Udostępnij za pośrednictwem


Przywracanie źródłowego adresu IP

Dzięki serwerowi proxy sieci opartej na chmurze między użytkownikami i ich zasobami adres IP, który widzi zasoby, nie jest zgodny z rzeczywistym źródłowym adresem IP. Zamiast źródłowego adresu IP użytkowników końcowych punkty końcowe zasobów widzą serwer proxy chmury jako źródłowy adres IP. Klienci z tymi rozwiązaniami serwera proxy w chmurze nie mogą używać tych źródłowych informacji o adresach IP.

Przywracanie źródłowego adresu IP w globalnym bezpiecznym dostępie umożliwia zgodność z poprzednimi wersjami dla klientów firmy Microsoft Entra w celu kontynuowania korzystania z oryginalnego adresu IP źródłowego użytkownika. Administratorzy mogą korzystać z następujących możliwości:

Wymagania wstępne

  • Administratorzy, którzy wchodzą w interakcje z funkcjami globalnego bezpiecznego dostępu , muszą mieć oba następujące przypisania ról w zależności od wykonywanych zadań.
    • Rola Administratora globalnego bezpiecznego dostępu do zarządzania funkcjami globalnego bezpiecznego dostępu.
    • Administrator dostępu warunkowego do tworzenia zasad dostępu warunkowego i interakcji z nimi.
  • Produkt wymaga licencjonowania. Aby uzyskać szczegółowe informacje, zobacz sekcję licencjonowania Co to jest globalny bezpieczny dostęp. W razie potrzeby możesz kupić licencje lub uzyskać licencje próbne.

Znane ograniczenia

Po włączeniu przywracania źródłowego adresu IP można zobaczyć tylko źródłowy adres IP. Adres IP usługi Global Secure Access nie jest widoczny. Jeśli chcesz wyświetlić adres IP usługi Global Secure Access, wyłącz przywracanie źródłowego adresu IP.

Przywracanie źródłowego adresu IP jest obecnie obsługiwane tylko dla ruchu firmy Microsoft, takiego jak SharePoint Online, Exchange Online, Teams i Microsoft Graph. Jeśli masz jakiekolwiek zasady dostępu warunkowego opartego na lokalizacji IP dla zasobów innych niż Microsoft chronionych przez ciągłą ocenę dostępu (CAE), te zasady nie są oceniane w zasobie, ponieważ źródłowy adres IP nie jest znany zasobowi.

Jeśli używasz ścisłego wymuszania lokalizacji caE, użytkownicy są blokowani, mimo że znajdują się w zaufanym zakresie adresów IP. Aby rozwiązać ten problem, wykonaj jedną z następujących rekomendacji:

  • Jeśli masz zasady dostępu warunkowego opartego na lokalizacji IP przeznaczone dla zasobów innych niż Microsoft, nie włączaj ścisłego wymuszania lokalizacji.
  • Upewnij się, że ruch jest obsługiwany przez przywracanie źródłowego adresu IP lub nie wysyłaj odpowiedniego ruchu za pośrednictwem globalnego bezpiecznego dostępu.

Włączanie globalnego sygnalizowania bezpiecznego dostępu dla dostępu warunkowego

Aby włączyć wymagane ustawienie zezwalania na przywracanie źródłowego adresu IP, administrator musi wykonać następujące czynności.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako administrator globalnego bezpiecznego dostępu.
  2. Przejdź do pozycji Global Secure Access Settings>Management Adaptacyjny dostęp do zarządzania sesjami.>>
  3. Wybierz przełącznik, aby Włączyć sygnalizację globalnego bezpiecznego dostępu w dostępie warunkowym.

Ta funkcja umożliwia usługom takim jak Microsoft Graph, Microsoft Entra ID, SharePoint Online i Exchange Online wyświetlanie rzeczywistego źródłowego adresu IP.

Zrzut ekranu przedstawiający przełącznik umożliwiający włączenie sygnalizowania w dostępie warunkowym.

Uwaga

Jeśli twoja organizacja ma aktywne zasady dostępu warunkowego na podstawie kontroli lokalizacji IP i wyłączysz globalne sygnalizowanie bezpiecznego dostępu w dostępie warunkowym, możesz przypadkowo zablokować użytkownikom końcowym dostęp do zasobów. Jeśli musisz wyłączyć tę funkcję, najpierw usuń wszystkie odpowiednie zasady dostępu warunkowego.

Zachowanie dziennika logowania

Aby zobaczyć, jak działa przywracanie źródłowego adresu IP, administratorzy mogą wykonać następujące czynności.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako czytelnik zabezpieczeń.
  2. Przejdź do pozycji Użytkownicy tożsamości>>Wszyscy użytkownicy> wybierają jeden z użytkowników testowych >logowań.
  3. Po włączeniu przywracania źródłowego adresu IP zobaczysz adresy IP, które zawierają ich rzeczywisty adres IP.
    • Jeśli przywracanie źródłowego adresu IP jest wyłączone, nie można zobaczyć ich rzeczywistego adresu IP.

Dane dziennika logowania mogą zająć trochę czasu, aby zobaczyć, że to opóźnienie jest normalne, ponieważ konieczne jest pewne przetwarzanie.

Zrzut ekranu przedstawiający dzienniki logowania z zdarzeniami z włączonym przywracaniem źródłowego adresu IP, a następnie wyłączonym, a następnie włączonym ponownie.