Conditional Access là gì? Cách cấu hình hạn chế quyền truy cập từ địa chỉ IP hoặc vị trí cụ thể

Để hạn chế quyền truy cập từ một dải địa chỉ IP cụ thể > click IP ranges location để thêm dải địa chỉ IP mà bạn muốn chặn hoặc hạn chế quyền truy cập vào ứng dụng của mình.

Để xác định một vị trí cụ thể bằng địa chỉ IPv4/IPv6, cần cung cấp các thông tin sau:

• Tên cho địa điểm
• Một hoặc nhiều dải địa chỉ IP (IPv4 hoặc IPv6) (theo ký hiệu CIDR)

Đăng Azure Portal >click chọn Azure Active Directory > Security > Conditional Access > Named Locations.

     1. Click IP ranges location để thêm địa chỉ IP và nhập tên Vị trí như hình bên dưới:

     2. Click dấu ‘+’ để thêm địa chỉ IP ở định dạng CIDR và ​​nhấp vào Add. Để thêm nhiều hơn một địa chỉ IP, hãy nhấp vào nút dấu cộng một lần nữa.

     4. Click Create > bạn sẽ có dải địa chỉ IP và vị trí được xác định.

Chúng tôi đã cấu hình và hiển thị vị trí được đặt tên chỉ dành cho Canada. Việc thêm dải IP sẽ được thực hiện theo quy trình tương tự đối với Hoa Kỳ cũng như Ấn Độ như đã trình bày ở trên.

Để cấp quyền truy cập từ một tập hợp các địa chỉ IP công cộng nhất định mà không yêu cầu xác thực đa yếu tố, chúng ta sẽ thêm một dải IP dành riêng cho các MFA đáng tin cậy.

Để cấu hình địa chỉ IP đáng tin cậy cho xác thực đa yếu tố (MFA), hãy đăng nhập vào Cổng thông tin Azure > Azure Active Directory > Bảo mật > Truy cập có điều kiện > Vị trí được đặt tên > Cấu hình địa chỉ IP đáng tin cậy cho MFA.

1. Sau khi nhấp vào ‘Cấu hình địa chỉ IP đáng tin cậy của MFA’, bạn sẽ được chuyển đến một trang mới để thực hiện các cấu hình cần thiết. Nhập địa chỉ IP vào vùng văn bản.

2. Nhấp vào Lưu.

Do đó, người dùng cố gắng truy cập ứng dụng từ các địa chỉ IP nằm trong phạm vi tin cậy sẽ bỏ qua xác thực đa yếu tố (MFA) và được cấp quyền truy cập chỉ bằng cách nhập tên người dùng và mật khẩu.

Đối với các môi trường mà người dùng kết nối từ cả thiết bị được quản lý và không được quản lý, bạn có thể áp dụng xác thực đa yếu tố (MFA) một cách chọn lọc để cân bằng giữa bảo mật và tính linh hoạt.

Bạn muốn bảo mật ứng dụng của mình với quyền truy cập chính xác?  Hãy liên hệ với chúng tôi  để được hỗ trợ chuyên nghiệp!

Chúng ta cũng có thể hạn chế quyền truy cập theo quốc gia. Nhưng trong trường hợp của chúng ta, điều đó không cần thiết vì chúng ta đã thiết lập vị trí cụ thể cho địa chỉ IP. Tất cả các IP hoặc quốc gia khác sẽ tự động bị hạn chế quyền truy cập. Do đó, không cần thiết phải thiết lập vị trí cụ thể cho quốc gia.

Việc xác định vị trí được đặt tên cho một quốc gia có thể khác nhau tùy từng trường hợp, tuy nhiên tôi sẽ hướng dẫn cách cấu hình nếu cần. Để hạn chế/cho phép truy cập từ một quốc gia, trước tiên chúng ta sẽ vào mục “Vị trí được đặt tên” và sau đó nhấp vào “Vị trí quốc gia” để thêm quốc gia.

Để xác định vị trí được đặt tên theo quốc gia, hãy đăng nhập vào cổng Azure > Azure Active Directory > Bảo mật > Truy cập có điều kiện > Vị trí được đặt tên > Cấu hình địa chỉ IP đáng tin cậy MFA. Người dùng cần nhập:

1. Tên địa điểm/quốc gia.

     2. Chọn quốc gia/các quốc gia bạn muốn chặn/cho phép truy cập và nhấn Tạo.

Giờ chúng ta đã thiết lập các vị trí được đặt tên cho địa chỉ IP, chúng ta sẽ cấu hình chính sách truy cập có điều kiện. Để tạo chính sách truy cập có điều kiện mới, hãy đăng nhập và truy cập Cổng thông tin Azure > Azure Active Directory > Bảo mật > Truy cập có điều kiện > Chính sách.

Để cấu hình chính sách truy cập có điều kiện, chúng ta cần xác định:

• Tên gọi cho Chính sách
• Chính sách này cần được áp dụng cho những người dùng nào?
• Chọn ứng dụng mà bạn muốn thực hiện thao tác.
• Các điều kiện sẽ được áp dụng
• Kiểm soát truy cập
  • Cấp quyền truy cập hoặc chặn quyền truy cập
  • Phiên này dùng để cấu hình tần suất đăng nhập và sử dụng các hạn chế do ứng dụng áp đặt.

Lưu ý: Hãy đảm bảo rằng bạn không áp dụng chính sách cho tất cả người dùng và quản trị viên cùng một lúc. Luôn luôn áp dụng chính sách cho một số người dùng chưa được chỉ định vai trò trước, kích hoạt chính sách ở chế độ Chỉ báo cáo để kiểm tra và đảm bảo chính sách hoạt động như mong đợi. Nếu không, bạn có thể tự khóa quyền truy cập của mình.

Để tìm hiểu thêm về tất cả các thành phần khác, bạn có thể tham khảo tài liệu chính thức về truy cập có điều kiện của Microsoft .

     1. Đăng nhập vào Azure, vào Azure Active Directory > Bảo mật > Truy cập có điều kiện > Chính sách. Nhấp vào ‘Chính sách mới’ để tạo chính sách truy cập có điều kiện mới.

     3. Hãy nêu tên chính sách.

     4. Chọn (các) người dùng mà chính sách này sẽ được áp dụng.

Người dùng và Nhóm > Chọn người dùng và nhóm > tìm kiếm tên người dùng/nhóm. Nhấp vào Chọn.

     5. Chọn điều kiện cho vị trí.

         i. Nhấp vào Điều kiện.

        ii. Nhấp vào Vị trí

        iii. Chọn “Có” để cấu hình (tức là bao gồm/loại trừ các địa điểm khỏi chính sách này).

     6. Bao gồm địa điểm.

Chọn bất kỳ địa điểm nào .

     7. Loại trừ các địa điểm đã được nêu tên.

Tên địa điểm đã chọn: Hoa Kỳ

     8. Trong mục Quản lý truy cập, chọn Chặn truy cập.

Chọn nút radio ‘Chặn truy cập’ .

     7. Mọi cấu hình đã hoàn tất, giờ chúng ta cần kích hoạt và tạo chính sách.

Kích hoạt chính sách: Chỉ báo cáo hoặc Bật

Nhấp vào Tạo

Nói một cách đơn giản, toàn bộ cấu hình này có nghĩa là nếu người dùng được chỉ định cố gắng truy cập SharePoint Online từ bất kỳ địa điểm nào khác ngoài Hoa Kỳ, họ sẽ không được cấp quyền truy cập.

Tương tự, trong trường hợp này, chúng tôi đã thực hiện các cấu hình tương tự như trước đây, với sự khác biệt là ở đây ứng dụng là Exchange Online, chúng tôi loại trừ ‘Canada’ và bao gồm cả ‘Ấn Độ và Hoa Kỳ’ . Chính sách này sẽ cho phép người dùng tại văn phòng Canada truy cập Exchange Online trong khi người dùng ở Ấn Độ và Hoa Kỳ sẽ bị hạn chế truy cập.

Nói cách khác, cấu hình tương tự nhưng khác ở chỗ lần này ứng dụng là dịch vụ PowerBI, chúng ta loại trừ ‘Ấn Độ’ nhưng bao gồm ‘Hoa Kỳ và Canada’ trong phần địa điểm. Kết quả là, chính sách này sẽ cho phép người dùng tại văn phòng Ấn Độ truy cập dịch vụ PowerBI, còn nhân viên tại Hoa Kỳ và Canada thì không.

Khi các tổ chức ngày càng hoàn thiện phương pháp xác thực của mình, việc đăng nhập không cần mật khẩu trong Microsoft 365 mang đến một lớp bảo vệ mạnh mẽ và liền mạch hơn nữa.

Chúng ta hãy thử truy cập SharePoint Online từ Hoa Kỳ, Canada và Ấn Độ. Theo chính sách đã thiết lập, người dùng sẽ được cấp quyền truy cập khi truy cập ứng dụng từ mạng văn phòng tại Hoa Kỳ. Trong khi đó, quyền truy cập sẽ bị hạn chế đối với người dùng truy cập từ các văn phòng tại Canada và Ấn Độ.

• Truy cập SharePoint Online từ mạng văn phòng tại Hoa Kỳ:

           SharePoint Online có thể truy cập được

• Truy cập SharePoint Online từ văn phòng tại Ấn Độ và Canada:

Quyền truy cập SharePoint Online bị hạn chế.

• Truy cập Exchange Online từ văn phòng Canada:

• Truy cập Exchange Online từ văn phòng tại Ấn Độ và Hoa Kỳ:

• Truy cập dịch vụ PowerBI từ văn phòng tại Ấn Độ:

• Truy cập dịch vụ PowerBI từ văn phòng tại Hoa Kỳ và Canada:

Người dùng truy cập Exchange Online (từ văn phòng Canada) và dịch vụ PowerBI (từ văn phòng Ấn Độ) sẽ được phép đăng nhập vào các ứng dụng. Ngược lại, nếu họ cố gắng đăng nhập vào Exchange Online (từ văn phòng Hoa Kỳ hoặc Ấn Độ) và dịch vụ PowerBI (từ văn phòng Hoa Kỳ hoặc Canada), họ sẽ nhận được thông báo lỗi chung.

Do đó, chính sách đã được triển khai thành công và chúng tôi đã đảm bảo quyền truy cập vào các ứng dụng chỉ từ các địa điểm được xác định. Quyền truy cập từ tất cả các địa điểm và địa chỉ IP khác không được xác định đều bị chặn.

Nếu ai đó cố gắng truy cập ứng dụng từ bất kỳ thiết bị nào khác ngoài hệ điều hành Windows thì sao? Thông báo lỗi sẽ vẫn giữ nguyên, ngoại trừ giao diện người dùng sẽ thay đổi.