У нас есть бесшовная система единого входа с сквозной проверкой подлинности и Azure AD Free. Все это сделано для того, чтобы доступ к PowerBI работал «без проблем». У нас тоже есть Office 365, но он не используется.
Я бы хотел заблокировать доступ к PowerBI извне. Есть ли способ добиться этого без обновления до Azure AD Prem?
Да, это можно сделать с помощью Условный доступ в Azure Active Directory. Это расширенная функция и требует, чтобы пользователям, которым требуется условный доступ, была назначена лицензия Azure AD Premium или любой SKU, содержащий эту лицензию.
В Azure AD вы должны создать политику условного доступа, в этой политике вы можете определить:
Если это для всех пользователей PowerBI, вы можете создать политику, которая реагирует только на службу PowerBI, а затем сказать, что она должна запретить доступ.
Затем в качестве исключения из политики вы говорите, что если вы пришли с разрешенного IP-адреса, политика не применяется.
Таким образом вы заблокируете его, чтобы невозможно было войти в систему, если требования не выполняются. В качестве примечания: если вы хотите настроить доступ извне, но хотите дополнительной безопасности, вы можете сказать, что для этого требуется MFA при соблюдении политики.
Таким образом, если вы обращаетесь извне, вам будет предложено ввести MFA, но внутри вы этого не сделаете, поскольку политика не применяется, если вы пришли с внутреннего IP.
При использовании бесшовного единого входа с сквозной аутентификацией. Запросы на проверку пароля были отправлены на локальный контроллер домена Active Directory (DC) для оценки. Для получения более подробной информации вы можете обратиться к Как работает сквозная проверка подлинности Azure Active Directory
Если вы хотите заблокировать доступ к PowerBI из-за пределов сети, вы можете заблокировать доступ к PowerBI в зависимости от местоположения в вашей локальной среде, поскольку аутентификация по паролю происходит в локальной среде с использованием сквозной аутентификации. К сожалению, на данный момент нет хорошего способа добиться этого в локальной среде.
Рекомендуется использовать условный доступ с лицензией Azure AD Premium.