从 MFA 可信 IP 移至条件访问命名位置

您订阅了 Azure AD Premium，并且希望充分利用条件访问。这些功能之一是命名位置。如果您尚未配置 MFA 可信 IP，则可以直接配置命名位置。如果您已设置 MFA 可信 IP，则需要将 MFA 可信 IP 移至条件访问指定位置。让我们看看如何逐步从 MFA 可信 IP 迁移到条件访问命名位置。

介绍

从 Microsoft 365 MFA 迁移到 Microsoft Entra 条件访问可以通过三个步骤完成：

1. 从每用户 MFA 迁移到条件访问 MFA
2. 从 MFA 可信 IP 迁移到条件访问命名位置（本文）
3. 从记住可信设备上的 MFA 转变为条件访问登录频率

条件访问命名位置

您想要从MFA 信任的 IP 迁移到Azure Active Directory 条件访问命名位置。在这样做之前，先了解一下这样做的优点和缺点是什么？

Azure Active Directory 条件访问命名位置的优点：

• IPv4 和 IPV6 就绪
• 为IP地址添加描述
• 与 Microsoft Entra 多重身份验证集成

Azure Active Directory 条件访问命名位置的缺点：

• 支付订阅费用

条件访问需要 Azure AD Premium 1 或 2。我们建议向客户解释为什么他们应该支付（订阅）Azure AD Premium。告诉他们好处以及如何提高安全性。此外，管理员的管理也会变得更加容易，从而节省时间。

检查 Azure AD Premium 许可证

检查您是否有 Azure AD Premium 计划 1 或 2。登录到 Microsoft Azure。在门户中，导航到Azure Active Directory > 概述。在下面的示例中，租户获得了 Azure AD Premium P2 许可证。

MFA 信任的 IP

检查 MFA 信任的 IP

导航到Azure Active Directory > 安全 > 条件访问 > 命名位置。单击配置 MFA 可信 IP。

另一种方法是直接进入 MFA 可信 IP 页面。

将显示一个新页面。检查可信IP部分是否添加了IP。如果您没有看到任何可信 IP，则可以跳过此步骤并转到下一步。

在我们的示例中，我们有两个 IP 地址。这些是总公司和分公司的公共IP。

删除 MFA 信任的 IP

复制 IP 地址并将其保存在记事本中。之后，删除 IP 地址。点击保存（位于下方）。

空的可信 IP 部分将如下所示。

Azure 条件访问

创建条件访问命名位置

返回指定位置。单击IP 范围位置。添加 IP 地址并为其指定名称（描述）。我们将添加总部 IP 地址。

确保添加组织的公共 IP，而不是设备的内部 IP。

您可以选中标记为受信任位置复选框。我们将不对其进行检查。

在我们的示例中，我们将添加第二个 IP 地址，即分支机构。

组织的两个公共 IP 均添加为命名位置。

从 MFA 政策中排除指定位置

编辑条件访问 MFA 策略并排除您在上一步中添加的指定位置 IP。

单击策略，然后单击MFA 策略。

在策略中，导航至条件 > 位置 > 配置 > 是 > 排除 > 选定位置。选择要免除该策略的两个位置。

您是否在前面的步骤中启用了标记为可信位置复选框？您现在可以选择所有受信任位置，而不是选择指定位置。

启用该策略并单击保存。

下一步，我们将验证我们的工作。

验证您的工作

创建或编辑策略后，以用户身份登录 Microsoft 365 门户以进行测试并检查用户体验。

从排除的公共 IP（总部或分支机构）和未排除的公共 IP 进行测试。

可信位置

输入密码并点击登录后，用户将不会收到 MFA 授权的通知。这是因为用户位于 MFA 排除的位置之一。在本例中，为总公司和分公司。

用户可以获得需要更多信息消息。这是因为组织中配置了启用自助服务密码重置。单击下一步。

由于用户从受信任的 IP 建立连接，因此可以跳过设置。

不受信任的位置

下面是用户从不受信任的位置登录 Microsoft 365 门户时的外观示例。点击登录。

用户需要向MFA进行验证。

用户可以获得需要更多信息消息。这是因为组织中配置了启用自助服务密码重置。单击下一步。

由于用户从不受信任的 IP 进行连接，因此无法跳过设置。

一切看起来都很棒！

了解更多：条件访问 MFA 中断 Azure AD Connect 同步 »

结论

在本文中，您了解了如何从 MFA 可信 IP 迁移到条件访问命名位置。检查是否配置了 MFA 信任的 IP 并复制 IP。之后，删除 MFA 信任的 IP。使用您复制的 IP 创建命名位置，并将其从条件访问 MFA 策略中排除。最后，验证您的工作并使用测试帐户登录。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 导出 Office 365 用户 MFA 状态。不要忘记关注我们并分享这篇文章。