Azure 条件访问，专门通过 Azure *** 客户端

Posted 2023-02-19

【中文标题】Azure 条件访问，专门通过 Azure *** 客户端

【英文标题】：Azure Conditional Access exclusively through Azure *** client

【发布时间】：2021-10-31 19:51:25

【问题描述】：

我正在开发我的 azure AD，我在其上创建了一个 azure *** OPENSSL，它允许通过 azure AD 进行连接。

此时一切正常，因为我可以连接到我的 *** 客户端。

在这个阶段，我真的很想使用 azure AD Conditional access 在登录期间强制 MFA 来测试这个连接。我前往 ***，如果我连接，我会被要求提供 MFA。太棒了。

但有些事情我自己无法弄清楚。

如果我连接到 ***，我希望能够以独占方式连接到 azure Portal。

所以我去了Azure AD > Named location并添加了*** IP范围并将它们标记为受信任。

当我连接时，在我的 azure *** 客户端中，我有这些值。

*** Routes: 
192.xxx.xx.x/24
172.xx.x.x/24

所以在我的命名位置 IP 中，我设置了这两个值。

我去了 Azure AD > 安全 > 条件访问并配置如下

在用户和组下，我选择了要包含在此策略中的测试用户

在云应用中我选择Microsoft Azure Management

在Conditions > Locations 下，我选择了Named Location，我使用我标记为受信任的IP 范围创建。

在格兰特中，我选择了Require multi-factor authentication

保存这些配置后，我退出并尝试再次登录，但没有连接到 ***，但在这里，在批准 MFA 后，我被允许访问 azure 门户。

如果我没有连接到 azure ***，我想阻止所有本地访问 azure 门户，我该怎么办？

非常感谢您提供的任何帮助。

更新： 我尝试了不同的方法。 在Name Location 我声明了我的IP 范围（myIP/32），在Conditional Access > Location 在Include > Any Location 和Exclude > Name Location(my ip) 下

比在Grant 中我选择了Block Access

现在我可以从我的 IP 访问门户，但如果我创建一个 VM 并尝试登录到 Azure 门户，我会收到权限被拒绝的错误。太棒了。

但我仍然无法使其与我的 azure *** 客户端一起使用。

在Name Location下我尝试添加了azure *** IP Routes，但还是无法连接到azure portal。

请对此有任何帮助或澄清吗？

非常感谢

【参考方案1】：

很遗憾，您不能对指定位置使用私有 IP 地址。

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/location-condition#ip-address-ranges

我不确定您尝试做的事情是否真的可行。在我看来，无论如何都没有必要，因为你真的想根据身份而不是位置来限制访问。我认为您可以在这里做的最好的事情是继续使用条件访问来限制对特定用户的访问，强制执行 MFA，如果您愿意，还可以强制执行受信任/合规的设备。

【讨论】：

非常感谢您的回复。只是为了明确我的意图和测试。我想要的只是从本地计算机到 Azure 门户的安全连接（加密）。 *** 非常适合这个意图，但我知道这是不可能的，对吧？

不可能，它是一个公共门户网站，因此您无法使用 *** 连接创建私人加密隧道。门户本身受 TLS 保护，因此无需担心加密。