Käll-IP-återställning

Med en molnbaserad nätverksproxy mellan användare och deras resurser matchar inte IP-adressen som resurserna ser den faktiska käll-IP-adressen. I stället för slutanvändarnas käll-IP ser resursslutpunkterna molnproxyn som källans IP-adress. Kunder med dessa molnproxylösningar kan inte använda den här käll-IP-informationen.

Käll-IP-återställning i Global Säker åtkomst gör det möjligt för Microsoft Entra-kunder att fortsätta använda den ursprungliga användarens käll-IP. Administratörer kan dra nytta av följande funktioner:

• Fortsätt att framtvinga IP-baserade källplatsprinciper för både villkorlig åtkomst och utvärdering av kontinuerlig åtkomst.
• Microsoft Entra ID Protection-riskidentifieringar får en konsekvent vy över den ursprungliga användarens käll-IP-adress för att utvärdera olika riskpoäng.
• Käll-IP-adressen för den ursprungliga användaren görs också tillgänglig i Inloggningsloggarna för Microsoft Entra.

Förutsättningar

• Administratörer som interagerar med funktioner för global säker åtkomst måste ha båda följande rolltilldelningar beroende på vilka uppgifter de utför.
  • Rollen Global administratör för säker åtkomst för att hantera funktionerna för global säker åtkomst.
  • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
• Produkten kräver licensiering. Mer information finns i avsnittet om licensiering i Vad är global säker åtkomst. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

När käll-IP-återställning är aktiverat kan du bara se käll-IP-adressen. IP-adressen för tjänsten Global säker åtkomst visas inte. Om du vill se IP-adressen för tjänsten Global säker åtkomst inaktiverar du återställning av käll-IP.

Käll-IP-återställning stöds för närvarande endast för Microsoft-trafik, till exempel SharePoint Online, Exchange Online, Teams och Microsoft Graph. Om du har ip-platsbaserade principer för villkorsstyrd åtkomst för icke-Microsoft-resurser som skyddas av utvärdering av kontinuerlig åtkomst (CAE) utvärderas inte dessa principer på resursen eftersom källans IP-adress inte är känd för resursen.

Om du använder CAE:s strikta platstillämpning blockeras användarna trots att de är i ett betrott IP-intervall. Lös det här villkoret genom att göra något av följande rekommendationer:

• Om du har IP-platsbaserade principer för villkorsstyrd åtkomst som riktar sig till resurser som inte kommer från Microsoft ska du inte aktivera strikt platstillämpning.
• Kontrollera att trafiken stöds av käll-IP-återställning eller skicka inte relevant trafik via global säker åtkomst.

Aktivera global signal för säker åtkomst för villkorlig åtkomst

Om du vill aktivera den obligatoriska inställningen för att tillåta återställning av käll-IP måste en administratör utföra följande steg.

1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
2. Bläddra till Globala inställningar för säker åtkomst>>Sessionshantering>Anpassningsbar åtkomst.
3. Ställ in reglaget till att Aktivera signalering för Global säker åtkomst i villkorsstyrd åtkomst.

Med den här funktionen kan tjänster som Microsoft Graph, Microsoft Entra ID, SharePoint Online och Exchange Online se den faktiska käll-IP-adressen.

Varning

Om din organisation har aktiva principer för villkorlig åtkomst baserat på IP-platskontroller och du inaktiverar global signal om säker åtkomst i villkorsstyrd åtkomst kan du oavsiktligt blockera målanvändare från att komma åt resurserna. Om du måste inaktivera den här funktionen tar du först bort motsvarande principer för villkorsstyrd åtkomst.

Inloggningsloggbeteende

Administratörer kan vidta följande steg för att se hur käll-IP-återställningen fungerar.

1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
2. Bläddra till Identitetsanvändare>>Alla användare> väljer en av testanvändarna >Inloggningsloggar.
3. När käll-IP-återställning är aktiverat ser du IP-adresser som innehåller deras faktiska IP-adress.
   • Om käll-IP-återställning har inaktiverats kan du inte se deras faktiska IP-adress.

Inloggningsloggdata kan ta lite tid att visa att den här fördröjningen är normal eftersom det finns viss bearbetning som måste utföras.

Relaterat innehåll

• Konfigurera klientbegränsningar v2 (förhandsversion)
• Aktivera kompatibel nätverkskontroll med villkorsstyrd åtkomst
• Strikt framtvinga platsprinciper med kontinuerlig åtkomstutvärdering