仅通过 Azure VPN 客户端的 Azure 条件访问
Azure Conditional Access exclusively through Azure VPN client
我正在开发我的 azure AD,我在上面创建了一个 azure vpn OPENSSL,它允许通过 azure AD 进行连接。
此时一切正常,因为我可以连接到我的 vpn 客户端。
在这个阶段,我真的很想测试这个连接,使用 azure AD 条件访问在登录期间强制执行 MFA。我前往 vpn,如果连接,系统会要求我提供 MFA。太棒了。
但是有些事情我自己想不通。
如果我连接到 vpn,我希望能够专门连接到 azure Portal。
所以我去了 Azure AD > Named location 并添加了 VPN IP 范围并将它们标记为受信任。
在我连接时,在我的 azure VPN 客户端中我有这些值。
VPN Routes:
192.xxx.xx.x/24
172.xx.x.x/24
所以在我的命名位置 IP 中,我设置了这两个值。
我转到 Azure AD > 安全 > 条件访问并配置如下
在用户和组下,我选择了我想包含在此策略中的测试用户
在云应用中我选择Microsoft Azure Management
在 Conditions > Locations 下,我选择了 Named Location 我用标记为受信任的 IP 范围创建的。
在 Grant 中我选择了 Require multi-factor authentication
保存这些配置后,我注销并尝试在未连接到 vpn 的情况下再次登录,但在这里,在批准 MFA 后,我被允许访问 azure 门户。
如果我没有连接到azure vpn,想阻止所有对azure portal的本地访问怎么办?
非常感谢您提供的任何帮助。
更新:
我尝试了一种不同的方法。
在 Name Location 中,我声明了我的 IP 范围 (myIP/32),在 Conditional Access > Location 中,在 Include > Any Location 中和在 Exclude > Name Location(my ip)
中
比 Grant 我选择了 Block Access
现在我可以从我的 IP 访问门户,但是如果我创建一个 VM 并尝试登录到 azure 门户,我会收到权限被拒绝的错误。太棒了。
但我仍然无法让它与我的 azure vpn 客户端一起工作。
在 Name Location 下,我尝试添加 azure VPN IP 路由,但我仍然无法连接到 azure 门户。
请问有什么帮助或说明吗?
非常感谢
很遗憾,您不能为指定位置使用私有 IP 地址。
我不确定您尝试做的事情是否真的可行。在我看来,无论如何都没有必要,因为您真的想根据身份而不是位置来限制访问。我认为你在这里能做的最好的事情是继续使用条件访问来限制对特定用户的访问,强制执行 MFA,如果你愿意,可能强制执行 trusted/compliant 设备。
我正在开发我的 azure AD,我在上面创建了一个 azure vpn OPENSSL,它允许通过 azure AD 进行连接。
此时一切正常,因为我可以连接到我的 vpn 客户端。
在这个阶段,我真的很想测试这个连接,使用 azure AD 条件访问在登录期间强制执行 MFA。我前往 vpn,如果连接,系统会要求我提供 MFA。太棒了。
但是有些事情我自己想不通。
如果我连接到 vpn,我希望能够专门连接到 azure Portal。
所以我去了 Azure AD > Named location 并添加了 VPN IP 范围并将它们标记为受信任。
在我连接时,在我的 azure VPN 客户端中我有这些值。
VPN Routes:
192.xxx.xx.x/24
172.xx.x.x/24
所以在我的命名位置 IP 中,我设置了这两个值。
我转到 Azure AD > 安全 > 条件访问并配置如下
在用户和组下,我选择了我想包含在此策略中的测试用户
在云应用中我选择Microsoft Azure Management
在 Conditions > Locations 下,我选择了 Named Location 我用标记为受信任的 IP 范围创建的。
在 Grant 中我选择了 Require multi-factor authentication
保存这些配置后,我注销并尝试在未连接到 vpn 的情况下再次登录,但在这里,在批准 MFA 后,我被允许访问 azure 门户。
如果我没有连接到azure vpn,想阻止所有对azure portal的本地访问怎么办?
非常感谢您提供的任何帮助。
更新:
我尝试了一种不同的方法。
在 Name Location 中,我声明了我的 IP 范围 (myIP/32),在 Conditional Access > Location 中,在 Include > Any Location 中和在 Exclude > Name Location(my ip)
比 Grant 我选择了 Block Access
现在我可以从我的 IP 访问门户,但是如果我创建一个 VM 并尝试登录到 azure 门户,我会收到权限被拒绝的错误。太棒了。
但我仍然无法让它与我的 azure vpn 客户端一起工作。
在 Name Location 下,我尝试添加 azure VPN IP 路由,但我仍然无法连接到 azure 门户。
请问有什么帮助或说明吗?
非常感谢
很遗憾,您不能为指定位置使用私有 IP 地址。
我不确定您尝试做的事情是否真的可行。在我看来,无论如何都没有必要,因为您真的想根据身份而不是位置来限制访问。我认为你在这里能做的最好的事情是继续使用条件访问来限制对特定用户的访问,强制执行 MFA,如果你愿意,可能强制执行 trusted/compliant 设备。