管理条件访问策略中的命名位置指南。

随着远程工作的兴起，保持对谁可以访问组织敏感数据的控制变得越来越具有挑战性。这就是命名位置的用武之地。通过在条件访问策略中使用命名位置，管理员可以确保只有授权用户、设备和应用程序才能从受信任的位置访问敏感数据。

因此，让我们进入博客，详细了解条件访问策略中的命名位置以及它们如何帮助您创建高效的访问控制策略。

条件访问策略中的命名位置

条件访问策略中的命名位置是一个强大的工具，可根据用户的位置实施精细的访问控制。它主要有助于减少误报。 （位置指示不正确）。

此外，命名位置可用于多种目的。它可以配置为允许某些个人或团体访问，同时阻止来自特定位置的访问。

通过这种方式，可以对其进行定制以满足特定的安全和访问控制要求。

您可以按照以下路径来管理命名位置

Microsoft Entra 管理中心→ 保护和安全→条件访问→ 指定位置（在用户管理选项卡下）。

基本上，有两种主要方法可以确定 Office 365 用户的位置。他们是：

1. 按国家/地区位置。
2. 按 IP 范围位置。

在 Azure AD 中按国家/地区配置命名位置

“国家/地区位置”允许我们通过指定国家/地区名称来创建命名位置。除此之外，我们还可以通过两种不同的类型来确定国家的位置。他们是：

1. 通过 IP 地址确定位置（仅限 IPv4）
2. 通过 GPS 坐标确定位置

定义国家/地区位置并验证安全访问

我们可以使用此方法来允许用户从特定 IP 地址访问您的资源。

此外，当用户尝试登录时，系统将获取用户设备的 IP 地址。并定期与我们之前指定的位置进行比较。从而确保登录来自指定的命名位置并避免可疑登录。

如果您想通过IP地址确定国家/地区位置，则需要执行以下步骤：

1. 首先，在指定位置选项卡中，单击国家/地区位置（位于顶部）?。
2. 然后，为该位置指定一个合适的名称。
3. 然后，点击下拉框中的“通过 IP 地址确定位置（仅限 IPv4）”。
4. 现在，从列表中选择您计划添加为命名位置的国家/地区。
5. 最后，单击创建选项。

注意：在这种情况下，只有 IPv4 地址映射到国家/地区的位置。 IPv6 地址将包括未知国家/地区。

通过 GPS 坐标配置命名位置

到目前为止，我们已经清楚地了解了通过 IP 地址确定国家/地区的位置，因此让我们深入研究另一个选项。另一个选项是通过 GPS 坐标进行定位。

GPS 坐标是精确地理位置的唯一标识符。因此，管理员可以使用此方法来获得高精度的位置检测。 GPS 坐标定位用于借助纬度和经度值确定国家/地区的位置。 （GPS 坐标）。

如果您想通过GPS坐标确定该国家/地区的位置，您需要执行以下步骤：

1. 在指定位置选项卡中，单击国家/地区位置（位于顶部）?。
2. 为该位置提供合适的名称和描述。
3. 然后，从下拉框中单击通过 GPS 坐标确定位置。
4. 从列表中选择您计划添加为命名位置的国家/地区。
5. 最后，单击创建选项。

为此，用户需要有一个AUTHENTICATOR APP。

用户需要在手机上安装身份验证器应用程序。该通知将在应用程序内每小时弹出一次。然后，用户必须通过授予权限来共享位置。

每小时都会有通知。用户必须通过应用程序?的推送通知来批准它们。 Azure AD 使用通知跟踪用户的位置，然后定期将其与指定国家/地区进行比较，从而确保仅从授权网络进行登录。

GPS 坐标是救世主吗？

VPN 是一种受保护的网络，可在用户设备和远程服务器之间建立专用隧道。毫无疑问，它确保了隐私、安全和匿名。当用户使用VPN时，VPN只是用VPN服务器的IP地址掩盖用户的真实IP地址。

由于只有 VPN 提供商才能访问 IP 地址，因此管理员很难追踪它。毫无疑问，GPS坐标法来了！

IP地址无法映射到国家的解决方案

某些 IP 地址可能无法映射国家/地区的确切位置，例如 IPv6 地址。

除此之外，随着技术的发展，用户的 IPv6 地址在数据库中并没有得到很好的记录。

在这种情况下，如果您也想包含此类国家或地区，则可以启用包含未知国家/地区选项。因为，这种类型不允许 IPV6 地址。

当策略应应用于未知位置时，您可以使用这些设置。

按 IP 范围配置命名位置

如果组织希望其用户仅从特定 IP 范围访问 Office 365 资源，这是最好的方法！这是一种很好的方法，可以让您在细节上更加准确，并有助于保护数据。

在国家/地区位置，我们只能包含 IPv4 地址。

但在此方法中，可以包含 IPv4 和 IPv6 地址。

请按照以下步骤在指定位置配置特定 IP 范围：

1. 首先，在指定位置选项卡中，单击IP 范围位置（位于顶部）。
2. 然后，为该位置指定一个合适的名称。
3. 之后，单击 + 图标并添加 IPv4（例如：141.23.22.12）或 IPv6（例如：2001：db8：3333：4444：5555：6666：7777：8888。）地址范围。除此之外，添加一个或多个 IP 地址。
4. 现在，如果您希望它们成为您的受信任位置，请单击复选框“标记为受信任位置”。
5. 最后，点击创建。

如果它未标记为受信任位置，它将位于您指定的位置下。否则，它将位于受信任位置。（我们最多可以添加 2000 个 IPv4 和 IPv6 地址范围。）

?缺点

仅添加公共 IP 地址范围。虽然我们无法在此处添加私有 IP 地址范围！ （使用 Intranet 的组织）。

要记住的一点

• 除此之外，您还应该输入带有子网的 IP 地址范围。否则，它就不是有效的。

示例：127.22.34.22/45 → 这里 45 是子网。

• 您可以使用这些基于 IP 的命名位置来为条件访问策略配置 CAE 严格执行的位置策略。

私有IP地址的解决方案是什么？

毫无疑问，最终的解决方案是配置MFA可信IP。

这显然适用于组织的专用网络，即专用 IP (LAN)。因此，如果组织使用 Intranet，他们可以在 MFA 信任的 IP 中配置其 Intranet IP 地址。这也属于受信任位置。

单击“配置多重身份验证可信 IP”（位于“命名位置”选项卡的顶部）。因此，您将被引导至多重身份验证页面。在这里，您可以看到“跳过对我的 Intranet 上联合用户的请求的多重身份验证”。 ” 选项。

→ 我的 Intranet 上的联合用户是使用组织 Intranet 的授权用户。

而且他们是我们值得信赖的用户，那么就不会有风险事件发生。因此我们可以为他们提供访问权限，而无需任何多重身份验证。

添加到条件访问策略后，会定期评估该策略。当然，它会检查用户是否在组织的 Intranet 上。相反，如果用户不在 Intranet 上，则策略会将其检测为不合规的访问尝试。

如何在条件访问策略中使用命名位置？

从上面的主题中，我们对命名位置有了很多了解。现在，让我们了解在条件访问策略中配置这些命名位置的步骤！

1. 首先，打开“条件访问”页面，然后单击创建新策略。
2. 为策略指定合适的名称。
3. 然后根据您的需要选择用户和组。
4. 现在，在云或操作下，您可以从下拉列表中选择云应用程序/用户操作/身份验证上下文根据您的要求进行下调。
5. 之后，在条件下，单击位置。
6. 现在，将“配置”栏切换为是。

在这里，您将看到三个选项，供您根据您的要求进行选择和配置位置。

1. 任何位置-在此类别中，包括所有位置。例如，命名位置、受信任位置以及命名位置中未指定的位置。如果您选择“任何位置”选项，您可以从任何位置授予或阻止用户访问权限。
2. 所有受信任位置 - 指定位置（标记为受信任位置）以及 MFA 受信任 IP 都属于受信任位置。
3. 选定的位置-在此类别中，管理员配置的所有命名位置均单独显示。它包括由国家/地区范围、IP 范围和 MFA 信任的 IP 确定的命名位置。

在这里，您可以从上述任何位置类型中进行选择。之后，您可以继续配置策略以授予/限制来自特定位置的访问权限。

使用 AdminDroid 轻松获取条件访问策略报告

通常，确保条件访问策略的位置设置正确很简单。然而，有可能出现错误配置，从而为攻击入侵和执行恶意活动留下了机会。更糟糕的是，合法用户在这些错误配置期间可能会面临不必要的访问限制。因此，定期监控条件访问策略对于避免帐户泄露、网络钓鱼攻击等至关重要。

因此，为了帮助您关注条件访问策略，AdminDroid 将伸出援手！ AdminDroid Azure AD 报告工具为您提供条件访问策略配置、由于 CA 策略导致的登录失败、MFA 配置的策略等的清晰分析。此外，您还可以获得显示使用 Azure AD 条件访问策略配置的位置的报告拥有包含/排除位置、自定义位置策略等信息。

添加到位置配置的策略中，您可以获得条件访问策略的完整分析，从而采取主动措施来保护您的组织免受攻击。通过这种方式，AdminDroid 的条件访问策略分析使您能够全面了解策略配置分析、策略有效性评估、用户行为等。通过这种整体方法，管理员可以有效评估访问权限并增强组织的安全状况。

您可以找到以下报告，以便使用 AdminDroid 有效管理条件访问策略。

政策执行报告

• 成功被策略阻止
• 政策顺利通过
• 用户未能履行政策要求
• 无需任何条件策略检查即可登录

策略分配概述

• 所有政策 作业
• 具有组分配的策略
• 具有角色分配的策略
• 具有平台分配的策略
• 具有位置分配的策略
• 设备分配策略

MFA 配置的策略

具有 MFA 的策略 - 显示 Azure AD 中配置了 MFA 授权控制的所有策略。

MFA 策略分配概述 - 列出启用 MFA 的条件访问策略。

MFA 政策分配详细信息 - 显示具有 MFA 条件的详细信息的政策。

此外，AdminDroid 分析还提供了条件访问策略的全面概述，超越了这一点。

您不仅可以使用 AdminDroid 监控条件访问策略，还可以获得对整个 Azure AD 环境的宝贵见解！顺便说一句，为了让您感到震惊，AdminDroid 提供 75 多个审核报告、10 多个富有洞察力的 Azure AD 仪表板、45+ 统计数据、 全部免费。借助这些全面的报告，您可以轻松获得 Azure AD 门户的全景视图，可视化每个活动和配置，以实现更好的 Azure AD 管理。

使用 AdminDroid 360 度洞察 Azure Active Directory！

仍然在想？下载 AdminDroid 并轻松监控您的 Office 365 环境！

访问 by 位置

归根结底，目标很简单：安全和保障

——乔迪·雷尔

总之，无论是物理办公室、远程工作场所还是公共空间，显然管理员都可以定义授予或拒绝访问敏感数据和资源的条件。这为管理员提供了保证，即只有来自受信任位置的经过身份验证的用户和设备才能访问敏感的 Office 365 资源。

总体而言，条件访问策略中的命名位置可以为管理员提供帮助。最后，我希望此博客能够帮助您了解 Microsoft 365 中条件访问策略中的指定位置。此外，如果需要任何帮助，请随时在评论中与我们联系。