Delen via

IPv6-ondersteuning in Microsoft Entra ID

  • Artikel

Notitie

Was dit artikel nuttig? Uw input is belangrijk voor ons. Gebruik de knop Feedback op deze pagina om ons te laten weten hoe goed dit artikel voor u heeft gewerkt of hoe we het kunnen verbeteren.

We zijn verheugd om IPv6-ondersteuning te bieden aan Microsoft Entra ID, om klanten te ondersteunen met meer mobiliteit en om de uitgaven voor snelle, dure IPv4-adressen te verminderen. Zie IPv6-ondersteuning in Microsoft 365-services voor meer informatie over hoe deze wijziging van invloed kan zijn op Microsoft 365.

Als de netwerken van uw organisatie vandaag geen ondersteuning bieden voor IPv6, kunt u deze informatie veilig negeren totdat ze dat doen.

Wat wordt gewijzigd?

Onze service-eindpunt-URL's worden nu omgezet om zowel IPv4- als IPv6-adressen te retourneren. Als een clientplatform of -netwerk IPv6 ondersteunt, wordt de verbinding meestal geprobeerd met behulp van IPv6, ervan uitgaande dat de netwerkhops die zich daartussen bevinden (zoals firewalls of webproxy's) ook IPv6 ondersteunen. Voor omgevingen die IPv6 niet ondersteunen, blijven clienttoepassingen verbinding maken met Microsoft Entra ID via IPv4.

De volgende functies ondersteunen ook IPv6-adressen:

  • Benoemde locaties
  • Beleid voor voorwaardelijke toegang
  • Identiteitsbeveiliging
  • Aanmeldingslogboeken

Wanneer wordt IPv6 ondersteund in Microsoft Entra ID?

In april 2023 introduceren we IPv6-ondersteuning voor Microsoft Entra ID.

We weten dat IPv6-ondersteuning een belangrijke wijziging is voor sommige organisaties. We publiceren deze informatie nu, zodat klanten plannen kunnen maken om gereedheid te garanderen.

Wat moet mijn organisatie doen?

Als u openbare IPv6-adressen hebt die uw netwerk vertegenwoordigen, voert u zo snel mogelijk de acties uit die in de volgende secties worden beschreven.

Als klanten hun benoemde locaties niet bijwerken met deze IPv6-adressen, worden hun gebruikers geblokkeerd.

Schermopname van een geblokkeerde aanmelding van een gebruiker vanwege de netwerklocatie.

Uit te voeren acties

Benoemde locaties

Benoemde locaties worden gedeeld tussen veel functies, zoals voorwaardelijke toegang, identiteitsbeveiliging en B2C. Klanten moeten samenwerken met hun netwerkbeheerders en internetproviders (ISP's) om hun openbare IPv6-adressen te identificeren. Klanten moeten deze lijst vervolgens gebruiken om benoemde locaties te maken of bij te werken, om hun geïdentificeerde IPv6-adressen op te nemen.

Voorwaardelijke toegang

Bij het configureren van beleid voor voorwaardelijke toegang kunnen organisaties ervoor kiezen om locaties als voorwaarde op te nemen of uit te sluiten. Deze benoemde locaties kunnen openbare IPv4- of IPv6-adressen, landen of regio's of onbekende gebieden bevatten die niet zijn toegewezen aan specifieke landen of regio's.

  • Als u IPv6-bereiken toevoegt aan een bestaande benoemde locatie, gebruikt in bestaand beleid voor voorwaardelijke toegang, zijn er geen wijzigingen vereist.
  • Als u nieuwe benoemde locaties maakt voor de IPv6-bereiken van uw organisatie, moet u relevante beleidsregels voor voorwaardelijke toegang bijwerken met deze nieuwe locaties.

Cloud-proxy's en VPN's

Wanneer er een cloudproxy aanwezig is, kan een beleid waarvoor een hybride Microsoft Entra-apparaat of een klachtapparaat is vereist eenvoudiger te beheren zijn. Het kan bijna onmogelijk zijn om een lijst met IP-adressen die worden gebruikt door uw in de cloud gehoste proxy of VPN-oplossing up-to-date te houden.

Meervoudige verificatie van Microsoft Entra per gebruiker

Als u een klant bent die meervoudige verificatie per gebruiker gebruikt, hebt u IPv4-adressen toegevoegd die on-premises vertrouwde netwerken vertegenwoordigen met behulp van vertrouwde IP-adressen in plaats van benoemde locaties? Als u dat hebt, ziet u mogelijk een meervoudige verificatieprompt voor een aanvraag die is gestart via on-premises IPv6-ingeschakelde uitgaande punten.

Het gebruik van meervoudige verificatie per gebruiker wordt niet aanbevolen, tenzij uw Microsoft Entra ID-licenties geen voorwaardelijke toegang bevatten en u geen standaardinstellingen voor beveiliging wilt gebruiken.

Beperkingen voor uitgaand verkeer

Als uw organisatie uitgaand netwerkverkeer beperkt tot specifieke IP-bereiken, moet u deze adressen bijwerken om IPv6-eindpunten op te nemen. Beheerders kunnen deze IP-bereiken vinden in de volgende artikelen:

Zorg ervoor dat u uitgaande toegang toestaat in uw proxy of firewall voor de IP-bereiken die zijn opgegeven voor Microsoft Entra-id.

Apparaatconfiguratie

IPv6- en IPv4-verkeer wordt standaard ondersteund op Windows- en de meeste andere besturingssysteemplatformen. Wijzigingen in de standaard-IPv6-configuratie kunnen onbedoelde gevolgen hebben. Zie Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers voor meer informatie.

Service-eindpunten

De implementatie van IPv6-ondersteuning in Microsoft Entra ID heeft geen invloed op azure Virtual Network-service-eindpunten. Service-eindpunten bieden nog steeds geen ondersteuning voor IPv6-verkeer. Zie Beperkingen van service-eindpunten voor virtuele netwerken voor meer informatie.

Microsoft Entra-verificatie testen via IPv6

U kunt Microsoft Entra-verificatie via IPv6 testen voordat we het wereldwijd inschakelen met behulp van de volgende procedures. Deze procedures helpen bij het valideren van IPv6-bereikconfiguraties. De aanbevolen methode is om een NRPT-regel (Name Resolution Policy Table) te gebruiken die naar uw Windows-apparaten die zijn toegevoegd aan Microsoft Entra. In Windows Server kunt u met NRPT een globaal of lokaal beleid implementeren waarmee DNS-omzettingspaden worden overschreven. Met deze functie kunt u DNS omleiden voor verschillende FQDN's (Fully Qualified Domain Names) naar speciale DNS-servers die zijn geconfigureerd voor IPv6 DNS-vermeldingen voor Microsoft Entra-aanmelding. Het is eenvoudig om NRPT-regels in en uit te schakelen met behulp van een PowerShell-script. U kunt Microsoft Intune gebruiken om deze functie naar clients te pushen.

Notitie

  • Microsoft verstrekt deze instructies alleen voor testdoeleinden. U moet de volgende configuraties voor mei 2023 verwijderen om ervoor te zorgen dat uw clients productie-DNS-servers gebruiken. De DNS-servers in de volgende procedures kunnen na mei 2023 buiten gebruik worden gesteld.

  • U wordt aangeraden de cmdlet Resolve-DnsName te gebruiken om NRPT-regels te valideren. Als u de opdracht nslookup gebruikt, kan het resultaat afwijken van de verschillen tussen deze hulpprogramma's.

  • Zorg ervoor dat u een open netwerkverbinding hebt op TCP- en UDP-poort 53 tussen uw clientapparaten en de DNS-servers die worden gebruikt voor de NRPT-regel.

Handmatig een NRPT-clientregel configureren - openbare cloud

  1. Open een PowerShell-console als beheerder (klik met de rechtermuisknop op het PowerShell-pictogram en selecteer Uitvoeren als-beheerder).

  2. Voeg een NRPT-regel toe door de volgende opdrachten uit te voeren:

    $DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
$params = @{
    Namespace = "login.microsoftonline.com"
    NameServers = $DnsServerIPs
    DisplayName = "AZURE-AD-NRPT"
}
Add-DnsClientNrptRule @params

  3. Controleer of uw client IPv6-antwoorden login.microsoftonline.com ophaalt door de cmdlet Resolve-DnsName uit te voeren. De uitvoer van de opdracht moet er ongeveer uitzien als de volgende tekst:

    PS C:\users\username> Resolve-DnsName login.microsoftonline.com
Name                          Type   TTL   Section    IPAddress 
----                          ----   ---   -------    --------- 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
login.microsoftonline.com     A      300   Answer     20.190.151.7 
login.microsoftonline.com     A      300   Answer     20.190.151.67 
login.microsoftonline.com     A      300   Answer     20.190.151.69 
login.microsoftonline.com     A      300   Answer     20.190.151.68 
login.microsoftonline.com     A      300   Answer     20.190.151.132 
login.microsoftonline.com     A      300   Answer     20.190.151.70 
login.microsoftonline.com     A      300   Answer     20.190.151.9 
login.microsoftonline.com     A      300   Answer     20.190.151.133

  4. Als u de NRPT-regel wilt verwijderen, voert u dit PowerShell-script uit:

    Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
} | Remove-DnsClientNrptRule -Force

Handmatig een NRPT-clientregel configureren - US Gov-cloud

Net als bij het script voor de openbare cloud maakt het volgende script een NRPT-regel voor het us Gov-aanmeldingseindpunt login.microsfotonline.us.

  1. Open een PowerShell-console als beheerder door met de rechtermuisknop op het PowerShell-pictogram te klikken en Uitvoeren als-beheerder te selecteren.

  2. Voeg een NRPT-regel toe door de volgende opdrachten uit te voeren:

    $DnsServers = (
    "ns1-35.azure-dns.com.",
    "ns2-35.azure-dns.net.",
    "ns3-35.azure-dns.org.",
    "ns4-35.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
$params = @{
    Namespace = "login.microsoftonline.us"
    NameServers = $DnsServerIPs
    DisplayName = "AZURE-AD-NRPT-USGOV"
}
Add-DnsClientNrptRule @params

NRPT-regel implementeren met Intune

Als u de NRPT-regel wilt implementeren op meerdere computers met intune, maakt u een Win32-app en wijst u deze toe aan een of meer apparaten.

Stap 1: De scripts maken

Maak een map en sla vervolgens de volgende installatie- en terugdraaiscripts (InstallScript.ps1 en RollbackScript.ps1) hierin op, zodat u het .intunewin-bestand kunt maken voor gebruik in de implementatie.

InstallScript.ps1
# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}
RollbackScript.ps1
# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}
DetectionScript.ps1

Sla het volgende script (DetectionScript.ps1) op een andere locatie op. Vervolgens kunt u verwijzen naar het detectiescript in de toepassing wanneer u het in Intune maakt.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}

Stap 2: De scripts verpakken als een .intunewin-bestand

Zie Win32-app-inhoud voorbereiden voor uploaden om een .intunewin-bestand te maken op basis van de map en scripts die u eerder hebt opgeslagen.

Stap 3: De Win32-toepassing maken

In de volgende instructies ziet u hoe u de benodigde Win32-toepassing maakt. Zie Een Win32-app toevoegen, toewijzen en bewaken in Microsoft Intune voor meer informatie.

  1. Meld u aan bij de Intune-portal.

  2. Selecteer Alle apps voor apps>en selecteer vervolgens + Toevoegen om een nieuwe Win32-app te maken.

  3. Selecteer in de vervolgkeuzelijst App-type Windows-app (Win32) en kies Selecteren.

  4. Klik op de pagina App-informatie op App-pakketbestand selecteren om het .intunewin-bestand te selecteren dat u eerder hebt gemaakt. Selecteer OK om door te gaan.

  5. Ga terug naar de pagina met app-gegevens en voer een beschrijvende naam, beschrijving en uitgever voor de toepassing in. Andere velden zijn optioneel. Selecteer Volgende om door te gaan.

  6. Voer op de pagina Programma de volgende gegevens in en selecteer Volgende.

    • Opdrachtreeks installeren:
      powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
    • Opdrachtreeks verwijderen:
      powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
    • Installatiegedrag:
      System

  7. Selecteer op de pagina Vereiste zowel besturingssysteemarchitecturen als stel minimumbesturingssysteem in op Windows 10 1607. Selecteer Volgende om door te gaan.

  8. Selecteer op de pagina Detectie een aangepast detectiescript gebruiken in de vervolgkeuzelijst Regelsindeling. Selecteer de bladerknop naast het vak Scriptbestand om het detectiescript te kiezen. Laat de resterende velden ongewijzigd als de standaardwaarden. Selecteer Volgende om door te gaan.

  9. Selecteer Volgende op de pagina Afhankelijkheden om door te gaan zonder wijzigingen.

  10. Selecteer Volgende op de pagina Supersedence (preview) om door te gaan zonder wijzigingen.

  11. Maak op de pagina Opdrachten opdrachten op basis van uw vereisten en selecteer vervolgens Volgende om door te gaan.

  12. Controleer de informatie één keer op de pagina Beoordelen en maken . Zodra u klaar bent met de validatie, selecteert u Maken om de toepassing te maken.

IPv6-adressen zoeken in aanmeldingslogboeken

Vergelijk met behulp van een of meer van de volgende methoden de lijst met IPv6-adressen met die adressen die u verwacht. Overweeg deze IPv6-adressen toe te voegen aan uw benoemde locaties en sommige indien van toepassing als vertrouwd te markeren. U hebt ten minste de rol Rapportlezer toegewezen om het aanmeldingslogboek te kunnen lezen.

Azure Portal

  1. Meld u aan bij Azure Portal als een rapportlezer, beveiligingslezer, globale lezer, beveiligingsbeheerder of andere rol met machtiging.
  2. Blader naar aanmeldingslogboeken voor Microsoft Entra-id's>.
  3. Selecteer + Filters IP-adres toevoegen>en selecteer Toepassen.
  4. Voeg in het vak Filteren op IP-adres een dubbele punt (:) in.
  5. U kunt deze lijst met logboekvermeldingen desgewenst downloaden naar JSON- of CSV-indeling voor verdere verwerking.

Log Analytics

Als uw organisatie Gebruikmaakt van Log Analytics, kunt u een query uitvoeren op IPv6-adressen in uw logboeken met behulp van de volgende query.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

Powershell

Organisaties kunnen het volgende PowerShell-script gebruiken om query's uit te voeren op de aanmeldingslogboeken van Microsoft Entra in Microsoft Graph PowerShell. Het script bevat een lijst met IPv6-adressen, samen met de toepassing en het aantal keren dat het wordt weergegeven.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Volgende stappen

Dit artikel wordt bijgewerkt. Hier volgt een korte koppeling die u kunt gebruiken om terug te komen voor bijgewerkte en nieuwe informatie: https://aka.ms/azureadipv6.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.