ソース IP の復元

ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 リソース エンドポイント側からは、エンド ユーザーのソース IP ではなくクラウド プロキシがソース IP アドレスであるように見えます。 そのようなクラウド プロキシ ソリューションをお使いの場合、このソース IP 情報を使用することはできません。

グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。 管理者には、以下のことが可能になるメリットがあります。

• 条件付きアクセスと継続的アクセス評価の両方の間に対し、ソース IP ベースの場所ポリシーを引き続き実施します。
• Microsoft Entra ID 保護のリスク検出は、さまざまなリスク スコアを評価するため、元のユーザー ソース IP アドレスの一貫した表示内容を得ます。
• 元のユーザーソース IP は Microsoft Entra ログイン ログ でも利用できます。

前提条件

• グローバル セキュア アクセス機能の操作を行う管理者は、実行するタスクによっては、以下のロールを両方とも割り当てられている必要があります。
  • グローバル セキュア アクセス機能を管理するためのグローバル セキュア アクセス管理者ロールのロール。
  • 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
• この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。

既知の制限事項

ソース IP 復元が有効になっている場合、お客様から見えるのはソース IP のみです。 Global Secure Access サービスの IP アドレスは見えません。 Global Secure Access サービスの IP アドレスを知る必要がある場合は、ソース IP 復元を無効にしてください。

現在、ソース IP の復元は、Microsoft トラフィック (SharePoint Online、Exchange Online、Teams、Microsoft Graph など) でのみサポートされています。 Microsoft 以外のリソースの IP ロケーション ベースの条件付きアクセス ポリシーを継続的アクセス評価 (CAE) によって保護している場合、これらのポリシーはリソースで評価されません。ソース IP アドレスがリソースに認識されないためです。

CAE の厳密な場所の適用を使用している場合、信頼できる IP 範囲にあるにもかかわらず、ユーザーはブロックされます。 この状態を解決するには、次の推奨事項のいずれかを実行します。

• Microsoft 以外のリソースを対象とする IP ロケーション ベースの条件付きアクセス ポリシーがある場合は、厳密な場所の適用を有効にしないでください。
• トラフィックがソース IP 復元によってサポートされるようにするか、関連するトラフィックをグローバル セキュア アクセス経由で送信しないようにします。

条件付きアクセスの Global Secure Access シグナリングを有効にする

ソース IP 復元を可能にするために必要な設定を有効にするには、管理者が以下の手順を実行する必要があります。

1. グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。
2. [グローバル セキュア アクセス]>[設定]>[セッション管理]>[アダプティブ アクセス] に移動します。
3. [条件付きアクセスにグローバル セキュア アクセス信号通知の有効化] にトグルを選択します。

これは、Microsoft Graph、Microsoft Entra ID、SharePoint Online、Exchange Online などのサービスで実際のソース IP アドレスを扱えるようにするための機能です。

注意

IP アドレスのチェックに基づく条件付きアクセス ポリシーをアクティブに使用している組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。

サインイン ログの動作

管理者がソース IP 復元の動作を確認するには、以下の手順を実行します。

1. Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
2. [ID]、[ユーザー]、[すべてのユーザー] の順に移動し、いずれかのテスト ユーザーの [サインイン ログ] を選択します。
3. ソース IP 復元が有効になっている場合は、IP アドレスの記録に実際の IP アドレスが表示されます。
   • ソース IP 復元が無効になっている場合、ユーザーの実際の IP アドレスは表示されません。

サインイン ログ データは、表示されるまでに時間がかかる場合があります。これは必要な処理のための待ち時間であり、異常ではありません。

関連するコンテンツ

• テナント制限 V2 を設定する (プレビュー)
• 条件付きアクセスによる準拠しているネットワークのチェックを有効にする
• 継続的アクセス評価を使用して場所ポリシーを厳密に適用する