Sdílet prostřednictvím

Obnovení zdrojové IP adresy

  • Článek

U cloudového síťového proxy serveru mezi uživateli a jejich prostředky se IP adresa, kterou prostředky zobrazují, neodpovídá skutečné zdrojové IP adrese. Místo zdrojové IP adresy koncových uživatelů se koncové body prostředků zobrazují jako zdrojová IP adresa cloudového proxy serveru. Zákazníci s těmito cloudovými řešeními proxy nemůžou tyto informace o zdrojové IP adrese používat.

Obnovení zdrojových IP adres v globálním zabezpečeném přístupu umožňuje zpětné kompatibilitě pro zákazníky Microsoft Entra, aby nadále používali původní zdrojovou IP adresu uživatele. Správci můžou těžit z následujících možností:

  • Pokračujte vynucování zásad umístění na základě zdrojové IP adresy v rámci podmíněného přístupu i průběžného vyhodnocování přístupu.
  • Detekce rizik Microsoft Entra ID Protection získají konzistentní zobrazení původní IP adresy zdroje uživatelů pro posouzení různých skóre rizika.
  • Původní zdrojová IP adresa uživatele je také k dispozici v protokolech přihlášení Microsoft Entra.

Požadavky

  • Správci, kteří pracují s funkcemi globálního zabezpečeného přístupu , musí mít v závislosti na úlohách, které provádějí, obě následující přiřazení rolí.
    • Role globálního správce zabezpečeného přístupu pro správu funkcí globálního zabezpečeného přístupu.
    • Správce podmíněného přístupu pro vytváření a interakci se zásadami podmíněného přístupu.
  • Produkt vyžaduje licencování. Podrobnosti najdete v části Licencování globálního zabezpečeného přístupu. V případě potřeby si můžete koupit licence nebo získat zkušební licence.

Známá omezení

Pokud je povolené obnovení zdrojové IP adresy, zobrazí se jenom zdrojová IP adresa. IP adresa služby Global Secure Access není viditelná. Pokud chcete zobrazit IP adresu služby Global Secure Access, zakažte obnovení zdrojové IP adresy.

Obnovení zdrojové IP adresy se v současné době podporuje jenom pro provoz Microsoftu, jako je SharePoint Online, Exchange Online, Teams a Microsoft Graph. Pokud máte nějaké zásady podmíněného přístupu založené na umístění IP adres pro prostředky jiné společnosti než Microsoft chráněné průběžným vyhodnocením přístupu (CAE), tyto zásady se na prostředku nevyhodnocují, protože zdrojová IP adresa není pro daný prostředek známá.

Pokud používáte přísné vynucování umístění caE, uživatelé se zablokují, i když jsou v důvěryhodném rozsahu IP adres. Pokud chcete tuto podmínku vyřešit, proveďte jedno z následujících doporučení:

  • Pokud máte zásady podmíněného přístupu založené na umístění IP adres, které cílí na prostředky jiné společnosti než Microsoft, nepovolujte přísné vynucování umístění.
  • Ujistěte se, že je provoz podporovaný obnovením zdrojové IP adresy, nebo neodesílejte relevantní provoz prostřednictvím globálního zabezpečeného přístupu.

Povolení globálního zabezpečeného přístupu pro podmíněný přístup

Pokud chcete povolit požadované nastavení, aby bylo možné obnovit zdrojovou IP adresu, musí správce provést následující kroky.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako globální správce zabezpečeného přístupu.
  2. Přejděte do globální správy relací nastavení>>zabezpečeného přístupu>s adaptivním přístupem.
  3. Výběrem přepínače povolte signalizaci globálního zabezpečeného přístupu v podmíněném přístupu.

Tato funkce umožňuje službám, jako je Microsoft Graph, Microsoft Entra ID, SharePoint Online a Exchange Online, zobrazit skutečnou zdrojovou IP adresu.

Snímek obrazovky znázorňující přepínač pro povolení signalizace v podmíněném přístupu

Upozornění

Pokud má vaše organizace aktivní zásady podmíněného přístupu založené na kontrolách umístění IP a zakážete globální signalizaci zabezpečeného přístupu v podmíněném přístupu, můžete neúmyslně zablokovat přístup k prostředkům cílovým koncovým uživatelům. Pokud tuto funkci musíte zakázat, nejprve odstraňte všechny odpovídající zásady podmíněného přístupu.

Chování protokolu přihlašování

Pokud se chcete podívat na obnovení zdrojové IP adresy v akci, můžou správci provést následující kroky.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář zabezpečení.
  2. Přejděte na Možnost Uživatelé>identity>Všichni uživatelé> vyberou jeden z protokolů přihlášení testovacích uživatelů.>
  3. Pokud je povolené obnovení zdrojové IP adresy, uvidíte IP adresy, které obsahují jejich skutečnou IP adresu.
    • Pokud je obnovení zdrojové IP adresy zakázané, neuvidíte jejich skutečnou IP adresu.

Zobrazení tohoto zpoždění může nějakou dobu trvat, než se zobrazí nějaká data protokolu přihlášení, protože se musí provést zpracování.

Snímek obrazovky s protokoly přihlašování zobrazující události se zapnutým obnovením zdrojové IP adresy a pak znovu

Související obsah