Dostęp Warunkowy – Instrukcja Konfiguracji Krok Po Kroku – Część 3

Wymuszenie Multifator Authentication Poza Siecią Firmową

Dostęp warunkowy. Jednym z najczęściej spotykanych scenariuszy jest wymuszenie dwuskładnikowego uwieżytelniania dla użytkowników logujących się poza siecią firmową.

Dostęp warunkowy pozwala na wdrożenie takiego scenariusza, wymaga to skonfigurowania dwóch elementów:

– zdefiniowania adresacji IP naszej sieci korporacyjnej
– zdefiniowania polityki wymuszającej MFA dla połączeń spoza tej sieci

przejdzmy do konfiguracji:

Definiujemy sieć korporacyjną

W panelu konfiguracji dostępu warunkowego Azure, w zakładce “Named Locations” definiujemy listę adresów IP identyfikującą naszą sieć korporacyjną.

Konfigurujemy politkę Dostepu warunkowego

Wprowadzamy nazwę polityki , w naszym przypadku “Require MFA from not Corporate Network”

Następnie definiujemy grupe uzytkowników, którą polityka obejmuje.

Wybieramy opcję “All users” oraz w zakładce “Exclude” wskazujemy konta lub grupę uzytkowników, którzy mają byc wyłączeni z działania polityki.

Więcej na temat powodów wskazania wyjątków przeczytasz tutaj: O czym nalezy pamiętać konfigurując polityki dostepu warunkowego

Kolejnym krokiem jest zdefiniowanie aplikacji w chmurze, które będą objete restrykcjami. Wybieramy “All cloud apps”. W poprzednim kroku wyłączylismy z działania polityki specjalną grupę kont wiec nie ma zagrożenia całokowitego zablokowania sobie dostepu do środowiska.

W sekcji “Conditions” określamy warunek na podstawie którego polityka bedzie wymagać MFA dla połączeń spoza zdefiniowanej sieci korporacyjnej. W “include” zaznaczamy “Any location”

A w “Exclude” naszą sieć korporacyjną.

Polityka będzie działać dla wszystkich połączeń spoza naszej sieci.

Następnie przechodzimy do sekcji “Grant” w dziale “Access controls” gdzie włączamy wymóg dwuskładnikowego uwieżytelniania.

Konfiguracja polityki jest gotowa, wystarczy ją włączyć. Od tego momentu wszyscy uzytkownicy łączący sie do aplikacji w chmurze spoza sieci korporacyjnej będą musieli skorzystać z wieloskładnikowego uwieżytelniania. Z tego warunku bedą wyłączeni uzytkowinicy i grupy podane w sekcji “Exclude”.

Jak pamietamy jest to zabezpieczenie przed zablokowaniem sobie dostepu do zasobów chmury (także paneli administracyjnych)

Konta administracyjne mogą logować się tylko z sieci korporacyjnej

Tak jak to opisano w instrukcji konfiguracji należy skonfigurować sieć identyfikującą wszystkie klasy adresowe naszej sieci firmowej. Przykład konfiguracji możesz również zobaczyć w poprzednim przykładzie opisującym wymuszenie MFA spoza sieci firmowej

Gdy posiadamy już zdefiniowaną sieć firmową możemy przejść do konfiguracji polityki. Naszym celem jest ograniczenie możliwości logowania dla kont administracyjnych spoza sieci firmowej.

Definicja ról administracyjnych

W zakładce “Users and groups” wybieramy opcję “Directory roles” i wybieramy wszystkie role administracyjne.

Taka konfiguracja uniezależnia działanie polityki od nazw i grup użytkowników. Niezależnie od tego do jakiej grupy należy użytkownik, wystarczy, że ma przypisaną rolę administracyjną a zostanie objęty działaniem polityki.

Po zdefiniowaniu ról, określamy aplikacje docelowe. W tym wypadku zaznaczamy “All cloud apps”

W Zakładce “Conditions” określamy warunki dodatkowe, czyli w naszym przypadku ten, że polityka ma działać poza siecią firmową.

Włączamy więc warunek “Locations” i w zakładce “Include” oznaczamy “Any location”

A w zakładce “Excludes” dodajemy zdefiniowaną sieć firmową:

Ostatnim krokiem jest zablokowanie wszystkich połączeń pasujących do tak zdefiniowanych warunków.

Konfiguracja jest gotowa. Wystarczy ją włączyć.