IPv6-Unterstützung in Microsoft Entra ID

Notiz

Waren diese Informationen hilfreich? Wir schätzen Ihr Feedback. Bitte verwenden Sie die Schaltfläche Feedback auf dieser Seite, um uns mitzuteilen, wie gut Ihnen dieser Artikel gefallen hat oder wie wir ihn verbessern können.

Wir freuen uns, IPv6-Unterstützung an Microsoft Entra ID zu bringen, Kunden mit erhöhter Mobilität zu unterstützen und die Ausgaben für schnell erschöpfte, teure IPv4-Adressen zu reduzieren. Weitere Informationen dazu, wie sich diese Änderung auf Microsoft 365 auswirken kann, finden Sie unter IPv6-Support in Microsoft 365-Diensten.

Wenn die Netzwerke Ihrer Organisation IPv6 heute nicht unterstützen, können Sie diese Informationen bis zu diesem Zeitpunkt sicher ignorieren.

Was hat sich geändert?

Unsere Dienstendpunkt-URLs werden bei der Auflösung nun sowohl IPv4- als auch IPv6-Adressen zurückgeben. Wenn eine Client-Plattform oder ein Netzwerk IPv6 unterstützt, wird in den meisten Fällen versucht, die Verbindung über IPv6 herzustellen, vorausgesetzt, dass die dazwischen liegenden Netzwerkknoten wie Firewalls oder Webproxys ebenfalls IPv6 unterstützen. In Umgebungen, die IPv6 nicht unterstützen, stellen Client-Anwendungen weiterhin über IPv4 eine Verbindung zu Microsoft Entra ID her.

Die folgenden Features unterstützen auch IPv6-Adressen:

• Benannte Orte
• Richtlinien für bedingten Zugriff
• Schutz der Identität (Identity Protection)
• Anmeldeprotokolle

Wann wird IPv6 in der Microsoft Entra-ID unterstützt?

Wir beginnen mit der Einführung der IPv6-Unterstützung für die Microsoft Entra ID im April 2023.

Wir wissen, dass die IPv6-Unterstützung für einige Organisationen eine erhebliche Änderung darstellt. Wir veröffentlichen diese Informationen jetzt, damit Kunden Pläne zur Sicherstellung der Bereitschaft machen können.

Was muss meine Organisation tun?

Wenn Sie über öffentliche IPv6-Adressen verfügen, die Ihr Netzwerk darstellen, führen Sie die in den folgenden Abschnitten beschriebenen Aktionen so schnell wie möglich aus.

Wenn Kunden ihre benannten Speicherorte nicht mit diesen IPv6-Adressen aktualisieren, werden ihre Benutzer blockiert.

Zu ergreifende Maßnahmen

• Testen der Microsoft Entra-Authentifizierung über IPv6
• Suchen von IPv6-Adressen in Anmeldeprotokollen
• Erstellen oder Aktualisieren benannter Speicherorte, um identifizierte IPv6-Adressen einzuschließen

Benannte Orte

Benannte Speicherorte werden zwischen vielen Features wie bedingtem Zugriff, Identitätsschutz und B2C gemeinsam genutzt. Kunden sollten mit ihren Netzwerkadministratoren und Internetdienstanbietern (Internet Service Providers, ISPs) zusammenarbeiten, um ihre öffentlich zugänglichen IPv6-Adressen zu identifizieren. Kunden sollten diese Liste dann verwenden, um benannte Speicherorte zu erstellen oder zu aktualisieren, um ihre identifizierten IPv6-Adressen einzuschließen.

Bedingter Zugriff

Beim Konfigurieren von Richtlinien für bedingten Zugriff können Organisationen festlegen, dass Standorte als Bedingung eingeschlossen oder ausgeschlossen werden sollen. Diese benannten Standorte können öffentliche IPv4- oder IPv6-Adressen, Länder oder Regionen oder unbekannte Bereiche enthalten, die nicht bestimmten Ländern oder Regionen zugeordnet sind.

• Wenn Sie einem vorhandenen benannten Speicherort IPv6-Bereiche hinzufügen, die in vorhandenen Richtlinien für bedingten Zugriff verwendet werden, sind keine Änderungen erforderlich.
• Wenn Sie neue benannte Speicherorte für die IPv6-Bereiche Ihrer Organisation erstellen, müssen Sie relevante Richtlinien für den bedingten Zugriff mit diesen neuen Speicherorten aktualisieren.

Cloud-Proxys und VPNs

Wenn ein Cloudproxy eingerichtet ist, kann eine Richtlinie, die ein in Microsoft Entra hybrid eingebundenes oder Beanstandungsgerät erfordert, einfacher verwaltet werden. Eine Liste der IP-Adressen, die von Ihrem in der Cloud gehosteten Proxy oder der VPN-Lösung verwendet werden, auf dem neuesten Stand zu halten, kann nahezu unmöglich sein.

Microsoft Entra pro Benutzer, mehrstufige Authentifizierung

Wenn Sie ein Kunde sind, der die mehrstufige Authentifizierung pro Benutzer verwendet, haben Sie IPv4-Adressen hinzugefügt, die lokale vertrauenswürdige Netzwerke mit vertrauenswürdigen IP-Adressen anstelle von benannten Speicherorten darstellen? Wenn Sie dies haben, wird möglicherweise eine mehrstufige Authentifizierungsaufforderung für eine Anforderung angezeigt, die über lokale IPv6-fähige Ausgangspunkte initiiert wurde.

Die Verwendung der mehrstufigen Authentifizierung pro Benutzer wird nicht empfohlen, es sei denn, Ihre Microsoft Entra-ID-Lizenzen enthalten keinen bedingten Zugriff, und Sie möchten keine Sicherheitsstandardwerte verwenden.

Einschränkungen für ausgehenden Datenverkehr

Wenn Ihre Organisation ausgehenden Netzwerkdatenverkehr auf bestimmte IP-Bereiche beschränkt, müssen Sie diese Adressen aktualisieren, um IPv6-Endpunkte einzuschließen. Administratoren finden diese IP-Bereiche in den folgenden Artikeln:

• URLs und IP-Adressbereiche für Office 365
• Microsoft Entra Connect: Behandeln von Problemen mit der Microsoft Entra-Konnektivität

Stellen Sie für die FÜR die Microsoft Entra-ID angegebenen IP-Bereiche sicher, dass Sie den ausgehenden Zugriff in Ihrem Proxy oder Ihrer Firewall zulassen.

Gerätekonfiguration

Standardmäßig werden sowohl IPv6- als auch IPv4-Datenverkehr auf Windows- und den meisten anderen Betriebssystemplattformen unterstützt. Änderungen an der IPv6-Standardkonfiguration können zu unbeabsichtigten Folgen führen. Weitere Informationen finden Sie unter Anleitung zur Konfiguration von IPv6 in Windows für fortgeschrittene Benutzende.

Dienstendpunkte

Die Implementierung der IPv6-Unterstützung in Microsoft Entra ID wirkt sich nicht auf Azure Virtual Network-Dienstendpunkte aus. Dienstendpunkte unterstützen weiterhin keinen IPv6-Datenverkehr. Weitere Informationen finden Sie unter Einschränkungen der Endpunkte des virtuellen Netzwerks.

Testen der Microsoft Entra-Authentifizierung über IPv6

Sie können die Microsoft Entra-Authentifizierung über IPv6 testen, bevor wir sie weltweit aktivieren, indem Sie die folgenden Verfahren verwenden. Diese Verfahren helfen bei der Überprüfung von IPv6-Bereichskonfigurationen. Der empfohlene Ansatz besteht darin, eine NRPT-Regel (Name Resolution Policy Table) zu verwenden, die an Ihre in Microsoft Entra eingebundenen Windows-Geräte übertragen wird. In Windows Server können Sie mithilfe von NRPT eine globale oder lokale Richtlinie implementieren, die DNS-Auflösungspfade überschreibt. Mit diesem Feature können Sie DNS für verschiedene vollqualifizierte Domänennamen (FQDNs) an spezielle DNS-Server umleiten, die so konfiguriert sind, dass IPv6 DNS-Einträge für die Microsoft Entra-Anmeldung vorhanden sind. Es ist einfach, NRPT-Regeln mithilfe eines PowerShell-Skripts zu aktivieren und zu deaktivieren. Sie können Microsoft Intune verwenden, um dieses Feature an Clients zu übertragen.

Notiz

• Microsoft stellt diese Anweisungen nur zu Testzwecken bereit. Sie müssen die folgenden Konfigurationen bis Mai 2023 entfernen, um sicherzustellen, dass Ihre Clients Produktions-DNS-Server verwenden. Die DNS-Server in den folgenden Verfahren können nach Mai 2023 außer Betrieb genommen werden.

• Es wird empfohlen, das Cmdlet Resolve-DnsName zum Überprüfen von NRPT-Regeln zu verwenden. Wenn Sie den Befehl "nslookup " verwenden, kann das Ergebnis aufgrund der Unterschiede zwischen diesen Tools unterschiedlich sein.

• Stellen Sie sicher, dass Sie über eine offene Netzwerkkonnektivität auf TCP- und UDP-Port 53 zwischen Ihren Clientgeräten und den DNS-Servern verfügen, die für die NRPT-Regel verwendet werden.

Manuelles Konfigurieren einer Client-NRPT-Regel – öffentliche Cloud

1. Öffnen Sie eine PowerShell-Konsole als Administrator (klicken Sie mit der rechten Maustaste auf das PowerShell-Symbol, und wählen Sie "Als Administrator ausführen" aus).

2. Fügen Sie eine NRPT-Regel hinzu, indem Sie die folgenden Befehle ausführen:

   $DnsServers = (
       "ns1-37.azure-dns.com.",
       "ns2-37.azure-dns.net.",
       "ns3-37.azure-dns.org.",
       "ns4-37.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.com"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT"
   }
   Add-DnsClientNrptRule @params
   

3. Stellen Sie sicher, dass Ihr Client IPv6-Antworten login.microsoftonline.com erhält, indem Sie das Cmdlet Resolve-DnsName ausführen. Die Befehlsausgabe sollte dem folgenden Text ähneln:

   PS C:\users\username> Resolve-DnsName login.microsoftonline.com
   Name                          Type   TTL   Section    IPAddress 
   ----                          ----   ---   -------    --------- 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
   login.microsoftonline.com     A      300   Answer     20.190.151.7 
   login.microsoftonline.com     A      300   Answer     20.190.151.67 
   login.microsoftonline.com     A      300   Answer     20.190.151.69 
   login.microsoftonline.com     A      300   Answer     20.190.151.68 
   login.microsoftonline.com     A      300   Answer     20.190.151.132 
   login.microsoftonline.com     A      300   Answer     20.190.151.70 
   login.microsoftonline.com     A      300   Answer     20.190.151.9 
   login.microsoftonline.com     A      300   Answer     20.190.151.133 
   

4. Wenn Sie die NRPT-Regel entfernen möchten, führen Sie dieses PowerShell-Skript aus:

   Get-DnsClientNrptRule | Where-Object {
       $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
   } | Remove-DnsClientNrptRule -Force
   

Manuelles Konfigurieren einer NrPT-Regel des Clients – US Gov Cloud

Ähnlich wie das Skript für öffentliche Cloud erstellt das folgende Skript eine NRPT-Regel für den US Gov-Anmeldeendpunkt login.microsfotonline.us.

1. Öffnen Sie eine PowerShell-Konsole als Administrator, indem Sie mit der rechten Maustaste auf das PowerShell-Symbol klicken und "Als Administrator ausführen" auswählen.

2. Fügen Sie eine NRPT-Regel hinzu, indem Sie die folgenden Befehle ausführen:

   $DnsServers = (
       "ns1-35.azure-dns.com.",
       "ns2-35.azure-dns.net.",
       "ns3-35.azure-dns.org.",
       "ns4-35.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.us"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT-USGOV"
   }
   Add-DnsClientNrptRule @params
   

Bereitstellen einer NRPT-Regel mit Intune

Um die NRPT-Regel mithilfe von Intune auf mehreren Computern bereitzustellen, erstellen Sie eine Win32-App, und weisen Sie sie einem oder mehreren Geräten zu.

Schritt 1: Erstellen der Skripts

Erstellen Sie einen Ordner, und speichern Sie dann die folgenden Installations- und Rollbackskripts (InstallScript.ps1 und RollbackScript.ps1) darin, damit Sie die INTUNEWIN-Datei für die Verwendung in der Bereitstellung erstellen können.

InstallScript.ps1

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}  

RollbackScript.ps1

# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}

DetectionScript.ps1

Speichern Sie das folgende Skript (DetectionScript.ps1) an einem anderen Speicherort. Anschließend können Sie auf das Erkennungsskript in der Anwendung verweisen, wenn Sie es in Intune erstellen.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}  

Schritt 2: Verpacken der Skripts als INTUNEWIN-Datei

Informationen zum Vorbereiten von Win32-App-Inhalten zum Hochladen zum Erstellen einer INTUNEWIN-Datei aus dem Ordner und skripts, den Sie zuvor gespeichert haben, finden Sie unter "Vorbereiten von Win32-App-Inhalten".

Schritt 3: Erstellen der Win32-Anwendung

Die folgenden Anweisungen zeigen, wie Sie die erforderliche Win32-Anwendung erstellen. Weitere Informationen finden Sie unter Hinzufügen, Zuweisen und Überwachen einer Win32-App in Microsoft Intune.

1. Melden Sie sich beim Intune-Portal an.

2. Wählen Sie "Alle Apps">und dann "+Hinzufügen" aus, um eine neue Win32-App zu erstellen.

3. Wählen Sie in der Dropdownliste "App-Typ" die Windows-App (Win32) und dann "Auswählen" aus.

4. Klicken Sie auf der Seite "App-Informationen " auf " App-Paketdatei auswählen", um die zuvor erstellte INTUNEWIN-Datei auszuwählen. Klicken Sie auf OK , um fortzufahren.

5. Kehren Sie zur Seite " App-Informationen " zurück, und geben Sie dann einen beschreibenden Namen, eine Beschreibung und einen Publisher für die Anwendung ein. Andere Felder sind optional. Klicken Sie auf Weiter, um fortzufahren.

6. Geben Sie auf der Seite "Programm" die folgenden Informationen ein, und wählen Sie "Weiter" aus.

   • Befehlszeichenfolge installieren:
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
   • Befehlszeichenfolge deinstallieren:
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
   • Installationsverhalten:
     System

7. Wählen Sie auf der Seite "Anforderung" beide Betriebssystemarchitekturen aus, und legen Sie "Minimum Operating System" auf Windows 10 1607 fest. Klicken Sie auf Weiter, um fortzufahren.

8. Wählen Sie auf der Seite "Erkennung" in der Dropdownliste "Regelformat" die Option "Benutzerdefiniertes Erkennungsskript verwenden" aus. Wählen Sie die Schaltfläche "Durchsuchen" neben dem Feld "Skriptdatei " aus, um das Erkennungsskript auszuwählen. Behalten Sie die verbleibenden Felder als Standardwerte bei. Klicken Sie auf Weiter, um fortzufahren.

9. Wählen Sie auf der Seite "Abhängigkeiten" die Option "Weiter" aus, um ohne Änderungen fortzufahren.

10. Wählen Sie auf der Seite "Supersedence (Vorschau)" die Option "Weiter" aus, um ohne Änderungen fortzufahren.

11. Erstellen Sie auf der Seite "Aufgaben " Aufgaben basierend auf Ihren Anforderungen, und wählen Sie dann "Weiter" aus, um fortzufahren.

12. Überprüfen Sie die Informationen ein letztes Mal auf der Seite "Überprüfen + Erstellen ". Nachdem Sie die Überprüfung abgeschlossen haben, wählen Sie "Erstellen" aus, um die Anwendung zu erstellen.

Suchen von IPv6-Adressen in Anmeldeprotokollen

Vergleichen Sie mithilfe einer oder mehrerer der folgenden Methoden die Liste der IPv6-Adressen mit den adressen, die Sie erwarten. Erwägen Sie, diese IPv6-Adressen zu Ihren benannten Speicherorten hinzuzufügen und ggf. als vertrauenswürdig zu kennzeichnen. Sie benötigen mindestens die Rolle "Berichtsleseberechtigter", um das Anmeldeprotokoll zu lesen.

Azure-Portal

1. Melden Sie sich bei der Azure-Portal als Berichtsleser, Sicherheitsleseberechtigter, globaler Leser, Sicherheitsadministrator oder eine andere Rolle mit Berechtigungen an.
2. Navigieren Sie zu Microsoft Entra ID-Anmeldeprotokollen>.
3. Wählen Sie +Filter-IP-Adresse hinzufügen>und dann "Übernehmen" aus.
4. Fügen Sie im Feld "Nach IP-Adresse filtern" einen Doppelpunkt (:) ein.
5. Laden Sie optional diese Liste von Protokolleinträgen zur weiteren Verarbeitung in das JSON- oder CSV-Format herunter.

Log Analytics

Wenn Ihre Organisation Log Analytics verwendet, können Sie IPv6-Adressen in Ihren Protokollen mithilfe der folgenden Abfrage abfragen.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Organisationen können das folgende PowerShell-Skript verwenden, um die Microsoft Entra-Anmeldeprotokolle in Microsoft Graph PowerShell abzufragen. Das Skript bietet Ihnen eine Auflistung von IPv6-Adressen zusammen mit der Anwendung und der Anzahl der Angezeigten.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Nächste Schritte

Dieser Artikel wird aktualisiert. Nachfolgend finden Sie einen kurzen Link, über den Sie zu aktualisierten und neuen Informationen zurückkehren können: https://aka.ms/azureadipv6

• Verwenden der Standortbedingung in einer Richtlinie für bedingten Zugriff
• Bedingter Zugriff: Blockieren des Zugriffs nach Standort
• Hilfe finden und Support für Microsoft Entra ID erhalten

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.