Dostęp warunkowy – instrukcja konfiguracji krok po kroku – część 1

Table of Contents Hide
  1. Dostęp warunkowy – panel konfiguracyjny
  2. Nazwane lokalizacje – konfiguracja sieci

Część 1

Gdzie szukać panelu konfiguracyjnego

Konfiguracja sieci

Jesteś tutaj

Część 2

Konfiguracja polityki dostępu warunkowego

Omówienie opcji

Czytaj

Część 3

Przykłady wymagań biznesowych

Jak je skonfigurować

Czytaj

Dostęp warunkowy Azure często okazuje się trudny w konfiguracji. Wynika to zazwyczaj z niedostatecznego zrozumienia zasad działania polityk dostępu warunkowego.

W tym artykule znajdziesz szczegółową instrukcję konfiguracji krok po kroku. Każdy element będzie zawierał screen oraz wyjaśnienie. Dodatkowo na samym końcu znajdziesz listę przykładów biznesowych wraz z wyjaśnieniem, jak i dlaczego należy je skonfigurować.

Dostęp warunkowy – panel konfiguracyjny

Dostęp warunkowy konfiguruje się z poziomu portalu Azure ( https://portal.azure.com ). Po zalogowaniu do portalu odszukaj zakładkę: Dostep warunkowy.

Wyszukiwanie zakładki konfiguracji dostępu warunkowego Azure
1. Wyszukiwanie panelu konfiguracyjnego dostępu warunkowego

W panelu konfiguracyjnym znajdziesz następujące opcje:

Opcje w panelu konfiguracyjnym dostepu warunkowego azure
2. opcje w panelu konfiguracyjnym dostępu warunkowego azure
  1. Dostęp do listy aktualnie skonfigurowanych polityk (czyli do widoku jak na obrazku powyżej)
  2. Edycja znanych sieci – na ich podstawie możemy definiować warunki
  3. Dodawanie nowej polityki
  4. Lista polityk – kliknięcie na nazwę powoduje przejście do edycji
  5. Status polityki
  6. Szybkie menu

Lista polityk widocznych na rys. 2 jest listą która zgodnie z zapowiedzią widoczną powyżej zostanie usunięta. Nie będziemy się więc nimi zajmować. Są to domyślne, predefiniowane polityki które należy obecnie skonfigurować samodzielnie.

Nazwane lokalizacje – konfiguracja sieci

W wielu przypadkach chcemy uzależnić działanie naszej polityki od lokalizacji z jakiej użytkownik próbuje się dostać do zasobów. Na przykład gdy łączy się z sieci korporacyjnej nie wymagamy dodatkowych zabezpieczeń. W przypadku połączenia z sieci publicznej, wymagamy np. dwuskładnikowego uwierzytelniania (MFA).

Aby dodać nową lokalizację wybierz opcję: New location
Dostęp warunkowy - Dodawanie nowej lokalizacji nazwanej
  • Uzupełnij nazwę lokalizacji np: “Sieć korporacyjna”
  • Wybierz opcję “IP ranges” – będziesz definiował sieci na podstawie adresacji IP lub “Countries” – zdefiniujesz je na podstawie predefiniowanej listy Państw
  • Wybierz opcję czy ta sieć jest siecią zaufaną – co to się sieci zaufane dowiesz się w następnym akapicie
  • Wpisz zakres lub kilka zakresów adresów IP w postaci jak na obrazku obok
  • zapoznaj się z uwagami poniżej!
Co to cą sieci zaufane (trusted locations)

Oznaczając sieć jako zaufaną powodujesz, że jest ona oceniana jako mniej ryzykowna. Ma to znaczenie gdy używasz polityk opartych na ocenie ryzyka – o tym później.

Nie myl trusted locations z MFA trusted IPs.
  • Trusted locations dotyczy konfiguracji dostepu warunkowego i oceny ryzyka dostępu z określonych adresów
  • MFA trusted IPs dotyczy konfiguracji MFA i adresów z których nie jest wymagane dwuskładnikowe uwieżytelnianie i nie ma związku z konfiguracją dostepu warunkowego.
Adresacja prywatna, sieci VPN, na co zwrócić uwagę?

Pamiętaj, że do chmury dostajesz się adresem publicznym. Nie używaj więc w definicjach sieci adresacji prywatnej.

Jeżeli korzystasz z VPN za pomocą którego łączysz się z prywatną siecią firmową i za jej pośrednictwem (NAT) z chmurą, nie definiuj sieci VPN jako nazwanej lokalizacji. Do chmury połączysz się adresem publicznym swojej sieci firmowej.

Zawsze dokładnie zastanów się jaką adresacją się łączysz do chmury. Brak wiedzy w tej kwestii może spowodować błędne działanie dostępu warunkowego lub zablokowanie dostępu do usług.

Przykładowa definicja sieci zaufanej, sieć korporacyjna

Przykładowa definicja sieci korporacyjnej może wyglądać następująco.

Przykładowa definicja sieci korporacyjnej
przykład definicji zaufanej sieci korporacyjnej

Aby zakończyć konfigurację sieci, definiujemy jeszcze dwie dodatkowe sieci:

PARNER_NET – w której definiujemy wszystkie znane nam sieci naszych partnerów i firm współpracujących. Będzie to sieć o większym stopniu zaufania niż publiczny internet a mniej bezpieczna niż sieć korporacyjna.

UNTRUST_NET – w której definiujemy wszystkie znane nam adresacje niebezpieczne. Wszystkie połączenia z tej sieci będą uznawane za potencjalnie niebezpieczne. Mogą to być na przykład znane adresacje otwartych sieci VPN.

Finalna lista sieci może wyglądać następująco:

Dostęp warunkowy - przykładowa lista sieci
Dostęp warunkowy – przykładowa lista sieci

Podsumujmy wiedzę.

  • Wiemy gdzie konfigurować polityki dostępu warunkowego
  • Znamy przeznaczenie wybranych elementów panelu konfiguracyjnego
  • Zdefiniowaliśmy znane nam adresacje IP

Możemy przejść do konfiguracji polityki dostępu warunkowego i omówienia jej poszczególnych elementów.

Część 2 – konfiguracja polityki >>

Konsultant, analityk, architekt w firmie wdrażającej rozwiązania chmurowe Microsoft.

— Previous article

Azure Information Protection Ujednolicone Etykietowanie
Next article —

Dostęp Warunkowy - Instrukcja Konfiguracji Krok Po Kroku - Część 2