ข้ามไปยังเนื้อหาหลัก

เพิ่ม IP ของ proxy ไปยัง policy การเข้าถึงแบบมีเงื่อนไขของ Azure

คู่มือนี้อธิบายวิธีเพิ่มที่อยู่ IP ของ proxy หรือไฟร์วอลล์ขาออกของคุณไปยังpolicy การเข้าถึงแบบมีเงื่อนไขของ Azureใน Microsoft Entra ID (เดิมคือ Azure AD)

สิ่งนี้ช่วยให้คุณสามารถ:

  • จำกัดการเข้าถึงเฉพาะตำแหน่งเครือข่ายขององค์กร
  • ข้าม MFA สำหรับ IP ที่เชื่อถือได้ (เช่น จุดออกของ proxy หรือ VPN)
  • บังคับใช้ policy ที่เข้มงวดยิ่งขึ้นสำหรับแหล่งที่มาภายนอกหรือที่ไม่น่าเชื่อถือ

ข้อกำหนดเบื้องต้น

  • บทบาท Global administrator หรือ security administrator ใน Azure AD
  • ความรู้เกี่ยวกับ ที่อยู่ IP ภายนอก (egress) ของ proxy/firewall ของคุณ
  • สิทธิ์การใช้งาน Azure AD Premium P1 หรือ P2 (การเข้าถึงแบบมีเงื่อนไขต้องใช้สิ่งนี้)

ขั้นตอนที่ 1 - ลงชื่อเข้าใช้ Azure portal

  • ไปที่ https://portal.Azure.com
  • เปิดเบลด Microsoft Entra ID (เดิมคือ Azure Active Directory)

ขั้นตอนที่ 2 - ไปที่ conditional access

  • From the side menu:
    • คลิก ProtectionConditional access.
    • คลิก policy ที่มีอยู่ หรือ คลิก + New policy เพื่อสร้างใหม่

ขั้นตอนที่ 3 - กำหนดค่าเงื่อนไขตามตำแหน่งที่ตั้ง

  • Under your policy:
    • คลิก ConditionsLocations.
    • ตั้งค่าสวิตช์เป็น Yes.

ขั้นตอนที่ 4 - กำหนด named locations

  • คลิก Select locations → จากนั้นคลิก + Named location.
  • ระบุชื่อที่สื่อความหมาย เช่น Trusted Proxy IP.
  • ภายใต้ IP ranges ให้เพิ่ม IP สาธารณะของ proxy หรือ firewall ของคุณ
  • ทำเครื่องหมายในช่องหาก IP นี้ควรถูกระบุว่าเป็น ที่เชื่อถือได้ (สำหรับกฎ MFA หรือการปฏิบัติตามข้อกำหนดของอุปกรณ์)

ขั้นตอนที่ 5 - ใช้ตำแหน่งที่ตั้งที่มีชื่อ

  • Once the named location is saved:
    • กลับไปที่หน้าจอ Select locations
  • Select either:
    • Include → เพื่อใช้ policy เฉพาะ เมื่อผู้ใช้มาจาก proxy IP นั้น
    • Exclude → เพื่อข้าม policy สำหรับ IP นั้น (เช่น ยกเว้นจาก MFA)

ขั้นตอนที่ 6 - ทำ policy ให้เสร็จสมบูรณ์

  • ภายใต้ assignments ให้เลือกผู้ใช้/กลุ่มที่จะใช้ policy นี้

  • ภายใต้ access controls ให้เลือก:

    • Grant → บล็อกหรืออนุญาตการเข้าถึง
    • Session → การควบคุมเพิ่มเติม เช่น ความถี่ในการลงชื่อเข้าใช้

  • ตั้งค่า Enable policy เป็น On

  • คลิก Create หรือ Save

ตัวอย่างกรณีการใช้งาน

สถานการณ์การดำเนินการใน conditional access policy
ข้าม MFA สำหรับผู้ใช้ที่อยู่หลัง proxyยกเว้น proxy IP ภายใต้เงื่อนไข "locations"
กำหนดให้ใช้ MFA เว้นแต่จะอยู่บน proxyรวม IP ทั้งหมด แล้วจึงยกเว้น IP ของ proxy
อนุญาตการเข้าถึงจาก proxy เท่านั้นรวมเฉพาะ IP ของ proxy เป็น named location

การทดสอบและบันทึก

  • Use sign-in logs in Microsoft Entra ID to verify:
    • IP ที่ Azure เห็นตรงกับ IP ขาออกของ proxy/firewall ของคุณ
    • ผลลัพธ์ของ conditional access policy (Success,Failure,Not Applied เป็นต้น)

เคล็ดลับ

  • หากคุณอยู่หลัง proxy หลายตัวหรือ IP ขาออกตามภูมิภาคหลายรายการ ให้เพิ่มทั้งหมดลงใน named location
  • Azure อ่าน client public IP ดังนั้น NAT หรือ forward proxies ต้องแสดง external address ที่ถูกต้อง
  • โปรดระมัดระวังเมื่อบล็อกการเข้าถึงตาม IP — ควรทดสอบเสมอด้วยบัญชี break-glass ที่ถูกยกเว้นจาก policy
อัปเดตล่าสุด เมื่อ