Saksframlegg Named locations

1. Bakgrunn

Microsoft dokumentasjon: location condition

 • Named locations i Conditional Access legger inn forskjellige 'lokasjoner' basert på IP.
 • Det er mulig å opprette basert på land, som vi sikkert ikke trenger, da UiO har brukere i hele verden som arbeidsplass. (Vi har imidlertid laget en report-only testregel for blockering av driftsbrukere utenfor Norge.)
 • Det er også mulig å legge inn IP-ranges Location og ved opprettelsen av disse, kan de markeres som trusted location.

  Skjermbild: Named locations - Trusted
 • Mest interessant for oss er nok å legge inn UiOs 'fastnett' som en named location. Mest sannsynlig så kan det være lurt å markere disse som trusted, for og skille mellom det og andre nett. I tillegg til fordelen UiO vil få med Azure AD Identity Protection's risk calculation ved en oppgradering til A5.
 • Vi må nok legge inn noen eksterne IPer i tillegg, blant annet for våres service principal regel. Der er det nok lurt å legge inn adresser eksplisitt når det trengs.
 • Ved å legge in UiO sitt fastnett som named location og markere som trusted, kan vi definere mer fingranulerte regler for vår conditional access baseline.

2. Forslag til vedtak

 • MFA-projektet vil legge inn hele UiO's fastnett som named location og markere det som trusted.
  • Kan vi i så fall legge inn hele 129.240.0.0/16, eller må vi legge in per subnett?
  • Har IT-sikkerhet en oppdatert liste med nett hvis det ikke er ønskelig å legge inn hele IP-rangen?
 • Prosjektet legger in eksterne IPer per adresse og ikke ranges. I tillegg bare som named og ikke trusted.

3.  Vedtak

 • Prosjektet skal jobbe for at definerte IP-ranger løftes fram og vurderes for fritak. Et eksempel 2FA på undervisningsmaskiner på AV-nett. 
 • For hver IP-range: Pro / contra må komme fram.
 • IT-sikkerhet møter nettdrift for å få oppdatert liste
  • IT-sikkerhet jobber for å få IP-rangene på AV-nettene i første omgang (undervisning)

 

 

Publisert 7. apr. 2022 14:40 - Sist endret 8. apr. 2022 11:18