#azure #openvpn #azureportal #azure-policy #azure-vpn
Вопрос:
Я работаю над своей azure AD, в которой я создаю azure vpn OPENSSL, который позволяет подключаться через azure AD.
На данный момент все работает просто отлично, так как я могу подключиться к своему vpn-клиенту.
На этом этапе я действительно хотел проверить это подключение с помощью условного доступа azure AD, чтобы принудительно настроить MFA при входе в систему. Я направляюсь к vpn, и если я подключусь, меня попросят позвонить в МИД. И это здорово.
Но есть кое-что, в чем я не могу разобраться самостоятельно.
Я хотел бы иметь возможность подключаться к порталу azure исключительно в том случае, если я подключен к vpn.
Поэтому я пошел Azure AD > Named location , добавил диапазоны IP-адресов VPN и пометил их как надежные.
В моем VPN-клиенте azure при подключении у меня есть эти значения.
VPN Routes:
192.xxx.xx.x/24
172.xx.x.x/24
Поэтому в моем IP-адресе с именем местоположения я установил оба этих значения.
Я зашел в Azure AD > Безопасность >> Условный доступ и настроил его следующим образом
В разделе Пользователи и группы я выбрал тестового пользователя, которого хочу включить в эту политику
В облачном приложении я выбираю Microsoft Azure Management
И в разделе Conditions > Locations Я выбрал Named Location созданные мной диапазоны IP-адресов, которые я пометил как доверенные.
и в Гранте я выбрал Require multi-factor authentication
После сохранения этой конфигурации я вышел из системы и попытался снова войти в систему без подключения к vpn, но здесь, после утверждения MFA, мне разрешен доступ к порталу azure.
Что мне делать, если я хочу заблокировать весь локальный доступ к порталу azure, если я не подключен к VPN azure?
Большое вам спасибо за любую помощь, которую вы можете оказать.
ОБНОВЛЕНИЕ: Я попробовал другой подход. В Name Location я объявил свой диапазон IP-адресов (myIP/32), а также в Conditional Access > Location разделе Include > Any Location и в Exclude > Name Location(my ip)
Чем в Grant том, что я выбрал Block Access
Теперь я могу получить доступ к порталу со своего IP-адреса, но если я создам виртуальную машину и попытаюсь войти на портал azure, я получу сообщение об ошибке из-за отказа в разрешении. И это здорово.
Но все равно я не могу заставить его работать с моим vpn-клиентом azure.
В разделе Name Location Я попытался добавить IP-маршруты VPN azure, но мне все еще не удается подключиться к порталу azure.
Пожалуйста, какая-нибудь помощь или разъяснения по этому поводу?
Огромное спасибо
Ответ №1:
К сожалению, вы не можете использовать частные IP-адреса для указанного местоположения.
Я не уверен, что то, что вы пытаетесь сделать, действительно возможно. На мой взгляд, в любом случае в этом нет необходимости, так как вы действительно хотите ограничить доступ на основе личности, а не местоположения. Я думаю, что лучшее, что вы можете здесь сделать, — это продолжать использовать условный доступ для ограничения доступа к определенным пользователям, применять MFA и, возможно, применять надежные/совместимые устройства, если хотите.
Комментарии:
1. Большое вам спасибо за ваш ответ. Просто чтобы прояснить мое намерение и проверить. все, что я хочу, — это иметь безопасное соединение (зашифрованное) с локального компьютера на портал azure. VPN был почти идеален для этой цели, но я понимаю, что это невозможно сделать, верно?
2. Это невозможно, это общедоступный веб-портал, поэтому вы не можете создать частный зашифрованный туннель с помощью VPN-подключения. Сам портал защищен протоколом TLS, поэтому шифрование не вызывает беспокойства.