Ensure Trusted Locations Are Defined
Dlaczego to jest ważne
Bez zdefiniowania zaufanych lokalizacji organizacje nie mogą egzekwować zasad dostępu warunkowego, które rozróżniają zaufane i niezaufane źródła sieciowe. Ta luka umożliwia użytkownikom uwierzytelnianie z dowolnego adresu IP z tymi samymi wymaganiami dostępu, zwiększając ryzyko nieautoryzowanego dostępu z naruszonych lub niezarządzanych sieci. Zdefiniowanie zaufanych zakresów IP daje administratorom precyzyjną kontrolę, aby stosować bardziej rygorystyczne wymagania uwierzytelniania dla niezaufanych lokalizacji, jednocześnie zmniejszając utrudnienia dla użytkowników w znanych sieciach.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy co najmniej jedna nazwana lokalizacja z zaufanymi zakresami IP została zdefiniowana w usłudze Microsoft Entra ID Conditional Access. Aether365 oznaczy to jako znalezisko w ramach kontroli ENTRA.1114 w panelu zgodności usługi entra-id, jeśli nie skonfigurowano żadnych zaufanych lokalizacji.
Jak naprawić
- Zaloguj się do portalu Azure i przejdź do Microsoft Entra ID.
- W obszarze Manage wybierz Security, a następnie w obszarze Protect wybierz Conditional Access.
- W obszarze Manage kliknij Named locations.
- W bloku Named locations kliknij IP ranges location.
- W polu tekstowym Name wpisz opisową nazwę lokalizacji.
- Kliknij ikonę +, aby dodać zakres adresów IP.
- Wprowadź zakres IP w notacji CIDR, a następnie kliknij Add.
- Powtórz kroki 6 i 7 dla każdego zakresu IP, który chcesz zdefiniować.
- Jeśli te zakresy IP są zaufane, zaznacz pole wyboru Mark as trusted location.
- Kliknij Create, aby zapisać nazwaną lokalizację.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 – Sekcja 2.2.1 (Poziom 2)
- CIS Microsoft 365 Foundations – mapowanie kontroli EIDSCA
Powiązane zasoby
- Using the location condition in a Conditional Access policy
- Microsoft cloud security benchmark – IM-7: Restrict resource access based on conditions
- Manage emergency access accounts in Microsoft Entra ID