentliga IP-adresser som är associerade med kända organisationsutgående punkter till deras definierade namngivna platser.
Följande skärmbild visar ett exempel på en klients åtkomst till en resurs som blockeras. Det här blocket beror på principer som kräver att CAE strikt platsframtvingande utlöses och återkallar klientens session.
Det här beteendet kan verifieras i inloggningsloggarna. Leta efter IP-adress (visas av resursen) och undersök att lägga till den här IP-adressen på namngivna platser om det uppstår oväntade block från villkorsstyrd åtkomst för användare.
Om du tittar på informationsfliken Princip för villkorsstyrd åtkomst finns mer information om blockerade inloggningshändelser.
Steg 4 – Fortsätt distributionen
Upprepa steg 2 och 3 med expanderande grupper av användare tills strikt framtvinga platsprinciper tillämpas i målanvändarbasen. Distribuera noggrant för att undvika att påverka användarupplevelsen.
Felsökning med inloggningsloggar
Administratörer kan undersöka inloggningsloggarna för att hitta fall med IP-adress (visas av resurs).
- Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
- Bläddra till Loggar för identitetsövervakning>och hälsoinloggning.>
- Hitta händelser att granska genom att lägga till filter och kolumner för att filtrera bort onödig information.
Lägg till kolumnen IP-adress (visas efter resurs) och filtrera bort eventuella tomma objekt för att begränsa omfånget. IP-adressen (som visas av resursen) är tom när ip-adressen som visas av Microsoft Entra-ID:t matchar den IP-adress som resursen ser.
IP-adressen (som visas av resursen) innehåller filtret är inte tomt i följande exempel:
Inledande autentisering
Autentiseringen lyckas med en CAE-token.
IP-adressen (som visas av resursen) skiljer sig från DEN IP-adress som visas av Microsoft Entra-ID: t. Även om DEN IP-adress som resursen ser är känd, finns det ingen tillämpning förrän resursen omdirigerar användaren för omvärdering av IP-adressen som ses av resursen.
Microsoft Entra-autentiseringen lyckas eftersom strikt platsframtvingande inte tillämpas på resursnivå.
Resursomdirigering för omvärdering
Autentiseringen misslyckas och en CAE-token utfärdas inte.
IP-adressen (som visas efter resurs) skiljer sig från DEN IP-adress som Microsoft Entra-ID:t ser.
Autentiseringen lyckas inte eftersom IP-adressen (som visas av resursen) inte är en känd namngiven plats i villkorlig åtkomst.