Lumaktaw sa pangunahing nilalaman

Idagdag ang proxy IP sa Azure conditional access policy

Ipinapaliwanag ng gabay na ito kung paano idagdag ang iyong proxy o outbound firewall IP address sa isang Azure conditional access policy sa Microsoft Entra ID (dating Azure AD).

Nakakatulong ito sa iyo na:

  • Limitahan ang access sa mga lokasyon ng corporate network
  • Laktawan ang MFA para sa mga pinagkakatiwalaang IP (gaya ng mga proxy o VPN egress point)
  • Magpatupad ng mas mahihigpit na policy para sa mga panlabas o hindi pinagkakatiwalaang pinagmulan

Mga Kinakailangan

  • Tungkulin na Global administrator o security administrator sa Azure AD
  • Kaalaman sa panlabas (egress) na IP address ng iyong proxy/firewall
  • Azure AD Premium P1 o P2 license (kinakailangan ito para sa conditional access)

Hakbang 1 - Mag-sign in sa Azure portal

Hakbang 2 - Pumunta sa conditional access

  • From the side menu:
    • I-click ang ProtectionConditional access.
    • I-click ang umiiral na policy o i-click ang + New policy para gumawa ng isa.

Hakbang 3 - I-configure ang mga kondisyon batay sa mga lokasyon

  • Under your policy:
    • I-click ang ConditionsLocations.
    • Itakda ang toggle sa Yes.

Hakbang 4 - Tukuyin ang mga named location

  • I-click ang Select locations → pagkatapos ay + Named location.
  • Magbigay ng makabuluhang pangalan, hal., Trusted Proxy IP.
  • Sa ilalim ng IP ranges, idagdag ang (mga) pampublikong IP ng iyong proxy o firewall.
  • Lagyan ng check ang kahon kung ang IP na ito ay dapat markahan bilang trusted (para sa MFA o mga panuntunan sa device compliance).

Hakbang 5 - Ilapat ang pinangalanang lokasyon

  • Once the named location is saved:
    • Mag-navigate pabalik sa screen na Select locations.
  • Select either:
    • Include → para ilapat ang policy lamang kapag ang mga user ay nanggagaling sa proxy IP na iyon
    • Exclude → para lampasan ang policy para sa IP na iyon (hal., i-exclude mula sa MFA)

Hakbang 6 - Kumpletuhin ang policy

  • Sa ilalim ng assignments, piliin ang mga user/group na paglalapatan ng policy.

  • Sa ilalim ng access controls, piliin ang:

    • Grant → i-block o payagan ang access
    • Session → mga opsyonal na control tulad ng dalas ng pag-sign-in

  • Itakda ang Enable policy sa On.

  • I-click ang Create o Save.

Mga halimbawang use case

SitwasyonAksyon sa conditional access policy
Lampasan ang MFA para sa mga user sa likod ng proxyI-exclude ang proxy IP sa ilalim ng kundisyong "locations"
Kailangan ang MFA maliban kung nasa proxyIsama ang lahat ng IP, pagkatapos ay ibukod ang proxy IP
Payagan ang access mula lamang sa proxyIsama lamang ang proxy IP bilang named location

Pagsubok at mga log

  • Use sign-in logs in Microsoft Entra ID to verify:
    • Ang IP na nakikita ng Azure ay tumutugma sa egress IP ng iyong proxy/firewall
    • Ang resulta ng conditional access policy (Success,Failure,Not Applied, atbp.)

Mga tip

  • Kung nasa likod ka ng maraming proxy o regional egress IPs, idagdag silang lahat sa named location.
  • Binabasa ng Azure ang client public IP, kaya dapat ilantad ng NAT o forward proxies ang tamang external address.
  • Mag-ingat kapag bina-block ang access batay sa IP — palaging magsagawa ng pagsubok gamit ang break-glass account na hindi kasama sa policy.
Huling na-update noong