Entra Conditional Access mit dynamischen IPs möglich?
Hallo zusammen,
ich habe im MS Entra eine Conditional Access Policy eingerichtet: MFA wird erzwungen, falls sich der User aus bestimmten Locations einwählt.
Für die Hauptniederlassung habe ich eine eigenen Named Location erstellt, in der sich die public IP meines Hauptsitzes befindet, wenn die Anfrage von hier kommt wird kein MFA abgefragt.
Ich habe leider Niederlassungen ohne feste öffentliche IP, weil keine DSL oder sonstige verkabelte Internetleitung, sondern nur LTE oder Starlink.
gibt es eine Möglichkeit im Conditional Access solche Standort ebenso abzufragen z. B. über dyndns? oder evlt. anderen Bedienungen?
ich habe im MS Entra eine Conditional Access Policy eingerichtet: MFA wird erzwungen, falls sich der User aus bestimmten Locations einwählt.
Für die Hauptniederlassung habe ich eine eigenen Named Location erstellt, in der sich die public IP meines Hauptsitzes befindet, wenn die Anfrage von hier kommt wird kein MFA abgefragt.
Ich habe leider Niederlassungen ohne feste öffentliche IP, weil keine DSL oder sonstige verkabelte Internetleitung, sondern nur LTE oder Starlink.
gibt es eine Möglichkeit im Conditional Access solche Standort ebenso abzufragen z. B. über dyndns? oder evlt. anderen Bedienungen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668945
Url: https://administrator.de/forum/entra-conditional-access-mit-dynamischen-ips-moeglich-668945.html
Ausgedruckt am: 23.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
Device Compliance bringt in dem Fall aber keinen Mehrwert, die muss eh gewährleistet sein.
So lange das kein Privatkunden-Internettarif ist, kannst du theoretisch auch den gesamten Adressbereich des Providers freigeben (sofern es nicht unbedingt DTAG, Vodafone oder ein anderer der großen "Player" ist). Wobei DTAG & Konsorten einen auch direkte Auskunft darüber geben, welchen Adressraum der Anschluss angehört.
Und "keine" MFA ist auch nicht ganz richtig, die Abfragen sind nicht mehr so häufig. MFA komplett auszuschalten (wenn möglich) würde ich nicht machen, weil du dir dann auch das Sicherheitsfeature für einen kompromitierten Client an dem Standort aushebelst.
CA ist ein sehr gute Feature aus dem M365 Portfolio, kann aber zu einigen Herausforderung führen wenn man mobile Anwendungen auf Smartphones nutzt, das sperrt dann mal fix einen Benutzeraccount
So lange das kein Privatkunden-Internettarif ist, kannst du theoretisch auch den gesamten Adressbereich des Providers freigeben (sofern es nicht unbedingt DTAG, Vodafone oder ein anderer der großen "Player" ist). Wobei DTAG & Konsorten einen auch direkte Auskunft darüber geben, welchen Adressraum der Anschluss angehört.
Und "keine" MFA ist auch nicht ganz richtig, die Abfragen sind nicht mehr so häufig. MFA komplett auszuschalten (wenn möglich) würde ich nicht machen, weil du dir dann auch das Sicherheitsfeature für einen kompromitierten Client an dem Standort aushebelst.
CA ist ein sehr gute Feature aus dem M365 Portfolio, kann aber zu einigen Herausforderung führen wenn man mobile Anwendungen auf Smartphones nutzt, das sperrt dann mal fix einen Benutzeraccount
Moin,
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.