Поделиться через

Поддержка IPv6 в Microsoft Entra ID

  • Статья

Примечание.

Статья была полезной? Ваши входные данные важны для нас. Нажмите кнопку "Отзывы" на этой странице, чтобы сообщить нам, насколько хорошо эта статья работала для вас или как мы можем улучшить ее.

Мы рады привлечь поддержку IPv6 к идентификатору Microsoft Entra ID, чтобы поддерживать клиентов с повышенной мобильностью, и помочь сократить расходы на быстрые истощения, дорогие IPv4-адреса. Дополнительные сведения о том, как это изменение может повлиять на Microsoft 365, см. в разделе поддержки IPv6 в службах Microsoft 365.

Если сети вашей организации не поддерживают IPv6 сегодня, вы можете безопасно игнорировать эту информацию до тех пор, пока они не делают это.

Изменения

Теперь URL-адреса конечных точек службы разрешаются для возврата адресов IPv4 и IPv6. Если клиентская платформа или сеть поддерживает протокол IPv6, подключение в основном выполняется с использованием IPv6, при том условии, что сетевые прыжки, которые находятся между ними, такие как брандмауэры или веб-прокси, также поддерживают IPv6. Для сред, не поддерживающих протокол IPv6, клиентские приложения будут продолжать подключаться к идентификатору Microsoft Entra по протоколу IPv4.

Следующие функции также поддерживают адреса IPv6:

  • Именованные расположения
  • Политики условного доступа
  • Защита идентификации
  • Журналы входа

Когда IPv6 будет поддерживаться в идентификаторе Microsoft Entra?

Мы приступим к внедрению поддержки IPv6 для идентификатора Microsoft Entra в апреле 2023 года.

Мы знаем, что поддержка IPv6 является значительным изменением для некоторых организаций. Теперь мы публикуем эту информацию, чтобы клиенты могли планировать готовность.

Что нужно сделать моей организации?

Если у вас есть общедоступные IPv6-адреса, представляющие сеть, выполните действия, описанные в следующих разделах, как можно скорее.

Если клиенты не обновляют именованные расположения с этими IPv6-адресами, их пользователи будут заблокированы.

Снимок экрана: вход пользователя заблокирован из-за их сетевого расположения.

Необходимые действия

Именованные расположения

Именованные расположения совместно используются для многих функций, таких как условный доступ, защита идентификации и B2C. Клиенты должны сотрудничать со своими сетевыми администраторами и поставщиками услуг Интернета ,чтобы определить общедоступные IPv6-адреса. Затем клиенты должны использовать этот список для создания или обновления именованных расположений, чтобы включить их идентифицированные IPv6-адреса.

Условный доступ

При настройке политик условного доступа организации могут включать или исключать расположения в качестве условия. Эти именованные расположения могут включать общедоступные адреса IPv4 или IPv6, страны или региона или неизвестные области, которые не сопоставляют с определенными странами или регионами.

  • Если вы добавляете диапазоны IPv6 в существующее именованное расположение, используемое в существующих политиках условного доступа, изменения не требуются.
  • Если вы создаете новые именованные расположения для диапазонов IPv6 вашей организации, необходимо обновить соответствующие политики условного доступа с помощью этих новых расположений.

Облачные прокси-серверы и виртуальные частные сети (VPN)

При использовании облачного прокси-сервера политика, требующая гибридного соединения Microsoft Entra или устройства жалобы, может быть проще управлять. Хранение списка IP-адресов, используемых облачным прокси-сервером или VPN-решением, практически невозможно.

Многофакторная проверка подлинности Microsoft Entra на пользователя

Если вы являетесь клиентом, использующим многофакторную проверку подлинности на пользователя, вы добавили IPv4-адреса, представляющие локальные доверенные сети, используя доверенные IP-адреса вместо именованных расположений? Если у вас есть, может появиться запрос многофакторной проверки подлинности для запроса, инициированного через локальные точки исходящего трафика с поддержкой IPv6.

Использование многофакторной проверки подлинности на пользователя не рекомендуется, если только лицензии на идентификатор Microsoft Entra не включают условный доступ и не хотите использовать значения по умолчанию безопасности.

Ограничения исходящего трафика

Если ваша организация ограничивает исходящий сетевой трафик определенными диапазонами IP-адресов, необходимо обновить эти адреса, чтобы включить конечные точки IPv6. Администраторы могут найти эти диапазоны IP-адресов в следующих статьях:

Для диапазонов IP-адресов, указанных для идентификатора Microsoft Entra, убедитесь, что вы разрешаете исходящий доступ в прокси-сервере или брандмауэре.

Конфигурация устройств

По умолчанию трафик IPv6 и IPv4 поддерживается на платформах Windows и большинства других платформ операционной системы. Изменения стандартной конфигурации IPv6 могут привести к непредвиденным последствиям. Дополнительные сведения см. в руководстве по настройке IPv6 в Windows для расширенных пользователей.

Конечные точки служб

Реализация поддержки IPv6 в идентификаторе Microsoft Entra не влияет на конечные точки службы виртуальная сеть Azure. Конечные точки службы по-прежнему не поддерживают трафик IPv6. Дополнительные сведения см. в разделе "Ограничения конечных точек службы виртуальная сеть".

Проверка проверки подлинности Microsoft Entra по протоколу IPv6

Вы можете протестировать проверку подлинности Microsoft Entra по протоколу IPv6, прежде чем включить его по всему миру, используя следующие процедуры. Эти процедуры помогают проверить конфигурации диапазона IPv6. Рекомендуемый подход — использовать правило таблицы политик разрешения имен (NRPT), отправленное на устройства Windows, присоединенные к Microsoft Entra. В Windows Server NRPT позволяет реализовать глобальную или локальную политику, которая переопределяет пути разрешения DNS. С помощью этой функции можно перенаправить DNS для различных полных доменных имен (FQDN) на специальные DNS-серверы, настроенные для входа в систему Microsoft Entra. Просто включить и отключить правила NRPT с помощью скрипта PowerShell. Вы можете использовать Microsoft Intune для отправки этой функции клиентам.

Примечание.

  • Корпорация Майкрософт предоставляет эти инструкции только для тестирования. К мая 2023 г. необходимо удалить следующие конфигурации, чтобы убедиться, что клиенты используют рабочие DNS-серверы. DNS-серверы в следующих процедурах могут быть выведены из эксплуатации после мая 2023 года.

  • Мы рекомендуем использовать командлет Resolve-DnsName для проверки правил NRPT. Если вы используете команду nslookup , результат может отличаться, учитывая различия, которые существуют между этими инструментами.

  • Убедитесь, что вы открыли сетевое подключение через TCP и UDP-порт 53 между клиентскими устройствами и DNS-серверами, которые используются для правила NRPT.

Настройка правила NRPT клиента вручную — общедоступное облако

  1. Откройте консоль PowerShell от имени администратора (щелкните правой кнопкой мыши значок PowerShell и выберите " Запуск от имени администратора").

  2. Добавьте правило NRPT, выполнив следующие команды:

    $DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
$params = @{
    Namespace = "login.microsoftonline.com"
    NameServers = $DnsServerIPs
    DisplayName = "AZURE-AD-NRPT"
}
Add-DnsClientNrptRule @params

  3. Убедитесь, что клиент получает ответы IPv6 для login.microsoftonline.com выполнения командлета Resolve-DnsName . Выходные данные команды должны выглядеть следующим образом:

    PS C:\users\username> Resolve-DnsName login.microsoftonline.com
Name                          Type   TTL   Section    IPAddress 
----                          ----   ---   -------    --------- 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
login.microsoftonline.com     A      300   Answer     20.190.151.7 
login.microsoftonline.com     A      300   Answer     20.190.151.67 
login.microsoftonline.com     A      300   Answer     20.190.151.69 
login.microsoftonline.com     A      300   Answer     20.190.151.68 
login.microsoftonline.com     A      300   Answer     20.190.151.132 
login.microsoftonline.com     A      300   Answer     20.190.151.70 
login.microsoftonline.com     A      300   Answer     20.190.151.9 
login.microsoftonline.com     A      300   Answer     20.190.151.133

  4. Если вы хотите удалить правило NRPT, выполните следующий сценарий PowerShell:

    Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
} | Remove-DnsClientNrptRule -Force

Настройка правила NRPT клиента вручную — облако US Gov

Как и сценарий для общедоступного облака, следующий сценарий создает правило NRPT для конечной точки login.microsfotonline.usвхода в США Gov.

  1. Откройте консоль PowerShell от имени администратора, щелкнув правой кнопкой мыши значок PowerShell и выбрав "Запуск от имени администратора".

  2. Добавьте правило NRPT, выполнив следующие команды:

    $DnsServers = (
    "ns1-35.azure-dns.com.",
    "ns2-35.azure-dns.net.",
    "ns3-35.azure-dns.org.",
    "ns4-35.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
$params = @{
    Namespace = "login.microsoftonline.us"
    NameServers = $DnsServerIPs
    DisplayName = "AZURE-AD-NRPT-USGOV"
}
Add-DnsClientNrptRule @params

Развертывание правила NRPT с помощью Intune

Чтобы развернуть правило NRPT на нескольких компьютерах с помощью Intune, создайте приложение Win32 и назначьте его одному или нескольким устройствам.

Шаг 1. Создание скриптов

Создайте папку, а затем сохраните в ней следующие скрипты установки и отката (InstallScript.ps1 и RollbackScript.ps1), чтобы создать intunewin-файл для использования в развертывании.

InstallScript.ps1
# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}
RollbackScript.ps1
# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}
DetectionScript.ps1

Сохраните следующий скрипт (DetectionScript.ps1) в другом расположении. Затем можно ссылаться на скрипт обнаружения в приложении при его создании в Intune.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}

Шаг 2. Упаковка скриптов в виде intunewin-файла

Сведения о том, как подготовить содержимое приложения Win32 для отправки , чтобы создать intunewin-файл из папки и скриптов, сохраненных ранее.

Шаг 3. Создание приложения Win32

В следующих инструкциях показано, как создать необходимое приложение Win32. Дополнительные сведения см. в статье "Добавление, назначение и мониторинг приложения Win32" в Microsoft Intune.

  1. Войдите на портал Intune.

  2. Выберите "Все>приложения" и нажмите кнопку "+ Добавить", чтобы создать новое приложение Win32.

  3. В раскрывающемся списке "Тип приложения" выберите приложение Windows (Win32) и нажмите кнопку "Выбрать".

  4. На странице сведений о приложении щелкните "Выбрать файл пакета приложения", чтобы выбрать созданный ранее файл intunewin. Для продолжения выберите ОК.

  5. Вернитесь на страницу сведений о приложении, а затем введите описательное имя, описание и издатель приложения. Другие поля являются необязательными. Выберите Далее для продолжения.

  6. На странице "Программа" введите следующие сведения и нажмите кнопку "Далее".

    • Установите командную строку:
      powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
    • Удалите командную строку:
      powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
    • Поведение установки:
      System

  7. На странице "Требование" выберите архитектуры операционной системы и установите минимальную операционную систему в Windows 10 1607. Выберите Далее для продолжения.

  8. На странице обнаружения выберите "Использовать настраиваемый скрипт обнаружения" в раскрывающемся списке "Правила". Нажмите кнопку обзора рядом с полем "Скрипт ", чтобы выбрать скрипт обнаружения. Оставьте оставшиеся поля в качестве значений по умолчанию. Выберите Далее для продолжения.

  9. Нажмите кнопку "Далее" на странице зависимостей, чтобы продолжить работу без каких-либо изменений.

  10. Нажмите кнопку "Далее" на странице замены (предварительная версия), чтобы продолжить работу без каких-либо изменений.

  11. На странице "Назначения" создайте назначения на основе ваших требований и нажмите кнопку "Далее".

  12. Просмотрите сведения один последний раз на странице проверки и создания . После завершения проверки нажмите кнопку "Создать ", чтобы создать приложение.

Поиск адресов IPv6 в журналах входа

Используя один или несколько следующих методов, сравните список адресов IPv6 с ожидаемыми адресами. Попробуйте добавить эти IPv6-адреса в именованные расположения и пометить некоторые как доверенные в случае необходимости. Для чтения журнала входа требуется по крайней мере роль читателя отчетов.

Портал Azure

  1. Войдите в портал Azure как читатель отчетов, читатель безопасности, глобальный читатель, администратор безопасности или другая роль с разрешением.
  2. Перейдите к журналам входа в систему идентификатора>Microsoft Entra.
  3. Выберите +Добавить IP-адрес фильтров>и нажмите кнопку "Применить".
  4. В поле "Фильтр по IP-адресу" вставьте двоеточие (:).
  5. При необходимости скачайте этот список записей журнала в формат JSON или CSV для дальнейшей обработки.

Служба Log Analytics

Если ваша организация использует Log Analytics, вы можете запросить адреса IPv6 в журналах с помощью следующего запроса.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Организации могут использовать следующий скрипт PowerShell для запроса журналов входа Microsoft Entra в Microsoft Graph PowerShell. Скрипт предоставляет список адресов IPv6 вместе с приложением и числом отображаемых адресов.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Следующие шаги

Мы будем обновлять эту статью. Ниже приведена краткая ссылка, которую можно использовать для возврата для обновленных и новых сведений: https://aka.ms/azureadipv6

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.