Azure conditional access policy में proxy IP जोड़ें
यह गाइड बताती है कि Microsoft Entra ID (पहले Azure AD) में Azure conditional access policy में अपना proxy या outbound firewall IP address कैसे जोड़ें।
यह आपकी इन कार्यों में मदद करता है:
- कॉर्पोरेट नेटवर्क स्थानों तक पहुंच को प्रतिबंधित करें
- विश्वसनीय IPs के लिए MFA को बायपास करें (जैसे proxy या VPN egress points)
- बाहरी या अविश्वसनीय स्रोतों के लिए अधिक सख्त policies लागू करें
पूर्वापेक्षाएँ
- Azure AD में Global administrator या security administrator भूमिका
- अपने proxy/firewall के external (egress) IP address की जानकारी
- Azure AD Premium P1 या P2 लाइसेंस (conditional access के लिए यह आवश्यक है)
चरण 1 - Azure portal में साइन इन करें
- https://portal.Azure.com पर जाएँ
- Microsoft Entra ID ब्लेड खोलें (पहले Azure Active Directory के नाम से जाना जाता था)
चरण 2 - conditional access पर जाएँ
- From the side menu:
- Protection → Conditional access पर क्लिक करें।
- किसी मौजूदा policy पर क्लिक करें or नई policy बनाने के लिए + New policy पर क्लिक करें।
चरण 3 - locations के आधार पर conditions कॉन्फ़िगर करें
- Under your policy:
- Conditions → Locations पर क्लिक करें।
- टॉगल को Yes पर सेट करें।
चरण 4 - named locations परिभाषित करें
- Select locations → फिर + Named location पर क्लिक करें।
- एक अर्थपूर्ण नाम दें, उदाहरण के लिए,
Trusted Proxy IP। - IP ranges के अंतर्गत, अपने proxy या firewall के public IP(s) जोड़ें।
- यदि इस IP को trusted के रूप में चिह्नित किया जाना चाहिए, तो बॉक्स चुनें (MFA या device compliance rules के लिए)।
चरण 5 - नामित स्थान लागू करें
- Once the named location is saved:
- वापस Select locations स्क्रीन पर जाएँ।
- Select either:
- Include → policy को केवल तब लागू करने के लिए जब उपयोगकर्ता उस proxy IP से आ रहे हों
- Exclude → उस IP के लिए policy को bypass करने के लिए (उदा., MFA से बाहर रखें)
चरण 6 - policy पूरी करें
-
assignments के अंतर्गत, policy लागू करने के लिए users/groups चुनें।
-
access controls के अंतर्गत, चुनें:
- Grant → access को block या allow करें
- Session → sign-in frequency जैसे वैकल्पिक controls
-
Enable policy को On पर सेट करें।
-
Create या Save पर क्लिक करें।
उदाहरण उपयोग के मामले
| परिदृश्य | conditional access policy में कार्रवाई |
|---|---|
| proxy के पीछे मौजूद उपयोगकर्ताओं के लिए MFA bypass करें | "locations" condition के अंतर्गत proxy IP को exclude करें |
| प्रॉक्सी पर न होने पर MFA आवश्यक करें | सभी IPs शामिल करें, फिर प्रॉक्सी IP को बाहर रखें |
| केवल प्रॉक्सी से access की अनुमति दें | केवल प्रॉक्सी IP को named location के रूप में शामिल करें |
परीक्षण और logs
- Use sign-in logs in Microsoft Entra ID to verify:
- Azure द्वारा दिखाई देने वाला IP आपके proxy/firewall के egress IP से मेल खाता है
- conditional access policy का परिणाम (
Success,Failure,Not Applied, आदि)
सुझाव
- यदि आप कई proxies या regional egress IPs के पीछे हैं, तो उन्हें सभी को named location में जोड़ें।
- Azure client public IP पढ़ता है, इसलिए NAT या forward proxies को सही external address दिखाना चाहिए।
- IP के आधार पर access block करते समय सावधानी बरतें — हमेशा policy से बाहर रखे गए break-glass account के साथ परीक्षण करें।