a.esposito
Goto Top

Entra Conditional Access mit dynamischen IPs möglich?

Hallo zusammen,

ich habe im MS Entra eine Conditional Access Policy eingerichtet: MFA wird erzwungen, falls sich der User aus bestimmten Locations einwählt.

Für die Hauptniederlassung habe ich eine eigenen Named Location erstellt, in der sich die public IP meines Hauptsitzes befindet, wenn die Anfrage von hier kommt wird kein MFA abgefragt.

Ich habe leider Niederlassungen ohne feste öffentliche IP, weil keine DSL oder sonstige verkabelte Internetleitung, sondern nur LTE oder Starlink.

gibt es eine Möglichkeit im Conditional Access solche Standort ebenso abzufragen z. B. über dyndns? oder evlt. anderen Bedienungen?

Content-ID: 668945

Url: https://administrator.de/forum/entra-conditional-access-mit-dynamischen-ips-moeglich-668945.html

Ausgedruckt am: 23.12.2024 um 19:12 Uhr

pebcak7123
pebcak7123 23.10.2024 aktualisiert um 09:49:53 Uhr
Goto Top
Moin, theoretisch müsste das schon gehen mit Powershell / MSGraph.
Also in etwa:
Aktuelle IPs auslesen, zum hauptstandort übermitteln und dort nen script laufen haben was die IPs in Conditional Access einträgt.
Ist das praktisch, ich denke nicht.
Würde da eher auf Device Compliance etc. setzen
radiogugu
radiogugu 23.10.2024 um 09:53:00 Uhr
Goto Top
Morschen.

+1 für Device Compliance. Alles andere ist Gefrickel und muss entsprechend "gewartet" werden.

Gruß
Marc
clSchak
clSchak 24.10.2024 um 10:58:14 Uhr
Goto Top
Device Compliance bringt in dem Fall aber keinen Mehrwert, die muss eh gewährleistet sein.

So lange das kein Privatkunden-Internettarif ist, kannst du theoretisch auch den gesamten Adressbereich des Providers freigeben (sofern es nicht unbedingt DTAG, Vodafone oder ein anderer der großen "Player" ist). Wobei DTAG & Konsorten einen auch direkte Auskunft darüber geben, welchen Adressraum der Anschluss angehört.

Und "keine" MFA ist auch nicht ganz richtig, die Abfragen sind nicht mehr so häufig. MFA komplett auszuschalten (wenn möglich) würde ich nicht machen, weil du dir dann auch das Sicherheitsfeature für einen kompromitierten Client an dem Standort aushebelst.

CA ist ein sehr gute Feature aus dem M365 Portfolio, kann aber zu einigen Herausforderung führen wenn man mobile Anwendungen auf Smartphones nutzt, das sperrt dann mal fix einen Benutzeraccount
a.esposito
a.esposito 28.10.2024 um 07:24:59 Uhr
Goto Top
Device Compliance muss gewährleistet werden, richtig. Ist aber trotzdem nötig es zu prüfen ob es auch wirklich so passt.

alles valide Gründe, aber... mach das dem User "schmackhaft" das er jetzt überall und jederzeit MFA zwingend erforderlich ist. Selbst für Versicherungen ist das aktivieren "nur" außerhalb des Firmenstandortes absolut ausreichen.

Ja das haben wir schon gesehen, an sich schönes Feature, hat aber seine Fallstricke, an die man auf jeden Fall denken muss...

Wir klären gerade ob wir für die Mobilfunkverbindungen eine feste IP buchen können. Laut unserem Consultant geht das, dann wäre das Thema durch.

Danke!
a.esposito
a.esposito 11.11.2024 um 11:25:02 Uhr
Goto Top
Danke für den Tipp, wie würde so ein Script aussehen? Ich habe schon etwas gesucht aber bin nicht fündig geworden... Gibts irgendwo dafür eine Doku?
pebcak7123
pebcak7123 13.11.2024 um 09:27:39 Uhr
Goto Top
Moin,
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.