Lewati ke konten utama

Tambahkan IP proxy ke policy akses bersyarat Azure

Panduan ini menjelaskan cara menambahkan alamat IP proxy atau firewall outbound Anda ke akses bersyarat Azure policy di Microsoft Entra ID (sebelumnya Azure AD).

Ini membantu Anda:

  • Membatasi akses ke lokasi jaringan perusahaan
  • Melewati MFA untuk IP tepercaya (seperti titik keluar proxy atau VPN)
  • Menerapkan policy yang lebih ketat untuk sumber eksternal atau yang tidak tepercaya

Prasyarat

  • Peran Global administrator atau security administrator di Azure AD
  • Mengetahui alamat IP eksternal (egress) proxy/firewall Anda
  • Lisensi Azure AD Premium P1 atau P2 (akses bersyarat memerlukan ini)

Langkah 1 - Masuk ke portal Azure

Langkah 2 - Buka akses bersyarat

  • From the side menu:
    • Klik ProtectionConditional access.
    • Klik policy yang sudah ada atau klik + New policy untuk membuat yang baru.

Langkah 3 - Konfigurasikan kondisi berdasarkan lokasi

  • Under your policy:
    • Klik ConditionsLocations.
    • Atur toggle ke Yes.

Langkah 4 - Tentukan named location

  • Klik Select locations → lalu + Named location.
  • Berikan nama yang bermakna, misalnya,Trusted Proxy IP.
  • Di bawah IP ranges, tambahkan IP publik proxy atau firewall Anda.
  • Centang kotak jika IP ini harus ditandai sebagai tepercaya (untuk aturan MFA atau kepatuhan perangkat).

Langkah 5 - Terapkan named location

  • Once the named location is saved:
    • Kembali ke layar Select locations.
  • Select either:
    • Include → untuk menerapkan policy hanya saat pengguna berasal dari IP proxy tersebut
    • Exclude → untuk melewati policy untuk IP tersebut (misalnya, mengecualikan dari MFA)

Langkah 6 - Selesaikan policy

  • Di bawah assignments, pilih pengguna/grup yang akan dikenai policy.

  • Di bawah access controls, pilih:

    • Grant → blokir atau izinkan akses
    • Session → kontrol opsional seperti frekuensi masuk

  • Setel Enable policy ke On.

  • Klik Create atau Save.

Contoh kasus penggunaan

SkenarioTindakan dalam conditional access policy
Lewati MFA untuk pengguna di belakang proxyKecualikan IP proxy di bawah kondisi "locations"
Wajibkan MFA kecuali saat menggunakan proxySertakan semua IP, lalu kecualikan IP proxy
Izinkan akses hanya dari proxySertakan hanya IP proxy sebagai named location

Pengujian dan log

  • Use sign-in logs in Microsoft Entra ID to verify:
    • IP yang dilihat oleh Azure cocok dengan IP keluar proxy/firewall Anda
    • Hasil policy akses bersyarat (Success,Failure,Not Applied, dll.)

Tips

  • Jika Anda berada di belakang beberapa proxy atau IP keluar regional, tambahkan semuanya ke named location.
  • Azure membaca IP publik klien, jadi NAT atau forward proxy harus mengekspos alamat eksternal yang benar.
  • Berhati-hatilah saat memblokir akses berdasarkan IP — selalu uji dengan akun break-glass yang dikecualikan dari policy.
Terakhir diperbarui pada