[玩转系统] 如何在条件访问中严格执行位置策略

作者：精品下载站日期：2024-12-14 06:51:43 浏览：16 分类：玩电脑

如何在条件访问中严格执行位置策略

连续访问评估是条件访问中默认启用的一种强大的默认保护方法。它确保客户端设备和 Microsoft Entra 之间保持持续的双向通信，以确保如果客户端参数超出条件访问要求的范围，则几乎立即阻止对该资源的访问，而无需等待令牌到期。

然而，这并不是一个完美的解决方案。微软必须宽容地执行默认设置，以适应复杂的场景，在这些场景中，过于热心的策略可能会阻碍生产力。但当然这也会带来额外的风险。

在本教程中，我将向您展示如何应对这种额外风险并在条件访问中严格执行位置策略设置。

条件访问的基本位置限制和风险

条件访问中的基于位置的访问使您能够根据用户的 IP 地址或地理位置阻止访问。问题是，默认情况下，客户端和服务 (Microsoft Entra) 之间允许实时评估策略的连续双向通信可能会被规避。

尽管基于位置的限制为保护资源访问提供了坚实的基础，但如果您不或无法实施额外的保护，仍然存在一些风险。

首先，如果系统遭到破坏，访问令牌可以在其有效期内导出并在另一个网络上使用。如果受影响的用户也是高特权角色成员，则攻击者可以简单地在现有条件访问策略中禁用或创建隐藏的权限，以进一步扩展他们对您的环境的恶意访问。

其次，意想不到的攻击可能以恶意 VPN 连接的形式出现。用户可能毫无戒心地连接到他们日常使用的现有 VPN 连接，但在不知情的情况下，提供 VPN 的设备（例如防火墙）可能已被破坏并配置为执行 DNS 欺骗或 DNS 中毒攻击。然后，他们可以欺骗用户从恶意（但看似合法）的登录页面公开其访问令牌。

为了演示这个问题，我创建了一个简单的条件访问策略来包含所有位置、排除我信任的位置并阻止访问：

如果我尝试在受信任网络之外登录，条件访问将按预期阻止我登录：

然后，如果我尝试在受信任的网络内登录，我的访问将被允许。对于此测试，我使用了公共 VPN 提供商，该提供商被添加为我的可信网络之一。下图显示了此测试的条件访问登录日志，显示此登录已根据位置排除从阻止策略中排除。

现在来说说这个问题。当我连接到受信任的 VPN 并通过 Outlook 桌面客户端登录 Exchange Online（例如）时，我可以断开 VPN 客户端的连接，并在短时间内保持对受信任网络之外的浏览会话的访问。此外，根据我的网络拓扑，路由的更改可能会导致连续访问评估恢复到令牌到期和续订的旧评估方法以触发策略评估，这将扩展我对 Exchange Online 的未评估访问。