Część 1
Gdzie szukać panelu konfiguracyjnego
Konfiguracja sieci
Część 2
Konfiguracja polityki dostępu warunkowego
Omówienie opcji
Część 3
Przykłady wymagań biznesowych
Jak je skonfigurować
Wymuszenie Multifator Authentication Poza Siecią Firmową
Dostęp warunkowy. Jednym z najczęściej spotykanych scenariuszy jest wymuszenie dwuskładnikowego uwieżytelniania dla użytkowników logujących się poza siecią firmową.
Dostęp warunkowy pozwala na wdrożenie takiego scenariusza, wymaga to skonfigurowania dwóch elementów:
– zdefiniowania adresacji IP naszej sieci korporacyjnej
– zdefiniowania polityki wymuszającej MFA dla połączeń spoza tej sieci
przejdzmy do konfiguracji:
Definiujemy sieć korporacyjną
W panelu konfiguracji dostępu warunkowego Azure, w zakładce “Named Locations” definiujemy listę adresów IP identyfikującą naszą sieć korporacyjną.
![Conditional Access - named locations](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_named_locations.png)
![Conditional Access - New named location definition](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_named_locations_definition.png)
Konfigurujemy politkę Dostepu warunkowego
Wprowadzamy nazwę polityki , w naszym przypadku “Require MFA from not Corporate Network”
Następnie definiujemy grupe uzytkowników, którą polityka obejmuje.
![Conditional Access - Users and groups definition](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_users_group_definition.jpg)
Wybieramy opcję “All users” oraz w zakładce “Exclude” wskazujemy konta lub grupę uzytkowników, którzy mają byc wyłączeni z działania polityki.
Więcej na temat powodów wskazania wyjątków przeczytasz tutaj: O czym nalezy pamiętać konfigurując polityki dostepu warunkowego
![Conditional Access - users and groups excludes](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_excludes_in_users_group_definition.jpg)
Kolejnym krokiem jest zdefiniowanie aplikacji w chmurze, które będą objete restrykcjami. Wybieramy “All cloud apps”. W poprzednim kroku wyłączylismy z działania polityki specjalną grupę kont wiec nie ma zagrożenia całokowitego zablokowania sobie dostepu do środowiska.
![Conditional Access - cloud apps definition](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_cloud_apps_definition.jpg)
W sekcji “Conditions” określamy warunek na podstawie którego polityka bedzie wymagać MFA dla połączeń spoza zdefiniowanej sieci korporacyjnej. W “include” zaznaczamy “Any location”
![Conditional Access - corporate network condition](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-network-condition-corporate-network.jpg)
A w “Exclude” naszą sieć korporacyjną.
![Conditional Access - network exclusion](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-network-condition-corporate-network-exclusions.jpg)
Polityka będzie działać dla wszystkich połączeń spoza naszej sieci.
Następnie przechodzimy do sekcji “Grant” w dziale “Access controls” gdzie włączamy wymóg dwuskładnikowego uwieżytelniania.
![](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_grant_control.jpg)
![Conditional Access - grant section definitions](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access_grant_control_enable_mfa.jpg)
Konfiguracja polityki jest gotowa, wystarczy ją włączyć. Od tego momentu wszyscy uzytkownicy łączący sie do aplikacji w chmurze spoza sieci korporacyjnej będą musieli skorzystać z wieloskładnikowego uwieżytelniania. Z tego warunku bedą wyłączeni uzytkowinicy i grupy podane w sekcji “Exclude”.
Jak pamietamy jest to zabezpieczenie przed zablokowaniem sobie dostepu do zasobów chmury (także paneli administracyjnych)
Konta administracyjne mogą logować się tylko z sieci korporacyjnej
![Dostęp warunkowy i Zabezpieczenie dostępu administracyjnego spoza sieci korporacyjnej](https://www.itclouds.online/wp-content/uploads/2020/02/Conditional_access_admin_access_control.jpg)
Tak jak to opisano w instrukcji konfiguracji należy skonfigurować sieć identyfikującą wszystkie klasy adresowe naszej sieci firmowej. Przykład konfiguracji możesz również zobaczyć w poprzednim przykładzie opisującym wymuszenie MFA spoza sieci firmowej
Gdy posiadamy już zdefiniowaną sieć firmową możemy przejść do konfiguracji polityki. Naszym celem jest ograniczenie możliwości logowania dla kont administracyjnych spoza sieci firmowej.
Definicja ról administracyjnych
W zakładce “Users and groups” wybieramy opcję “Directory roles” i wybieramy wszystkie role administracyjne.
![Confitional Access - administrative directory roles](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-directory-roles.jpg)
Taka konfiguracja uniezależnia działanie polityki od nazw i grup użytkowników. Niezależnie od tego do jakiej grupy należy użytkownik, wystarczy, że ma przypisaną rolę administracyjną a zostanie objęty działaniem polityki.
Po zdefiniowaniu ról, określamy aplikacje docelowe. W tym wypadku zaznaczamy “All cloud apps”
W Zakładce “Conditions” określamy warunki dodatkowe, czyli w naszym przypadku ten, że polityka ma działać poza siecią firmową.
Włączamy więc warunek “Locations” i w zakładce “Include” oznaczamy “Any location”
![Conditional access - network condition definition](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-network-condition.jpg)
A w zakładce “Excludes” dodajemy zdefiniowaną sieć firmową:
![](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-network-condition-excludes.jpg)
Ostatnim krokiem jest zablokowanie wszystkich połączeń pasujących do tak zdefiniowanych warunków.
![Conditional access - block access](https://www.itclouds.online/wp-content/uploads/2020/02/conditional_access-network-condition-block-access.jpg)
Konfiguracja jest gotowa. Wystarczy ją włączyć.
Przydatne Linki
Co to jest dostęp warunkowy? – Dokumentacja Microsoft
https://docs.microsoft.com/pl-pl/azure/active-directory/conditional-access/overview