书接上文:
我们讲到可以在Azure Active Directory中随时监控团队伙伴的登录时间、登录IP等信息,以便查看哪些小伙伴下了班回家之后还是在继续工作呢,下一批的升职加薪员工表是不是就有他呢?嘿嘿
有朋友就说了,我是个仁慈的资本家,我觉得员工回家后要好好陪家人,第二天才能开开心心地地上班,否则:
所以有任何问题不要在家里处理,要等第二天上班才可以处理。所以,能不能控制Power BI的使用只允许在办公室网络,在其他位置就限制登录呢?
答案自然是肯定的。
我们就来好好地说一番这个事情怎么解决:
首先:我们需要添加一些受信任的IP地址,用户只有在这些IP地址访问时才是通畅的:
使用管理员身份登录Azure portal ,然后依次打开Azure Active Directory > Security > Conditional Access > Named locations,点击New location:
这里面你可以进行设定IP地址范围、国家和地区:
可以将你办公室的IP范围添加进去,如上图所示,注意将它标记为trusted location。
当然,如果你所负责的企业是一家跨国公司,很明显不应该从某个国家来访问,也可以设置限制国家和地区。
当然,你可以同时设置很多个位置权限:
第二步:
设置一些规则,比如那些人受这些地理位置控制,使用者在使用哪些应用时受位置控制。
依次点开Azure Active Directory > Security > Conditional Access,点击 New policy:
设定规则:
强烈建议起名字要有一定的实际意义,否则后续维护很麻烦。同时注意它本身的提示,最开始的时候先用测试账号进行试验。
如果你不小心在设定的时候设置错了IP地址,而且选的是所有用户、所有app,那么很有可能整个公司的账号都无法使用了,除非你记住自己设定的IP地址范围,并且找到在这个IP地址范围内的电脑,再登录office365。如果找不到,或者比如这个IP地址在伊拉克,呵呵……
接着,在Users and groups里设置是全部用户还是部分用户;在Cloud apps or actions里设置全部应用还是部分应用;在 Conditions > Location里可以选择刚才设置好的IP地址权限:
上图右边应当选exclude,意思是除了这些受信任的地址外,全都block阻止,一定要确认好逻辑,不要选错了。
在 Conditions > Client apps (Preview)里需要确认yes,然后选择限制用户登录的是浏览器还是APP:
还需要在Access controls中选择block,最后别忘了enable:
设置部分OK了。
接下来我们就要开始测试了,在其他网络中比如使用手机热点登录这个账号:
这样使用者回到家中,就无法访问报表或者其他功能了。
其实,我们也可以不用直接去登录这个账号,azure给了一个what if选项:
在这里面选择账号和登录IP、登录国家和平台后,点击what if按钮,就会显示是否受到了条件的阻碍。比如我们设定IP地址范围如下:
随便填写一个IP地址,只要这个IP不在之前信任的IP范围内,就会显示受到了阻止:
而如果IP地址在受信任范围内,就显示No policies,代表不受限制:
用户就可以畅通无阻地登录使用账号了:
那么问题来了,你想不想你的手下回家继续干活呢?
参考文档:
What is Conditional Access?
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview
Conditional Access: Block access by location:
https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-location
本文分享自 PowerBI生命管理大师学谦 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体分享计划 ,欢迎热爱写作的你一起参与!