Vertrauenswürdige Netzwerkstandorte

Vertrauenswürdige Netzwerkstandorte ist ein Identitätsdienst, der Administratoren ermöglicht, bestimmte IP-Bereiche als vertrauenswürdige Netzwerkstandorte zu kennzeichnen. Diese vertrauenswürdigen Netzwerkstandorte können dann in Richtlinien verwendet werden, um Benutzern, die sich von einer vertrauenswürdigen IP aus authentifizieren, automatisch das konfigurierte Gewicht dieses Identitätsdienstes zuzuweisen. Sie können diesen Identitätsdienst auch verwenden, um nur Anfragen von vertrauenswürdigen Standorten zuzulassen. In einigen Fällen kann es beispielsweise eine gute Praxis sein, nur Benutzern zu erlauben, sich aus dem eigenen Netzwerk des Unternehmens zu authentifizieren und Authentifizierungsversuche von allen anderen Standorten auszuschließen.

Konfigurieren von Bereichen für vertrauenswürdige Netzwerkstandorte

Bevor vertrauenswürdige Netzwerkstandorte als Identitätsdienst in einer Richtlinie verwendet werden können, müssen die vertrauenswürdigen IP-Bereiche definiert werden.

Beachten Sie, dass, wenn keine IP-Bereiche konfiguriert wurden, alle IP-Adressen als nicht vertrauenswürdig gelten. Wenn IP-Bereiche konfiguriert wurden, gelten alle IP-Adressen außerhalb der konfigurierten Bereiche als nicht vertrauenswürdig.

Gehen Sie in Authentication Web zu Trusted Network Locations in der Seitennavigation.
Füllen Sie ein Name für den Bereich im Feld Name IP Range aus.
Füllen Sie die Felder From IP address und To IP address aus. Um eine einzelne IP-Adresse (keinen Bereich) hinzuzufügen, füllen Sie nur das Feld From IP address aus.
Klicken Sie auf Add.

Hinweis

Sobald ein IP-Bereich konfiguriert wurde, kann er nicht mehr geändert werden. Wenn Sie aus irgendeinem Grund einen bestehenden IP-Bereich ändern müssen, müssen Sie einen neuen IP-Bereich erstellen und den alten löschen.

Um einen konfigurierten IP-Bereich zu entfernen, klicken Sie auf das Papierkorbsymbol neben dem Bereich, den Sie löschen möchten, und bestätigen Sie mit einem Klick auf OK.

Massenimport von IP-Bereichen aus einer Datei

Wenn Sie eine Liste von vertrauenswürdigen IPs oder IP-Bereichen im CSV-Format haben, können Sie diese Datei hochladen, um die IPs/Bereiche zur Liste der vertrauenswürdigen Netzwerkstandorte hinzuzufügen.

Hinweis

Die CSV-Datei sollte Zeilen im folgenden Format haben: name,low IP address,high IP address (diese entsprechen verschiedenen Spalten, wenn Sie Excel oder ein ähnliches Programm verwenden, um die Liste zu erstellen). Beachten Sie, dass die high IP address leer gelassen werden kann, wenn Sie eine einzelne IP-Adresse einschließen möchten.

Klicken Sie auf die Schaltfläche Browse und navigieren Sie zu der Datei, die Sie hochladen möchten. Klicken Sie auf Open.
Optional: Aktivieren Sie das Kontrollkästchen Ignore IP ranges that already exist, wenn Ihre Liste IP-Bereiche enthält, die bereits in der Liste der vertrauenswürdigen Netzwerkstandorte vorhanden sind.
Klicken Sie auf Upload.

Entfernen aller IP-Bereiche

Klicken Sie auf die Schaltfläche Remove All oben in der Liste, um alle IP-Bereiche aus der Liste zu entfernen.

Warnung

Diese Aktion kann nicht rückgängig gemacht werden.

Konfigurieren von vertrauenswürdigen Netzwerkstandorten als Identitätsdienst

Das Hinzufügen von vertrauenswürdigen Netzwerkstandorten als Identitätsdienst erfolgt auf die gleiche Weise wie bei allen anderen Identitätsdiensten.

Verschieben Sie im Richtlinienbildschirm für die Anwendung die vertrauenswürdigen Netzwerkstandorte von der Box Unselected Identity Services zur Box Selected Identity Services.
Legen Sie das Gewicht des Dienstes fest, indem Sie auf die Anzahl der Sterne klicken, die Sie zuweisen möchten.
Klicken Sie auf Save.

Wenn vertrauenswürdige Netzwerkstandorte zu einer Richtlinie hinzugefügt werden, erhalten Benutzer, die sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren, automatisch die Anzahl der Sterne, die dem Dienst zugewiesen sind, während jeder außerhalb der vertrauenswürdigen IP-Bereiche diese Sterne nicht erhält.

Ausschluss nicht vertrauenswürdiger IPs

In einigen Fällen ist der beste Weg, um die Sicherheit des Authentifizierungsprozesses zu gewährleisten, jede Authentifizierungsanfrage von außerhalb der vertrauenswürdigen IP-Bereiche auszuschließen und nur Anfragen von vertrauenswürdigen Netzwerken zuzulassen.

Um nicht vertrauenswürdige IP-Adressen auszuschließen, aktivieren Sie das Kontrollkästchen Required im Identitätsdienst für vertrauenswürdige Netzwerkstandorte in der Richtlinie.

Wenn der Identitätsdienst für vertrauenswürdige Netzwerkstandorte auf Required gesetzt ist, erhalten Benutzer, die versuchen, sich von außerhalb der vertrauenswürdigen IP-Bereiche zu authentifizieren, eine Nachricht, die sie darüber informiert, dass sie die Authentifizierungsanfrage aus dem vertrauenswürdigen Netzwerk heraus starten müssen.

Registrierung und Captcha

Der Identitätsdienst für vertrauenswürdige Netzwerkstandorte kann auch verwendet werden, um das Registrierungsverfahren weiter abzusichern oder Captcha zu umgehen, wenn der Benutzer sich von einer vertrauenswürdigen IP-Adresse aus authentifiziert.

Konfigurieren der Registrierung mit vertrauenswürdigen Netzwerkstandorten

Gehen Sie in Authentication Web zu Policies.
Markieren Sie im Abschnitt Enrollment security mode das Kontrollkästchen Only from Trusted IP.

Wenn diese Einstellung aktiviert ist, können sich Benutzer nur registrieren, wenn sie sich von einer vertrauenswürdigen IP-Adresse aus authentifizieren.

Konfigurieren von Captcha mit vertrauenswürdigen Netzwerkstandorten

Gehen Sie in Authentication Web zu Account.
Wählen Sie im Tab CAPTCHA die Optionsschaltfläche Enabled Captcha for untrusted IP addresses.

Wenn diese Einstellung aktiviert ist, wird Benutzern nur dann ein Captcha angezeigt, wenn sie sich von einer IP-Adresse außerhalb der konfigurierten vertrauenswürdigen IP-Bereiche aus authentifizieren.