ソース IP の復元
ユーザーとユーザー用リソースの間にクラウドベースのネットワーク プロキシが介在する場合、リソース側から見た IP アドレスは実際のソース IP アドレスと一致しません。 リソース エンドポイント側からは、エンド ユーザーのソース IP ではなくクラウド プロキシがソース IP アドレスであるように見えます。 そのようなクラウド プロキシ ソリューションをお使いの場合、このソース IP 情報を使用することはできません。
グローバル セキュア アクセスのソース IP 復元は、Microsoft Entra のお客様において元のユーザー ソース IP の使用を継続できるようにするための下位互換性機能です。 管理者には、以下のことが可能になるメリットがあります。
- 条件付きアクセスと継続的アクセス評価の両方の間に対し、ソース IP ベースの場所ポリシーを引き続き実施します。
- Microsoft Entra ID 保護のリスク検出は、さまざまなリスク スコアを評価するため、元のユーザー ソース IP アドレスの一貫した表示内容を得ます。
- 元のユーザーソース IP は Microsoft Entra ログイン ログ でも利用できます。
前提条件
- グローバル セキュア アクセス機能の操作を行う管理者は、実行するタスクによっては、以下のロールを両方とも割り当てられている必要があります。
- グローバル セキュア アクセス機能を管理するためのグローバル セキュア アクセス管理者ロールのロール。
- 条件付きアクセス ポリシーを作成して操作する条件付きアクセス管理者。
- この製品にはライセンスが必要です。 詳細については、「Global Secure Access とは」のライセンスに関するセクションを参照してください。 必要に応じて、ライセンスを購入するか、試用版ライセンスを取得できます。
既知の制限事項
この機能には、1 つ以上の既知の制限があります。 この機能の既知の問題と制限事項の詳細については、「グローバル セキュア アクセスの既知の制限事項」を参照してください。
条件付きアクセスの Global Secure Access シグナリングを有効にする
ソース IP 復元を可能にするために必要な設定を有効にするには、管理者が以下の手順を実行する必要があります。
- グローバル セキュア アクセス 管理者として Microsoft Entra 管理センターにログインします。
- [グローバル セキュア アクセス]>[設定]>[セッション管理]>[アダプティブ アクセス] に移動します。
- [条件付きアクセスにグローバル セキュア アクセス信号通知の有効化] にトグルを選択します。
これは、Microsoft Graph、Microsoft Entra ID、SharePoint Online、Exchange Online などのサービスで実際のソース IP アドレスを扱えるようにするための機能です。
注意
IP アドレスのチェックに基づく条件付きアクセス ポリシーをアクティブに使用している組織では、条件付きアクセスの Global Secure Access シグナリングを無効にすると、対象エンド ユーザーによるリソースへのアクセスが意図せずブロックされる可能性があります。 この機能を無効にする必要がある場合は、その前に、該当する条件付きアクセス ポリシーをすべて削除してください。
サインイン ログの動作
管理者がソース IP 復元の動作を確認するには、以下の手順を実行します。
- Microsoft Entra 管理センターにセキュリティ閲覧者以上としてサインインします。
- [ID]、>、[すべてのユーザー] の順に移動し、いずれかのテスト ユーザーの > を選択します。
- ソース IP 復元が有効になっている場合は、IP アドレスの記録に実際の IP アドレスが表示されます。
- ソース IP 復元が無効になっている場合、ユーザーの実際の IP アドレスは表示されません。
サインイン ログ データは、表示されるまでに時間がかかる場合があります。これは必要な処理のための待ち時間であり、異常ではありません。
