Dostęp Warunkowy – Instrukcja Konfiguracji Krok Po Kroku – Część 3

dostęp warunkowy - konfiguracja krok po kroku
Dostęp warunkowy na wybranych przykładach. Sposób podejścia i realizacji. Przykłady konfiguracji.

Część 1

Gdzie szukać panelu konfiguracyjnego

Konfiguracja sieci

Część 2

Konfiguracja polityki dostępu warunkowego

Omówienie opcji

Część 3

Przykłady wymagań biznesowych

Jak je skonfigurować


Wymuszenie Multifator Authentication Poza Siecią Firmową

Dostęp warunkowy. Jednym z najczęściej spotykanych scenariuszy jest wymuszenie dwuskładnikowego uwieżytelniania dla użytkowników logujących się poza siecią firmową.

Dostęp warunkowy pozwala na wdrożenie takiego scenariusza, wymaga to skonfigurowania dwóch elementów:

– zdefiniowania adresacji IP naszej sieci korporacyjnej
– zdefiniowania polityki wymuszającej MFA dla połączeń spoza tej sieci

przejdzmy do konfiguracji:

Definiujemy sieć korporacyjną

W panelu konfiguracji dostępu warunkowego Azure, w zakładce “Named Locations” definiujemy listę adresów IP identyfikującą naszą sieć korporacyjną.

Conditional Access - named locations
Conditional Access - New named location definition
Konfigurujemy politkę Dostepu warunkowego

Wprowadzamy nazwę polityki , w naszym przypadku “Require MFA from not Corporate Network”

Następnie definiujemy grupe uzytkowników, którą polityka obejmuje.

Conditional Access -  Users and groups definition

Wybieramy opcję “All users” oraz w zakładce “Exclude” wskazujemy konta lub grupę uzytkowników, którzy mają byc wyłączeni z działania polityki.

Więcej na temat powodów wskazania wyjątków przeczytasz tutaj: O czym nalezy pamiętać konfigurując polityki dostepu warunkowego

Conditional Access - users and groups excludes

Kolejnym krokiem jest zdefiniowanie aplikacji w chmurze, które będą objete restrykcjami. Wybieramy “All cloud apps”. W poprzednim kroku wyłączylismy z działania polityki specjalną grupę kont wiec nie ma zagrożenia całokowitego zablokowania sobie dostepu do środowiska.

Conditional Access - cloud apps definition

W sekcji “Conditions” określamy warunek na podstawie którego polityka bedzie wymagać MFA dla połączeń spoza zdefiniowanej sieci korporacyjnej. W “include” zaznaczamy “Any location”

Conditional Access - corporate network condition

A w “Exclude” naszą sieć korporacyjną.

Conditional Access - network exclusion

Polityka będzie działać dla wszystkich połączeń spoza naszej sieci.

Następnie przechodzimy do sekcji “Grant” w dziale “Access controls” gdzie włączamy wymóg dwuskładnikowego uwieżytelniania.

Conditional Access - grant section definitions

Konfiguracja polityki jest gotowa, wystarczy ją włączyć. Od tego momentu wszyscy uzytkownicy łączący sie do aplikacji w chmurze spoza sieci korporacyjnej będą musieli skorzystać z wieloskładnikowego uwieżytelniania. Z tego warunku bedą wyłączeni uzytkowinicy i grupy podane w sekcji “Exclude”.

Jak pamietamy jest to zabezpieczenie przed zablokowaniem sobie dostepu do zasobów chmury (także paneli administracyjnych)

Konta administracyjne mogą logować się tylko z sieci korporacyjnej

Dostęp warunkowy i Zabezpieczenie dostępu administracyjnego spoza sieci korporacyjnej

Tak jak to opisano w instrukcji konfiguracji należy skonfigurować sieć identyfikującą wszystkie klasy adresowe naszej sieci firmowej. Przykład konfiguracji możesz również zobaczyć w poprzednim przykładzie opisującym wymuszenie MFA spoza sieci firmowej

Gdy posiadamy już zdefiniowaną sieć firmową możemy przejść do konfiguracji polityki. Naszym celem jest ograniczenie możliwości logowania dla kont administracyjnych spoza sieci firmowej.

Definicja ról administracyjnych

W zakładce “Users and groups” wybieramy opcję “Directory roles” i wybieramy wszystkie role administracyjne.

Confitional Access - administrative directory roles

Taka konfiguracja uniezależnia działanie polityki od nazw i grup użytkowników. Niezależnie od tego do jakiej grupy należy użytkownik, wystarczy, że ma przypisaną rolę administracyjną a zostanie objęty działaniem polityki.

Po zdefiniowaniu ról, określamy aplikacje docelowe. W tym wypadku zaznaczamy “All cloud apps”

W Zakładce “Conditions” określamy warunki dodatkowe, czyli w naszym przypadku ten, że polityka ma działać poza siecią firmową.

Włączamy więc warunek “Locations” i w zakładce “Include” oznaczamy “Any location”

Conditional access - network condition definition

A w zakładce “Excludes” dodajemy zdefiniowaną sieć firmową:

Ostatnim krokiem jest zablokowanie wszystkich połączeń pasujących do tak zdefiniowanych warunków.

Conditional access - block access

Konfiguracja jest gotowa. Wystarczy ją włączyć.


Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

nineteen − 9 =