Obsługa protokołu IPv6 w usłudze Microsoft Entra ID

Uwaga 16.

Czy ten artykuł był pomocny? Twoje dane wejściowe są dla nas ważne. Użyj przycisku Opinie na tej stronie, aby poinformować nas, jak dobrze działa ten artykuł lub jak możemy go ulepszyć.

Z przyjemnością wprowadzamy obsługę protokołu IPv6 do identyfikatora Entra firmy Microsoft, aby wspierać klientów ze zwiększoną mobilnością i zmniejszyć wydatki na szybkie wyczerpanie, kosztowne adresy IPv4. Aby uzyskać więcej informacji na temat wpływu tej zmiany na platformę Microsoft 365, zobacz Obsługa protokołu IPv6 w usługach platformy Microsoft 365.

Jeśli sieci organizacji nie obsługują obecnie protokołu IPv6, możesz bezpiecznie zignorować te informacje do czasu, w którym to zrobią.

Co się zmienia?

Adresy URL punktów końcowych naszej usługi będą teraz rozpoznawane w celu zwrócenia zarówno adresów IPv4, jak i IPv6. Jeśli platforma kliencka lub sieć obsługuje protokół IPv6, połączenie będzie w większości podejmowane przy użyciu protokołu IPv6 przy założeniu, że przeskoki sieciowe, które znajdują się między nimi, takie jak zapory lub internetowe serwery proxy, obsługują również protokół IPv6. W przypadku środowisk, które nie obsługują protokołu IPv6, aplikacje klienckie będą nadal łączyć się z usługą Microsoft Entra ID za pośrednictwem protokołu IPv4.z

Następujące funkcje będą również obsługiwać adresy protokołu IPv6:

• Nazwane lokalizacje
• Zasady dostępu warunkowego
• Identity Protection
• Dzienniki logowania

Kiedy protokół IPv6 będzie obsługiwany w identyfikatorze Entra firmy Microsoft?

W kwietniu 2023 r. zaczniemy wprowadzać obsługę protokołu IPv6 do identyfikatora Entra firmy Microsoft.

Wiemy, że obsługa protokołu IPv6 jest znaczącą zmianą w niektórych organizacjach. Publikujemy te informacje teraz, aby klienci mogli planować gotowość.

Co moja organizacja musi zrobić?

Jeśli masz publiczne adresy IPv6 reprezentujące sieć, wykonaj akcje opisane w poniższych sekcjach tak szybko, jak to możliwe.

Jeśli klienci nie aktualizują swoich nazwanych lokalizacji przy użyciu tych adresów IPv6, ich użytkownicy będą blokowani.

Czynności do wykonania

• Testowanie uwierzytelniania w usłudze Microsoft Entra za pośrednictwem protokołu IPv6
• Znajdowanie adresów IPv6 w dziennikach logowania
• Tworzenie lub aktualizowanie nazwanych lokalizacji w celu uwzględnienia zidentyfikowanych adresów IPv6

Nazwane lokalizacje

Nazwane lokalizacje są współdzielone między wieloma funkcjami, takimi jak dostęp warunkowy, usługa Identity Protection i usługa B2C. Klienci powinni współpracować z administratorami sieci i dostawcami usług internetowych w celu zidentyfikowania publicznych adresów IPv6. Klienci powinni następnie używać tej listy do tworzenia lub aktualizowania nazwanych lokalizacji w celu uwzględnienia zidentyfikowanych adresów IPv6.

Dostęp warunkowy

Podczas konfigurowania zasad dostępu warunkowego organizacje mogą wybrać opcję dołączania lub wykluczania lokalizacji jako warunku. Te nazwane lokalizacje mogą obejmować publiczne adresy IPv4 lub IPv6, kraj lub region albo nieznane obszary, które nie są mapujące na określone kraje lub regiony.

• Jeśli dodasz zakresy IPv6 do istniejącej nazwanej lokalizacji, używane w istniejących zasadach dostępu warunkowego, nie są wymagane żadne zmiany.
• Jeśli tworzysz nowe nazwane lokalizacje dla zakresów IPv6 organizacji, musisz zaktualizować odpowiednie zasady dostępu warunkowego przy użyciu tych nowych lokalizacji.

Serwery proxy chmury i sieci VPN

Jeśli serwer proxy w chmurze jest zainstalowany, można łatwiej zarządzać zasadami, które wymagają dołączonego hybrydowego urządzenia firmy Microsoft Entra lub urządzenia do skargi. Aktualizowanie listy adresów IP używanych przez serwer proxy hostowany w chmurze lub rozwiązanie sieci VPN może być prawie niemożliwe.

Uwierzytelnianie wieloskładnikowe firmy Microsoft entra dla użytkownika

Jeśli jesteś klientem korzystającym z uwierzytelniania wieloskładnikowego dla użytkownika, czy dodano adresy IPv4 reprezentujące lokalne zaufane sieci przy użyciu zaufanych adresów IP zamiast nazwanych lokalizacji? Jeśli masz, może zostać wyświetlony monit o uwierzytelnianie wieloskładnikowe dla żądania zainicjowanego za pośrednictwem lokalnych punktów ruchu wychodzącego z obsługą protokołu IPv6.

Korzystanie z uwierzytelniania wieloskładnikowego dla użytkownika nie jest zalecane, chyba że licencje identyfikatora Entra firmy Microsoft nie zawierają dostępu warunkowego i nie chcesz używać wartości domyślnych zabezpieczeń.

Ograniczenia ruchu wychodzącego

Jeśli twoja organizacja ogranicza ruch sieciowy wychodzący do określonych zakresów adresów IP, musisz zaktualizować te adresy, aby uwzględnić punkty końcowe IPv6. Administratorzy mogą znaleźć te zakresy adresów IP w następujących artykułach:

• Zakresy adresów URL i IP usługi Office 365
• Microsoft Entra Connect: rozwiązywanie problemów z łącznością firmy Microsoft

W przypadku zakresów adresów IP określonych dla identyfikatora Entra firmy Microsoft upewnij się, że zezwalasz na dostęp wychodzący na serwerze proxy lub zaporze.

Konfiguracja urządzenia

Domyślnie ruch IPv6 i IPv4 jest obsługiwany na systemach Windows i na większości innych platform systemu operacyjnego. Zmiany standardowej konfiguracji protokołu IPv6 mogą spowodować niezamierzone konsekwencje. Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące konfigurowania protokołu IPv6 w systemie Windows dla użytkowników zaawansowanych.

Punkty końcowe usługi

Implementacja obsługi protokołu IPv6 w identyfikatorze Entra firmy Microsoft nie wpłynie na punkty końcowe usługi Azure Virtual Network. Punkty końcowe usługi nadal nie obsługują ruchu IPv6. Aby uzyskać więcej informacji, zobacz Ograniczenia punktów końcowych usługi sieci wirtualnej.

Testowanie uwierzytelniania w usłudze Microsoft Entra za pośrednictwem protokołu IPv6

Możesz przetestować uwierzytelnianie firmy Microsoft Entra za pośrednictwem protokołu IPv6, zanim włączymy je na całym świecie, korzystając z poniższych procedur. Te procedury ułatwiają weryfikowanie konfiguracji zakresów IPv6. Zalecaną metodą jest użycie reguły tabeli zasad rozpoznawania nazw (NRPT) wypychanej do urządzeń z systemem Windows dołączonych do firmy Microsoft. W systemie Windows Server funkcja NRPT umożliwia zaimplementowanie globalnych lub lokalnych zasad, które zastępują ścieżki rozpoznawania nazw DNS. Dzięki tej funkcji można przekierować system DNS dla różnych w pełni kwalifikowanych nazw domen (FQDN) do specjalnych serwerów DNS skonfigurowanych do posiadania wpisów DNS IPv6 dla logowania Microsoft Entra. Proste jest włączanie i wyłączanie reguł NRPT przy użyciu skryptu programu PowerShell. Za pomocą usługi Microsoft Intune możesz wypchnąć tę funkcję do klientów.

Uwaga 16.

• Firma Microsoft udostępnia te instrukcje tylko do celów testowych. Aby upewnić się, że klienci korzystają z produkcyjnych serwerów DNS, należy usunąć następujące konfiguracje do maja 2023 r. Serwery DNS w poniższych procedurach mogą zostać zlikwidowane po maju 2023 r.

• Zalecamy użycie polecenia cmdlet Resolve-DnsName w celu zweryfikowania reguł NRPT. Jeśli używasz polecenia nslookup , wynik może być inny, biorąc pod uwagę różnice, które istnieją między tymi narzędziami.

• Upewnij się, że masz otwartą łączność sieciową na porcie TCP i UDP 53 między urządzeniami klienckimi a serwerami DNS używanymi dla reguły NRPT.

Ręczne konfigurowanie reguły NRPT klienta — chmura publiczna

1. Otwórz konsolę programu PowerShell jako administrator (kliknij prawym przyciskiem myszy ikonę programu PowerShell i wybierz polecenie Uruchom jako administrator).

2. Dodaj regułę NRPT, uruchamiając następujące polecenia:

   $DnsServers = (
       "ns1-37.azure-dns.com.",
       "ns2-37.azure-dns.net.",
       "ns3-37.azure-dns.org.",
       "ns4-37.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.com"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT"
   }
   Add-DnsClientNrptRule @params
   

3. Sprawdź, czy klient pobiera odpowiedzi IPv6 dla programu login.microsoftonline.com , uruchamiając polecenie cmdlet Resolve-DnsName . Dane wyjściowe polecenia powinny przypominać następujący tekst:

   PS C:\users\username> Resolve-DnsName login.microsoftonline.com
   Name                          Type   TTL   Section    IPAddress 
   ----                          ----   ---   -------    --------- 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
   login.microsoftonline.com     A      300   Answer     20.190.151.7 
   login.microsoftonline.com     A      300   Answer     20.190.151.67 
   login.microsoftonline.com     A      300   Answer     20.190.151.69 
   login.microsoftonline.com     A      300   Answer     20.190.151.68 
   login.microsoftonline.com     A      300   Answer     20.190.151.132 
   login.microsoftonline.com     A      300   Answer     20.190.151.70 
   login.microsoftonline.com     A      300   Answer     20.190.151.9 
   login.microsoftonline.com     A      300   Answer     20.190.151.133 
   

4. Jeśli chcesz usunąć regułę NRPT, uruchom ten skrypt programu PowerShell:

   Get-DnsClientNrptRule | Where-Object {
       $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
   } | Remove-DnsClientNrptRule -Force
   

Ręczne konfigurowanie reguły NRPT klienta — chmura US Gov

Podobnie jak w skrypcie dla chmury publicznej, poniższy skrypt tworzy regułę NRPT dla punktu końcowego login.microsfotonline.uslogowania US Gov.

1. Otwórz konsolę programu PowerShell jako administrator, klikając prawym przyciskiem myszy ikonę programu PowerShell i wybierając polecenie Uruchom jako administrator.

2. Dodaj regułę NRPT, uruchamiając następujące polecenia:

   $DnsServers = (
       "ns1-35.azure-dns.com.",
       "ns2-35.azure-dns.net.",
       "ns3-35.azure-dns.org.",
       "ns4-35.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.us"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT-USGOV"
   }
   Add-DnsClientNrptRule @params
   

Wdrażanie reguły NRPT za pomocą usługi Intune

Aby wdrożyć regułę NRPT na wielu maszynach przy użyciu usługi Intune, utwórz aplikację Win32 i przypisz ją do co najmniej jednego urządzenia.

Krok 1. Tworzenie skryptów

Utwórz folder, a następnie zapisz w nim następujące skrypty instalacji i wycofywania (InstallScript.ps1 i RollbackScript.ps1), aby można było utworzyć plik intunewin do użycia we wdrożeniu.

InstallScript.ps1

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}  

RollbackScript.ps1

# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}

DetectionScript.ps1

Zapisz następujący skrypt (DetectionScript.ps1) w innej lokalizacji. Następnie możesz odwołać się do skryptu wykrywania w aplikacji podczas tworzenia go w usłudze Intune.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}  

Krok 2. Spakuj skrypty jako plik intunewin

Zobacz Przygotowywanie zawartości aplikacji Win32 do przekazania , aby utworzyć plik intunewin z folderu i zapisanych wcześniej skryptów.

Krok 3. Tworzenie aplikacji Win32

Poniższe instrukcje pokazują, jak utworzyć niezbędną aplikację Win32. Aby uzyskać więcej informacji, zobacz Dodawanie, przypisywanie i monitorowanie aplikacji Win32 w usłudze Microsoft Intune.

1. Zaloguj się do portalu usługi Intune.

2. Wybierz pozycję Aplikacje>Wszystkie aplikacje, a następnie wybierz pozycję + Dodaj, aby utworzyć nową aplikację Win32.

3. Z listy rozwijanej Typ aplikacji wybierz pozycję Aplikacja systemu Windows (Win32), a następnie wybierz pozycję Wybierz.

4. Na stronie Informacje o aplikacji kliknij pozycję Wybierz plik pakietu aplikacji, aby wybrać utworzony wcześniej plik intunewin. Naciśnij OK, aby kontynuować.

5. Wróć do strony Informacje o aplikacji, a następnie wprowadź opisową nazwę, opis i wydawcę dla aplikacji. Inne pola są opcjonalne. Wybierz przycisk Dalej, aby kontynuować.

6. Na stronie Program wprowadź następujące informacje i wybierz przycisk Dalej.

   • Zainstaluj ciąg polecenia :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
   • Odinstalowywanie ciągu polecenia :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
   • Zachowanie instalacji:
     System

7. Na stronie Wymaganie wybierz zarówno architektury systemu operacyjnego, jak i ustaw pozycję Minimalny system operacyjny na Windows 10 1607. Wybierz przycisk Dalej, aby kontynuować.

8. Na stronie Wykrywanie wybierz pozycję Użyj niestandardowego skryptu wykrywania z listy rozwijanej Format reguł. Wybierz przycisk przeglądania obok pola Plik skryptu, aby wybrać skrypt wykrywania. Pozostaw pozostałe pola jako wartości domyślne. Wybierz przycisk Dalej, aby kontynuować.

9. Wybierz przycisk Dalej na stronie Zależności , aby kontynuować bez żadnych zmian.

10. Wybierz pozycję Dalej na stronie Zastępowanie (wersja zapoznawcza), aby kontynuować bez żadnych zmian.

11. Na stronie Przypisania utwórz przypisania na podstawie wymagań, a następnie wybierz przycisk Dalej, aby kontynuować.

12. Przejrzyj informacje po raz ostatni na stronie Przeglądanie i tworzenie . Po zakończeniu walidacji wybierz pozycję Utwórz , aby utworzyć aplikację.

Znajdowanie adresów IPv6 w dziennikach logowania

Korzystając z co najmniej jednej z poniższych metod, porównaj listę adresów IPv6 z oczekiwanymi adresami. Rozważ dodanie tych adresów IPv6 do nazwanych lokalizacji i oznaczenie niektórych jako zaufanych tam, gdzie jest to konieczne. Aby odczytać dziennik logowania, musisz mieć przypisaną co najmniej rolę Czytelnik raportów.

Azure Portal

1. Zaloguj się do witryny Azure Portal jako czytelnik raportów, czytelnik zabezpieczeń, czytelnik globalny, administrator zabezpieczeń lub inna rola z uprawnieniami.
2. Przejdź do dzienników logowania identyfikatora entra>firmy Microsoft.
3. Wybierz pozycję + Dodaj adres IP filtrów>i wybierz pozycję Zastosuj.
4. W polu Filtruj według adresu IP wstaw dwukropek (:).
5. Opcjonalnie pobierz tę listę wpisów dziennika do formatu JSON lub CSV w celu dalszego przetwarzania.

Log Analytics

Jeśli twoja organizacja korzysta z usługi Log Analytics, możesz wykonywać zapytania dotyczące adresów IPv6 w dziennikach przy użyciu następującego zapytania.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Organizacje mogą używać następującego skryptu programu PowerShell do wykonywania zapytań dotyczących dzienników logowania firmy Microsoft w programie Microsoft Graph PowerShell. Skrypt zawiera listę adresów IPv6 wraz z aplikacją i liczbą wyświetlanych wystąpień.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Następne kroki

Ten artykuł zostanie zaktualizowany. Oto krótki link, którego można użyć, aby wrócić do zaktualizowanych i nowych informacji: https://aka.ms/azureadipv6.

• Używanie warunku lokalizacji w zasadach dostępu warunkowego
• Dostęp warunkowy: blokowanie dostępu według lokalizacji
• Znajdowanie pomocy i uzyskiwanie pomocy technicznej dla identyfikatora Entra firmy Microsoft

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.