Langkau ke kandungan utama

Tambah IP proksi ke policy akses bersyarat Azure

Panduan ini menerangkan cara menambah alamat IP proksi atau firewall keluar anda ke dalam akses bersyarat Azure policy dalam Microsoft Entra ID (dahulunya Azure AD).

Ini membantu anda:

  • Mengehadkan akses kepada lokasi rangkaian korporat
  • Memintas MFA untuk IP yang dipercayai (seperti titik keluar proksi atau VPN)
  • Menguatkuasakan policy yang lebih ketat untuk sumber luaran atau tidak dipercayai

Prasyarat

  • Peranan Global administrator atau security administrator dalam Azure AD
  • Pengetahuan tentang alamat IP luaran (egress) proxy/firewall anda
  • Lesen Azure AD Premium P1 atau P2 (akses bersyarat memerlukan ini)

Langkah 1 - Log masuk ke portal Azure

Langkah 2 - Navigasi ke akses bersyarat

  • From the side menu:
    • Klik ProtectionConditional access.
    • Klik policy sedia ada atau klik + New policy untuk mencipta satu.

Langkah 3 - Konfigurasikan syarat berdasarkan lokasi

  • Under your policy:
    • Klik ConditionsLocations.
    • Tetapkan togol kepada Yes.

Langkah 4 - Takrifkan lokasi bernama

  • Klik Select locations → kemudian + Named location.
  • Berikan nama yang bermakna, contohnya, Trusted Proxy IP.
  • Di bawah IP ranges, tambahkan IP awam proksi atau firewall anda.
  • Tandakan kotak ini jika IP ini perlu ditandakan sebagai dipercayai (untuk peraturan MFA atau pematuhan peranti).

Langkah 5 - Gunakan lokasi bernama

  • Once the named location is saved:
    • Navigasi kembali ke skrin Select locations.
  • Select either:
    • Include → untuk menggunakan policy hanya apabila pengguna datang daripada IP proksi tersebut
    • Exclude → untuk memintas policy bagi IP tersebut (contohnya, kecualikan daripada MFA)

Langkah 6 - Lengkapkan policy

  • Di bawah assignments, pilih pengguna/kumpulan untuk menggunakan policy tersebut.

  • Di bawah access controls, pilih:

    • Grant → sekat atau benarkan akses
    • Session → kawalan pilihan seperti kekerapan log masuk

  • Tetapkan Enable policy kepada On.

  • Klik Create atau Save.

Contoh kes penggunaan

SenarioTindakan dalam conditional access policy
Pintas MFA untuk pengguna di belakang proksiKecualikan IP proksi di bawah syarat "locations"
Perlukan MFA kecuali apabila menggunakan proksiSertakan semua IP, kemudian kecualikan IP proksi
Benarkan akses hanya daripada proksiSertakan hanya IP proksi sebagai lokasi bernama

Pengujian dan log

  • Use sign-in logs in Microsoft Entra ID to verify:
    • IP yang dilihat oleh Azure sepadan dengan IP keluar proksi/firewall anda
    • Keputusan policy akses bersyarat (Success,Failure,Not Applied, dll.)

Petua

  • Jika anda berada di belakang berbilang proksi atau IP keluar serantau, tambahkan semuanya ke lokasi bernama.
  • Azure membaca IP awam klien, jadi NAT atau proksi hadapan mesti mendedahkan alamat luaran yang betul.
  • Berhati-hati apabila menyekat akses berdasarkan IP — sentiasa uji dengan akaun break-glass yang dikecualikan daripada policy.
Terakhir dikemas kini pada