有一个不让你下班后继续工作的老板是什么体验？Power BI限制IP地址登录

书接上文：

作为管理员，如何监控各部门使用Power BI报表的情况

我们讲到可以在Azure Active Directory中随时监控团队伙伴的登录时间、登录IP等信息，以便查看哪些小伙伴下了班回家之后还是在继续工作呢，下一批的升职加薪员工表是不是就有他呢？嘿嘿

有朋友就说了，我是个仁慈的资本家，我觉得员工回家后要好好陪家人，第二天才能开开心心地地上班，否则：

所以有任何问题不要在家里处理，要等第二天上班才可以处理。所以，能不能控制Power BI的使用只允许在办公室网络，在其他位置就限制登录呢？

答案自然是肯定的。

我们就来好好地说一番这个事情怎么解决：

首先：我们需要添加一些受信任的IP地址，用户只有在这些IP地址访问时才是通畅的：

使用管理员身份登录Azure portal ，然后依次打开Azure Active Directory > Security > Conditional Access > Named locations，点击New location：

这里面你可以进行设定IP地址范围、国家和地区：

可以将你办公室的IP范围添加进去，如上图所示，注意将它标记为trusted location。

当然，如果你所负责的企业是一家跨国公司，很明显不应该从某个国家来访问，也可以设置限制国家和地区。

当然，你可以同时设置很多个位置权限：

第二步：

设置一些规则，比如那些人受这些地理位置控制，使用者在使用哪些应用时受位置控制。

依次点开Azure Active Directory > Security > Conditional Access，点击 New policy：

设定规则：

强烈建议起名字要有一定的实际意义，否则后续维护很麻烦。同时注意它本身的提示，最开始的时候先用测试账号进行试验。

如果你不小心在设定的时候设置错了IP地址，而且选的是所有用户、所有app，那么很有可能整个公司的账号都无法使用了，除非你记住自己设定的IP地址范围，并且找到在这个IP地址范围内的电脑，再登录office365。如果找不到，或者比如这个IP地址在伊拉克，呵呵……

接着，在Users and groups里设置是全部用户还是部分用户；在Cloud apps or actions里设置全部应用还是部分应用；在 Conditions > Location里可以选择刚才设置好的IP地址权限：

上图右边应当选exclude，意思是除了这些受信任的地址外，全都block阻止，一定要确认好逻辑，不要选错了。

在 Conditions > Client apps (Preview)里需要确认yes，然后选择限制用户登录的是浏览器还是APP：

还需要在Access controls中选择block，最后别忘了enable：

设置部分OK了。

接下来我们就要开始测试了，在其他网络中比如使用手机热点登录这个账号：

这样使用者回到家中，就无法访问报表或者其他功能了。

其实，我们也可以不用直接去登录这个账号，azure给了一个what if选项：

在这里面选择账号和登录IP、登录国家和平台后，点击what if按钮，就会显示是否受到了条件的阻碍。比如我们设定IP地址范围如下：

随便填写一个IP地址，只要这个IP不在之前信任的IP范围内，就会显示受到了阻止：

而如果IP地址在受信任范围内，就显示No policies，代表不受限制：

用户就可以畅通无阻地登录使用账号了：

那么问题来了，你想不想你的手下回家继续干活呢？

参考文档：

What is Conditional Access?

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/overview

Conditional Access: Block access by location：

https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/howto-conditional-access-policy-location