6
Entra Conditional Access mit dynamischen IPs möglich?
Hallo zusammen,
ich habe im MS Entra eine Conditional Access Policy eingerichtet: MFA wird erzwungen, falls sich der User aus bestimmten Locations einwählt.
Für die Hauptniederlassung habe ich eine eigenen Named Location erstellt, in der sich die public IP meines Hauptsitzes befindet, wenn die Anfrage von hier kommt wird kein MFA abgefragt.
Ich habe leider Niederlassungen ohne feste öffentliche IP, weil keine DSL oder sonstige verkabelte Internetleitung, sondern nur LTE oder Starlink.
gibt es eine Möglichkeit im Conditional Access solche Standort ebenso abzufragen z. B. über dyndns? oder evlt. anderen Bedienungen?
ich habe im MS Entra eine Conditional Access Policy eingerichtet: MFA wird erzwungen, falls sich der User aus bestimmten Locations einwählt.
Für die Hauptniederlassung habe ich eine eigenen Named Location erstellt, in der sich die public IP meines Hauptsitzes befindet, wenn die Anfrage von hier kommt wird kein MFA abgefragt.
Ich habe leider Niederlassungen ohne feste öffentliche IP, weil keine DSL oder sonstige verkabelte Internetleitung, sondern nur LTE oder Starlink.
gibt es eine Möglichkeit im Conditional Access solche Standort ebenso abzufragen z. B. über dyndns? oder evlt. anderen Bedienungen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668945
Url: https://administrator.de/contentid/668945
Ausgedruckt am: 23.11.2024 um 08:11 Uhr
6 Kommentare
Neuester Kommentar
Moin, theoretisch müsste das schon gehen mit Powershell / MSGraph.
Also in etwa:
Aktuelle IPs auslesen, zum hauptstandort übermitteln und dort nen script laufen haben was die IPs in Conditional Access einträgt.
Ist das praktisch, ich denke nicht.
Würde da eher auf Device Compliance etc. setzen
Also in etwa:
Aktuelle IPs auslesen, zum hauptstandort übermitteln und dort nen script laufen haben was die IPs in Conditional Access einträgt.
Ist das praktisch, ich denke nicht.
Würde da eher auf Device Compliance etc. setzen
2
Morschen.
+1 für Device Compliance. Alles andere ist Gefrickel und muss entsprechend "gewartet" werden.
Gruß
Marc
+1 für Device Compliance. Alles andere ist Gefrickel und muss entsprechend "gewartet" werden.
Gruß
Marc
2
Device Compliance bringt in dem Fall aber keinen Mehrwert, die muss eh gewährleistet sein.
So lange das kein Privatkunden-Internettarif ist, kannst du theoretisch auch den gesamten Adressbereich des Providers freigeben (sofern es nicht unbedingt DTAG, Vodafone oder ein anderer der großen "Player" ist). Wobei DTAG & Konsorten einen auch direkte Auskunft darüber geben, welchen Adressraum der Anschluss angehört.
Und "keine" MFA ist auch nicht ganz richtig, die Abfragen sind nicht mehr so häufig. MFA komplett auszuschalten (wenn möglich) würde ich nicht machen, weil du dir dann auch das Sicherheitsfeature für einen kompromitierten Client an dem Standort aushebelst.
CA ist ein sehr gute Feature aus dem M365 Portfolio, kann aber zu einigen Herausforderung führen wenn man mobile Anwendungen auf Smartphones nutzt, das sperrt dann mal fix einen Benutzeraccount
So lange das kein Privatkunden-Internettarif ist, kannst du theoretisch auch den gesamten Adressbereich des Providers freigeben (sofern es nicht unbedingt DTAG, Vodafone oder ein anderer der großen "Player" ist). Wobei DTAG & Konsorten einen auch direkte Auskunft darüber geben, welchen Adressraum der Anschluss angehört.
Und "keine" MFA ist auch nicht ganz richtig, die Abfragen sind nicht mehr so häufig. MFA komplett auszuschalten (wenn möglich) würde ich nicht machen, weil du dir dann auch das Sicherheitsfeature für einen kompromitierten Client an dem Standort aushebelst.
CA ist ein sehr gute Feature aus dem M365 Portfolio, kann aber zu einigen Herausforderung führen wenn man mobile Anwendungen auf Smartphones nutzt, das sperrt dann mal fix einen Benutzeraccount
Device Compliance muss gewährleistet werden, richtig. Ist aber trotzdem nötig es zu prüfen ob es auch wirklich so passt.
alles valide Gründe, aber... mach das dem User "schmackhaft" das er jetzt überall und jederzeit MFA zwingend erforderlich ist. Selbst für Versicherungen ist das aktivieren "nur" außerhalb des Firmenstandortes absolut ausreichen.
Ja das haben wir schon gesehen, an sich schönes Feature, hat aber seine Fallstricke, an die man auf jeden Fall denken muss...
Wir klären gerade ob wir für die Mobilfunkverbindungen eine feste IP buchen können. Laut unserem Consultant geht das, dann wäre das Thema durch.
Danke!
alles valide Gründe, aber... mach das dem User "schmackhaft" das er jetzt überall und jederzeit MFA zwingend erforderlich ist. Selbst für Versicherungen ist das aktivieren "nur" außerhalb des Firmenstandortes absolut ausreichen.
Ja das haben wir schon gesehen, an sich schönes Feature, hat aber seine Fallstricke, an die man auf jeden Fall denken muss...
Wir klären gerade ob wir für die Mobilfunkverbindungen eine feste IP buchen können. Laut unserem Consultant geht das, dann wäre das Thema durch.
Danke!
Danke für den Tipp, wie würde so ein Script aussehen? Ich habe schon etwas gesucht aber bin nicht fündig geworden... Gibts irgendwo dafür eine Doku?
Moin,
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.
