Блокировка доступа по расположению

Обзор

Условие расположения при использовании условного доступа позволяет управлять доступом к облачным приложениям на основе расположения пользователя в сети. Условие расположения обычно используется для блокирования доступа в странах и регионах, из которых не должен поступать трафик. Дополнительные сведения о поддержке IPv6 см. в статье IPv6 в Microsoft Entra ID.

1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
2. Откройте Entra ID>Условный доступ>Определенные местоположения.
3. Выберите тип создаваемого местоположения.
   • Расположение стран или диапазоны IP-адресов.
   • Присвойте расположению имя.
4. Укажите диапазоны IP-адресов либо выберите страны или регионы в качестве задаваемого расположения.
   • При выборе диапазонов IP-адресов можно при желании пометить как надежное местоположение.
   • Если выбраны страны или регионы, можно дополнительно включить неизвестные области.
5. Нажмите кнопку Создать

Дополнительные сведения о условии расположения в условном доступе см. в статье " Условный доступ: условия назначения сети"

Создание политики условного доступа

1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
2. Перейдите к Entra ID>Условный доступ>Политики.
3. Выберите Новая политика.
4. Присвойте политике имя. Создайте значимый стандарт для наименований ваших политик.
5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе Включить выберите Все пользователи.
   2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
6. В разделе Целевые ресурсы>Ресурсы (ранее облачные приложения)>выберитеВсе ресурсы (ранее 'Все облачные приложения').
7. В разделе "Сеть".
   1. Задайте для параметра Настроить значение Да.
   2. В разделе "Включить" выберите выбранные сети и расположения
      1. Выберите заблокированное расположение, созданное для вашей организации.
      2. Выберите Выбрать.
8. В разделе Контроль доступа>Предоставление прав выберите Блокировать доступ, а затем выберите Выбрать.
9. Подтвердите параметры и задайте для параметра Включить политику значение Только отчет.
10. Щелкните Создать, чтобы включить эту политику.

После подтверждения параметров с помощью режима влияния или режима только для отчета переместите переключатель "Включить" из "Только отчет" в "Включено".

Пользовательские исключения

Политики условного доступа — это мощные инструменты. Рекомендуется исключить следующие учетные записи из политик:

• Аварийный доступ или резервные учетные записи, чтобы предотвратить блокировку из-за ошибок в настройке политики. В маловероятном сценарии, когда все администраторы заблокированы, ваша учетная запись администрирования аварийного доступа может использоваться для входа и восстановления доступа.
  • Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.
• Учетные записи служб и служебные принципы, такие как учетная запись синхронизации Microsoft Entra Connect. Учетные записи служб являются неинтерактивными учетными записями, которые не привязаны к конкретному пользователю. Они обычно используются внутренними службами для предоставления программного доступа к приложениям, но они также используются для входа в системы для административных целей. Вызовы, выполняемые основными компонентами службы, не блокируются правилами условного доступа, применяемыми к пользователям. Используйте условный доступ для рабочих идентификаторов, чтобы определить политики, предназначенные для сервисных субъектов.
  • Если ваша организация использует эти учетные записи в скриптах или коде, замените их управляемыми удостоверениями.

Связанный контент

• Шаблоны условного доступа
• Определите эффект с использованием режима условного доступа «только отчет»
• Используйте режим "только отчет" для условного доступа, чтобы определить результаты новых решений по политике.