사내 IP로부터라면 패스워드만으로 인증 허가, 사외 IP로부터라면 MFA를 요구한다, 라고 하는 것은 자주 있는 이야기.

인터넷 액세스용 IP가 변경되므로 Azure AD에 신뢰할 수 있는 IP를 추가하려고 하면 스스로 설정했는데도 구성을 찾을 수 없고, 해 버렸으므로 비망록을 겸해 정리해 보았다.

조건부 액세스

Azure AD에서는 조건부 액세스는 최근 SaaS 관계의 상담도 많기 때문에 자주 접하고 있다. 특정한 IP를 "위치"로 등록해 두고, 위치 당 "신뢰할 수 있는 장소로 표시"할 수 있다.

그 다음에, 조건부 액세스로 「MFA를 요구한다, 단 신뢰할 수 있는 장소를 제외한다」라고 하는 설정을 실시한다.

그리고는, 대상의 앱이나 유저를 설정하면 적용할 수 있다.

여기에 있을 것・・・이라고 기존의 구성의 「신뢰할 수 있는 장소」에 등록하고 있을 것이라고 생각하면 발견되지 않아 혼자 패닉에. 어디서 설정했어, 나.

Azure Multi-Factor Authentication

분들 조사해 보고, 가르쳐 준 것이 이쪽의 설정.
Azure Active Directry - 보안 - MFA의 추가 클라우드 기반 MFA 설정입니다.

조금 낡은 디자인의 화면. 여기에 IP를 추가하고,
htps // 아코응 t. 오 c ゔ ぢ ㄱ c와 ry. 와우 w 어긋남. 코 m / 우세 r 마나게 멘 t / m 후세 센 gs. 아 spx

그리고는, 유저마다 유효 또는 강제를 적용하면 OK. 365 관리 센터 - 사용자 - 활성 사용자 편집에서 "다중 요소 인증 관리"에서 다음 화면을 볼 수 있습니다.
htps // 아코응 t. 오 c ゔ ぢ ㄱ c와 ry. 와우 w 어긋남. 코 m / 우세 r 마나게 멘 t / 무 l 치후 ぁ c와 r 아 spx

감상

같은 기능이라면, 정리해요・・・.

어쨌든, Azure AD MFA는 모든 앱에 일률 강제 같다. 한 곳 설정하면 적용할 수 있고, 나머지는 사용자조차 추가하면 되므로 관리는 편하게.

그러나, 미세한 제어가 가능하거나 복수의 조건을 조립할 수 있다는 점에서는, 조건부 액세스 쪽이 자유도가 높다. 새는 케이스를 생각하지 않으면 안 되므로 익숙해져야 하지만 구성의 자유도를 요구한다면 조건부 액세스.

자쿠리 정리하면, 이런 느낌. 잘못되면 지적해 주세요.


조건부 액세스
Azure AD MFA


IP 기반으로 구성 가능
IP 기반으로 구성 가능

사용자 또는 그룹별로 설정
사용자별로 설정

앱별로 설정 가능
AAD로 인증하는 모든 앱에 일률적으로 설정

IP 이외의 다양한 조건으로 설정 가능
IP만

굉장히 어땠어?

Azure AD MFA의 모든 구성을 조건부 액세스로 다시 만들고 Azure AD MFA 설정을 모두 제거했습니다.

원래, 복수의 조건부 액세스 설정을 사용했고, 게스트 사용자의 액세스 제어에도 사용하고 있었기 때문에, 1개소에 모으는 쪽이 관리도 분산하지 않고. 이것으로 깨끗했습니다.

참고

Azure Multi-Factor Authentication 설정 구성 - 신뢰할 수 있는 IP
htps : // / cs. mic로소 ft. 코 m / 자 jp / 아즈레 / 아 c ゔ ぇ ぢ 레 c와 ry / 아우테 펜치 카치 온 / 호 w와 ー m ぁ- m ぁ せっちん gs # tsu s dai ps

Azure Active Directory 조건부 액세스 위치 조건 개요 - 신뢰할 수 있는 IP
htps : // / cs. mic로소 ft. 코 m / 자 jp / 아즈레 / 아 c ゔ ぇ ぢ 레 c와 ry / 콘 치오나 l 아 얏 s / ぉ 카치 온 - 콘 치 온 # tsu de ps