Conditional Access
Blokowanie dostępu do usług spoza Unii Europejskiej
Data: 03.03.2023
Problem:
Firma „XYZ” oferuje swoje usługi na terenie krajów Unii Europejskiej. W związku z tym pracownicy tej firmy bardzo często podróżują w jej zakresie. Firma nie prowadzi działalności poza UE. Dział bezpieczeństwa zlecił przygotowanie rozwiązania, które w celu spłaszczenia wektora możliwego cyberataku ma za zadanie zablokować możliwość logowania się do zasobów i usług firmy „XYZ” spoza UE. Rozwiązanie ma jednak być na tyle elastyczne, aby w drodze wyjątku po akceptacji działu bezpieczeństwa można było pojedynczemu użytkownikowi lub grupie użytkowników zezwolić na takie logowanie (Prezes wylatuje na wakacje do Kamerunu).
Schemat rozwiązania:
Taki scenariusz możemy zrealizować za pomocą Conditional Access konfigurując odpowiednią politykę. Dostęp warunkowy (CA) to mechanizm umożliwiający tworzenie reguł określających sposób uwierzytelniania użytkownika oraz uzyskiwanie dostępu do zasobów i usług w usłudze Microsoft 365. W środowisku Microsoft dostęp warunkowy współpracuje z aplikacjami SaaS (w tym Office 365) , które są konfigurowane w Azure Active Directory. Dostęp warunkowy opiera się na sygnałach z firmowej domeny AD lub usługi Microsoft Intune w celu poinformowania systemu o stanie i wiarygodności urządzenia, zanim urządzenie uzyska dostęp do danych. Poniżej przedstawiono schemat działania mechanizmu Conditional Access. Na czerwono oznaczono elementy, przez które kolejno będziemy przechodzić realizując rozwiązanie naszego problemu.
Konfiguracja:
- W sekcji ‘Name’ nazwę naszej lokalizacji – Black list Countries;
- Pozostawiamy opcję ‘Determine location by IP address (IPv4 only);
- Opcjonalnie możemy oznaczyć opcję ‘Include unknown countries/regions’ – Niektóre adresy IP nie są mapowane na określony kraj lub region, w tym
wszystkie adresy IPv6. Ta opcja pozwala wybrać, czy te adresy IP mają być uwzględnione w nazwanej lokalizacji;
- Wybieramy listę krajów z których będziemy blokować dostęp do naszej organizacji (wybieramy wszystko poza krajami należącymi do UE;
Po zakończeniu konfiguracji klikamy ‘Create’.
Aby założyć grupę bezpośrednio z Azure AD przechodzimy kolejno:
Efekt – testowy użytkownik dodany do grupy wykluczeń nie łapie się w polisę blokującą dostęp, czyli może się zalogować w przypadku wyjazdu wakacyjnego lub
służbowego poza granice UE.
Zrealizowane projekty
Sprzedane licencje
Oddziały w Polsce
Certyfikaty
Czym się zajmujemy