Chuyển đến nội dung chính

Thêm IP proxy vào policy truy cập có điều kiện của Azure

Hướng dẫn này giải thích cách thêm địa chỉ IP của proxy hoặc tường lửa đầu ra của bạn vào một policy truy cập có điều kiện của Azure trong Microsoft Entra ID (trước đây là Azure AD).

Việc này giúp bạn:

  • Giới hạn quyền truy cập vào các vị trí mạng nội bộ của doanh nghiệp
  • Bỏ qua MFA cho các IP đáng tin cậy (chẳng hạn như các điểm ra của proxy hoặc VPN)
  • Thực thi các policy nghiêm ngặt hơn đối với các nguồn bên ngoài hoặc không đáng tin cậy

Điều kiện tiên quyết

  • Vai trò Global administrator hoặc security administrator trong Azure AD
  • Biết địa chỉ IP bên ngoài (egress) của proxy/tường lửa của bạn
  • Giấy phép Azure AD Premium P1 hoặc P2 (truy cập có điều kiện yêu cầu giấy phép này)

Bước 1 - Đăng nhập vào Azure portal

Bước 2 - Điều hướng đến truy cập có điều kiện

  • From the side menu:
    • Nhấp vào ProtectionConditional access.
    • Nhấp vào một policy hiện có hoặc nhấp vào + New policy để tạo policy mới.

Bước 3 - Cấu hình điều kiện dựa trên vị trí

  • Under your policy:
    • Nhấp vào ConditionsLocations.
    • Đặt nút gạt thành Yes.

Bước 4 - Xác định named locations

  • Nhấp vào Select locations → sau đó + Named location.
  • Cung cấp tên có ý nghĩa, ví dụ: Trusted Proxy IP.
  • Trong mục IP ranges, thêm (các) IP công khai của proxy hoặc tường lửa của bạn.
  • Chọn ô này nếu IP này cần được đánh dấu là đáng tin cậy (cho MFA hoặc các quy tắc tuân thủ thiết bị).

Bước 5 - Áp dụng vị trí đã đặt tên

  • Once the named location is saved:
    • Điều hướng quay lại màn hình Select locations.
  • Select either:
    • Include → để áp dụng policy chỉ khi người dùng truy cập từ IP proxy đó
    • Exclude → để bỏ qua policy cho IP đó (ví dụ: loại trừ khỏi MFA)

Bước 6 - Hoàn tất policy

  • Trong mục assignments, chọn người dùng/nhóm để áp dụng policy.

  • Trong mục access controls, chọn:

    • Grant → chặn hoặc cho phép truy cập
    • Session → các biện pháp kiểm soát tùy chọn như tần suất đăng nhập

  • Đặt Enable policy thành On.

  • Nhấp vào Create hoặc Save.

Ví dụ về các trường hợp sử dụng

Tình huốngHành động trong conditional access policy
Bỏ qua MFA cho người dùng phía sau proxyLoại trừ IP proxy trong điều kiện "locations"
Yêu cầu MFA trừ khi đang ở trên proxyBao gồm tất cả IP, sau đó loại trừ IP proxy
Chỉ cho phép truy cập từ proxyChỉ bao gồm IP proxy làm vị trí được đặt tên

Kiểm thử và nhật ký

  • Use sign-in logs in Microsoft Entra ID to verify:
    • IP mà Azure nhìn thấy khớp với IP đi ra của proxy/tường lửa của bạn
    • Kết quả policy truy cập có điều kiện (Success,Failure,Not Applied, v.v.)

Mẹo

  • Nếu bạn ở sau nhiều proxy hoặc nhiều IP đi ra theo khu vực, hãy thêm tất cả chúng vào vị trí được đặt tên.
  • Azure đọc IP công khai của máy khách, vì vậy NAT hoặc proxy chuyển tiếp phải hiển thị đúng địa chỉ bên ngoài.
  • Hãy thận trọng khi chặn quyền truy cập dựa trên IP — luôn kiểm thử bằng một tài khoản break-glass được loại trừ khỏi policy.
Cập nhật lần cuối vào