最近在評估和測試微軟推出的 Windows 365 Cloud PC,它可以快速的為企業建置雲端電腦,且也可以方便的管理,公司有授權的員工就可以在何時何地連上去處理工作,對於會需要再外面跑業務或是 WFH 的員工只需要有電腦就可以連上去,這時候要特別注意的當然就是安全性,必須適當的限制,不然何時何地跟不限機器都可以連上也等於開很大一個洞在那邊等人家連,這時候就可以透過條件式存取來設定,而本文要介紹的就是針對 IP 來限制存取,只有指定的 IP 才可以連的上。
說明
雖然本文是以 Windows 365 作為範例,但是只要電腦是有加入公司的 AD 網域,有受控的電腦都可以使用條件式存取,只要有 Microsoft Entra ID (原 Azure Active Directory) P1 或 P2 等授權就可以使用此功能,所以像是 Azure Virtual Desktop (AVD,Windows 365 底層也是 AVD)、Azure VM、地端實體電腦等都可以限制員工可以限制使用和登入。
條件式存取功能是在端點管理員功能裡面,可以從 microsoft 365 admin center 連進去。
然後點選端點安全性 → 條件存取。
這邊要注意的是在建立第一個原則的時候會提示說需要關閉 Microsoft Entra ID 的安全性預設值,因為條件式存取可已設定的更細,所以會跟安全型預設值衝突,所以需要關閉。這時候先連到 Microsoft Entra ID 點選屬性就可以找到管理安全性預設值去把他關閉,這邊一定要注意的是未來不使用條件式存取的時候一定要再重新打開,有基本的限制企業才有基本的安全性,可以的話也可以參考安全性預設值提到的項目一一設定到條件式存取上。
再來回到條件式存取,我們先設定可以連線的 IP,點到具名位置,因為這次需求是特定 IP 才可以選取,所以選擇了 IP 範圍位置,而輸入的是 IP 範圍,所以會需要加上遮照,這邊就根據需求自行設定了。
接下來點選原則 → 新原則來建立新的原則。
首先可以選擇試用本原則的使用者,注意選項有分包括跟排除,可以根據需求設定。
接下來設定限制的應用程式,這邊要選擇 Windows 365 (應用程式識別碼 0af06dc6-e4b5-4f28-818e-e78e62d137a5) 和 Azure Virtual Desktop (應用程式識別碼 9cdead84-a844-4324-93f2-b2e6bb768d07) 這兩個項目,因為在使用 Windows 365 的時候會用到的是這兩個應用程式。
再來就是設定條件,我在這一個設定卡了好久,這邊邏輯上跟我們需求會剛好相反,我們需求是特定的 IP 才可以存取,但是設定上要設定成特定的 IP 以外都不行存取,不然會怎樣都不會套用到這一個原則的,所以打開這個設定之後點選排除然後選擇未來允許存取的 IP。
授權的地方則是要選擇封鎖存取,結合上一個條件就會是所有 IP 都封鎖存取,排除選擇的特定 IP,就可以達到我們的需求了。
最後啟用就可以囉。
這時候透過 Windows 365 App 要登入的時候就會出現錯誤訊息而被擋下來了。
假設要設定別的條件又一直失敗的話可以透過 What If 這一個功能來驗證指定的條件會套用到的原則是哪一個來驗證設定是否正確。
設定好對應的條件之後點選 What If 底下就可以看到評估結果了。
結論
本文簡單的介紹了條件式存取設定限制存取的 IP ,因為拿掉了基本安全性,所以記得也要把基本安全性的項目加到條件式存取上,最少要把使用者需要多重要素驗證打開,不然相對來說會比較不安全的,設定完之後也記得多用 What If 驗證是否有些條件會沒套用到規則導致資安的漏洞了。