Compatibilidad con IPv6 en Microsoft Entra ID

Nota:

¿Le resultó útil este artículo? Su opinión es importante para nosotros. Use el botón Comentarios de esta página para indicarnos lo bien que ha funcionado este artículo o cómo podemos mejorarlo.

Estamos encantados de ofrecer soporte técnico de IPv6 a Microsoft Entra ID, para apoyar a los clientes con mayor movilidad y ayudar a reducir el gasto en direcciones IPv4 costosas y rápidas. Para obtener más información sobre cómo este cambio podría afectar a Microsoft 365, consulte Compatibilidad con IPv6 en los servicios de Microsoft 365.

Si las redes de su organización no admiten IPv6 hoy en día, puede omitir esta información de forma segura hasta ese momento en que lo hagan.

¿Qué está cambiando?

Nuestras direcciones URL de punto de conexión de servicio ahora se resuelven para devolver direcciones IPv4 e IPv6. Si una plataforma de cliente o una red admite IPv6, la conexión se intentará establecer principalmente mediante IPv6, suponiendo que los saltos de red entre ellos, como firewalls o servidores proxy web, también admiten IPv6. En entornos que no admiten IPv6, las aplicaciones cliente seguirán conectándose a Microsoft Entra ID a través de IPv4.

Las siguientes características también admitirán direcciones IPv6:

• Ubicaciones con nombre
• Directivas de acceso condicional
• Identity Protection (Protección de identidad)
• Registros de inicio de sesión

¿Cuándo se admitirá IPv6 en microsoft Entra ID?

En abril de 2023, comenzaremos a introducir la compatibilidad con IPv6 con microsoft Entra ID.

Sabemos que la compatibilidad con IPv6 es un cambio significativo para algunas organizaciones. Estamos publicando esta información ahora para que los clientes puedan hacer planes para garantizar la preparación.

¿Qué tiene que hacer mi organización?

Si tiene direcciones IPv6 públicas que representan la red, realice las acciones que se describen en las secciones siguientes lo antes posible.

Si los clientes no actualizan sus ubicaciones con nombre con estas direcciones IPv6, se bloquearán sus usuarios.

Acciones que se deben realizar

• Prueba de la autenticación de Microsoft Entra a través de IPv6
• Búsqueda de direcciones IPv6 en registros de inicio de sesión
• Crear o actualizar ubicaciones con nombre para incluir direcciones IPv6 identificadas

Ubicaciones con nombre

Las ubicaciones con nombre se comparten entre muchas características, como el acceso condicional, Identity Protection y B2C. Los clientes deben asociarse con sus administradores de red y proveedores de servicios de Internet (ISP) para identificar sus direcciones IPv6 de acceso público. A continuación, los clientes deben usar esta lista para crear o actualizar ubicaciones con nombre, para incluir sus direcciones IPv6 identificadas.

Acceso condicional

Al configurar directivas de acceso condicional, las organizaciones pueden elegir incluir o excluir ubicaciones como condición. Estas ubicaciones con nombre pueden incluir direcciones IPv4 o IPv6 públicas, país o región, o áreas desconocidas que no se asignan a países o regiones específicos.

• Si agrega intervalos IPv6 a una ubicación con nombre existente, que se usa en las directivas de acceso condicional existentes, no se requieren cambios.
• Si crea nuevas ubicaciones con nombre para los intervalos IPv6 de su organización, debe actualizar las directivas de acceso condicional pertinentes con estas nuevas ubicaciones.

Servidores proxy en la nube y soluciones VPN

Cuando se implementa un proxy en la nube, una directiva que requiere un dispositivo híbrido unido o de queja de Microsoft Entra puede ser más fácil de administrar. Mantener actualizada una lista de direcciones IP usadas por el proxy hospedado en la nube o la solución VPN puede ser casi imposible.

Autenticación multifactor de Microsoft Entra por usuario

Si es cliente que usa la autenticación multifactor por usuario, ¿ha agregado direcciones IPv4 que representan redes de confianza locales mediante direcciones IP de confianza de confianza en lugar de ubicaciones con nombre? Si lo tiene, es posible que vea un aviso de autenticación multifactor para una solicitud que se inició a través de puntos de salida IPv6 habilitados para el entorno local.

No se recomienda usar la autenticación multifactor por usuario, a menos que las licencias de id. de Microsoft Entra no incluyan el acceso condicional y no quiera usar los valores predeterminados de seguridad.

Restricciones de tráfico saliente

Si su organización restringe el tráfico de red saliente a intervalos IP específicos, tendrá que actualizar estas direcciones para incluir puntos de conexión IPv6. Los administradores pueden encontrar estos intervalos IP en los siguientes artículos:

• Intervalos de direcciones IP y URL de Office 365
• Microsoft Entra Connect: Solución de problemas de conectividad de Microsoft Entra

En el caso de los intervalos IP especificados para el identificador de Entra de Microsoft, asegúrese de permitir el acceso saliente en el proxy o el firewall.

Configuración del dispositivo

De forma predeterminada, el tráfico IPv6 e IPv4 es compatible con Windows y la mayoría de las demás plataformas del sistema operativo (SO). Los cambios en la configuración IPv6 estándar pueden dar lugar a consecuencias no deseadas. Para obtener más información, consulta Instrucciones para configurar IPv6 en Windows para usuarios avanzados.

Puntos de conexión del servicio

La implementación de la compatibilidad con IPv6 en microsoft Entra ID no afectará a los puntos de conexión de servicio de Azure Virtual Network. Los puntos de conexión de servicio todavía no admiten el tráfico IPv6. Para más información, consulte Limitaciones de los puntos de conexión de servicio de red virtual.

Prueba de la autenticación de Microsoft Entra a través de IPv6

Puede probar la autenticación de Microsoft Entra a través de IPv6 antes de habilitarla en todo el mundo mediante los procedimientos siguientes. Estos procedimientos ayudan a validar las configuraciones de intervalo IPv6. El enfoque recomendado es usar una regla de tabla de directivas de resolución de nombres (NRPT) insertada en los dispositivos Windows unidos a Microsoft Entra. En Windows Server, NRPT permite implementar una directiva global o local que invalide las rutas de acceso de resolución de DNS. Con esta característica, puede redirigir DNS para varios nombres de dominio completos (FQDN) a servidores DNS especiales configurados para tener entradas DNS IPv6 para el inicio de sesión de Microsoft Entra. Es fácil habilitar y deshabilitar reglas de NRPT mediante un script de PowerShell. Puede usar Microsoft Intune para insertar esta característica en los clientes.

Nota:

• Microsoft solo proporciona estas instrucciones con fines de prueba. Debe quitar las siguientes configuraciones en mayo de 2023 para asegurarse de que los clientes usan servidores DNS de producción. Los servidores DNS de los procedimientos siguientes se pueden retirar después de mayo de 2023.

• Se recomienda usar el cmdlet Resolve-DnsName para validar las reglas de NRPT. Si usa el comando nslookup , el resultado puede ser diferente dadas las diferencias que existen entre estas herramientas.

• Asegúrese de que tiene conectividad de red abierta en el puerto TCP y UDP 53 entre los dispositivos cliente y los servidores DNS que se usan para la regla NRPT.

Configuración manual de una regla NRPT de cliente: nube pública

1. Abra una consola de PowerShell como administrador (haga clic con el botón derecho en el icono de PowerShell y seleccione Ejecutar como administrador).

2. Agregue una regla NRPT mediante la ejecución de los siguientes comandos:

   $DnsServers = (
       "ns1-37.azure-dns.com.",
       "ns2-37.azure-dns.net.",
       "ns3-37.azure-dns.org.",
       "ns4-37.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.com"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT"
   }
   Add-DnsClientNrptRule @params
   

3. Compruebe que el cliente obtiene respuestas IPv6 para login.microsoftonline.com mediante la ejecución del cmdlet Resolve-DnsName . La salida del comando debe ser similar al texto siguiente:

   PS C:\users\username> Resolve-DnsName login.microsoftonline.com
   Name                          Type   TTL   Section    IPAddress 
   ----                          ----   ---   -------    --------- 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
   login.microsoftonline.com     A      300   Answer     20.190.151.7 
   login.microsoftonline.com     A      300   Answer     20.190.151.67 
   login.microsoftonline.com     A      300   Answer     20.190.151.69 
   login.microsoftonline.com     A      300   Answer     20.190.151.68 
   login.microsoftonline.com     A      300   Answer     20.190.151.132 
   login.microsoftonline.com     A      300   Answer     20.190.151.70 
   login.microsoftonline.com     A      300   Answer     20.190.151.9 
   login.microsoftonline.com     A      300   Answer     20.190.151.133 
   

4. Si desea quitar la regla NRPT, ejecute este script de PowerShell:

   Get-DnsClientNrptRule | Where-Object {
       $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
   } | Remove-DnsClientNrptRule -Force
   

Configuración manual de una regla NRPT de cliente: nube de US Gov

De forma similar al script para la nube pública, el siguiente script crea una regla NRPT para el punto de conexión login.microsfotonline.usde inicio de sesión de US Gov.

1. Para abrir una consola de PowerShell como administrador, haga clic con el botón derecho en el icono de PowerShell y seleccione Ejecutar como administrador.

2. Agregue una regla NRPT mediante la ejecución de los siguientes comandos:

   $DnsServers = (
       "ns1-35.azure-dns.com.",
       "ns2-35.azure-dns.net.",
       "ns3-35.azure-dns.org.",
       "ns4-35.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.us"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT-USGOV"
   }
   Add-DnsClientNrptRule @params
   

Implementación de una regla de NRPT con Intune

Para implementar la regla NRPT en varias máquinas mediante Intune, cree una aplicación Win32 y asígnela a uno o varios dispositivos.

Paso 1: Crear los scripts

Cree una carpeta y guarde los siguientes scripts de instalación y reversión (InstallScript.ps1 y RollbackScript.ps1) para poder crear el archivo .intunewin para usarlo en la implementación.

InstallScript.ps1

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}  

RollbackScript.ps1

# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}

DetectionScript.ps1

Guarde el siguiente script (DetectionScript.ps1) en otra ubicación. A continuación, puede hacer referencia al script de detección en la aplicación al crearlo en Intune.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}  

Paso 2: Empaquetar los scripts como un archivo .intunewin

Consulte Preparar el contenido de la aplicación Win32 para cargar para crear un archivo .intunewin desde la carpeta y los scripts que guardó anteriormente.

Paso 3: Crear la aplicación Win32

Las instrucciones siguientes muestran cómo crear la aplicación Win32 necesaria. Para obtener más información, vea Agregar, asignar y supervisar una aplicación Win32 en Microsoft Intune.

1. Inicie sesión en el portal de Intune.

2. Seleccione Aplicaciones>todas las aplicaciones y, a continuación, seleccione + Agregar para crear una nueva aplicación Win32.

3. En la lista desplegable Tipo de aplicación, seleccione Aplicación de Windows (Win32) y, a continuación, elija Seleccionar.

4. En la página Información de la aplicación, haga clic en Seleccionar archivo de paquete de aplicación para seleccionar el archivo .intunewin que creó anteriormente. Seleccione OK (Aceptar) para continuar.

5. Vuelva a la página Información de la aplicación y escriba un nombre descriptivo, una descripción y un publicador para la aplicación. Otros campos son opcionales. Seleccione Siguiente para continuar.

6. En la página Programa , escriba la siguiente información y seleccione Siguiente.

   • Cadena de comandos de instalación :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
   • Desinstalar cadena de comandos :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
   • Comportamiento de instalación:
     System

7. En la página Requisito, seleccione arquitecturas de sistema operativo y establezca Sistema operativo mínimo en Windows 10 1607. Seleccione Siguiente para continuar.

8. En la página Detección , seleccione Usar un script de detección personalizado en la lista desplegable Formato de reglas. Seleccione el botón Examinar situado junto al cuadro Archivo de script para elegir el script de detección. Deje los campos restantes como sus valores predeterminados. Seleccione Siguiente para continuar.

9. Seleccione Siguiente en la página Dependencias para continuar sin cambios.

10. Seleccione Siguiente en la página Sustitución (versión preliminar) para continuar sin cambios.

11. En la página Asignaciones , cree asignaciones según sus requisitos y, a continuación, seleccione Siguiente para continuar.

12. Revise la información una última vez en la página Revisar y crear . Una vez finalizada la validación, seleccione Crear para crear la aplicación.

Búsqueda de direcciones IPv6 en registros de inicio de sesión

Con uno o varios de los métodos siguientes, compare la lista de direcciones IPv6 con esas direcciones que espera. Considere la posibilidad de agregar estas direcciones IPv6 a las ubicaciones con nombre y marcar algunas como de confianza cuando corresponda. Necesita al menos el rol Lector de informes asignado para leer el registro de inicio de sesión.

Azure Portal

1. Inicie sesión en Azure Portal como lector de informes, lector de seguridad, lector global, administrador de seguridad u otro rol con permiso.
2. Vaya a los registros de inicio de sesión de Microsoft Entra ID>.
3. Seleccione + Agregar dirección IP de>filtros y seleccione Aplicar.
4. En el cuadro Filtrar por dirección IP, inserte dos puntos (:).
5. Opcionalmente, descargue esta lista de entradas de registro en formato JSON o CSV para su posterior procesamiento.

Log Analytics

Si su organización usa Log Analytics, puede consultar direcciones IPv6 en los registros mediante la consulta siguiente.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Las organizaciones pueden usar el siguiente script de PowerShell para consultar los registros de inicio de sesión de Microsoft Entra en Microsoft Graph PowerShell. El script proporciona una lista de direcciones IPv6 junto con la aplicación y el número de veces que aparece.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Pasos siguientes

Mantendremos actualizado este artículo. Este es un vínculo corto que puede usar para volver para obtener información actualizada y nueva: https://aka.ms/azureadipv6.

• Uso de la condición de ubicación en una directiva de acceso condicional
• Acceso condicional: Bloqueo del acceso por ubicación
• Buscar ayuda y obtener soporte técnico para el identificador de Microsoft Entra

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.