IPv6-stöd i Microsoft Entra ID
Kommentar
Var den här artikeln till hjälp? Dina indata är viktiga för oss. Använd feedbackknappen på den här sidan för att informera oss om hur bra den här artikeln fungerade för dig eller hur vi kan förbättra den.
Vi är glada över att kunna ge IPv6-support till Microsoft Entra-ID för att stödja kunder med ökad rörlighet och bidra till att minska utgifterna för snabbt utarmade och dyra IPv4-adresser. Mer information om hur den här ändringen kan påverka Microsoft 365 finns i IPv6-support i Microsoft 365-tjänster.
Om organisationens nätverk inte stöder IPv6 idag kan du ignorera den här informationen tills de gör det.
Vad förändras?
Våra URL:er för tjänstslutpunkter kommer nu att matcha för att returnera både IPv4- och IPv6-adresser. Om en klientplattform eller -nätverk stöder IPv6 kommer anslutningen främst att utföras med IPv6, förutsatt att nätverkshoppen som finns däremellan (till exempel brandväggar eller webbproxyservrar) också stöder IPv6. För miljöer som inte stöder IPv6 fortsätter klientprogram att ansluta till Microsoft Entra ID via IPv4.
Följande funktioner stöder även IPv6-adresser:
- Namngivna platser
- Principer för villkorlig åtkomst
- Identity Protection
- Inloggningsloggar
När stöds IPv6 i Microsoft Entra-ID?
Vi börjar introducera IPv6-support för Microsoft Entra-ID i april 2023.
Vi vet att IPv6-stöd är en betydande förändring för vissa organisationer. Vi publicerar den här informationen nu så att kunderna kan planera för att säkerställa beredskap.
Vad måste min organisation göra?
Om du har offentliga IPv6-adresser som representerar nätverket vidtar du de åtgärder som beskrivs i följande avsnitt så snart som möjligt.
Om kunderna inte uppdaterar sina namngivna platser med dessa IPv6-adresser blockeras deras användare.
Åtgärder du kan vidta
- Testa Microsoft Entra-autentisering via IPv6
- Hitta IPv6-adresser i inloggningsloggar
- Skapa eller uppdatera namngivna platser för att inkludera identifierade IPv6-adresser
Namngivna platser
Namngivna platser delas mellan många funktioner, till exempel villkorlig åtkomst, identitetsskydd och B2C. Kunder bör samarbeta med sina nätverksadministratörer och Internetleverantörer för att identifiera sina offentliga IPv6-adresser. Kunder bör sedan använda den här listan för att skapa eller uppdatera namngivna platser för att inkludera sina identifierade IPv6-adresser.
Villkorlig åtkomst
När du konfigurerar principer för villkorlig åtkomst kan organisationer välja att inkludera eller exkludera platser som ett villkor. Dessa namngivna platser kan innehålla offentliga IPv4- eller IPv6-adresser, land eller region eller okända områden som inte mappas till specifika länder eller regioner.
- Om du lägger till IPv6-intervall till en befintlig namngiven plats, som används i befintliga principer för villkorlig åtkomst, krävs inga ändringar.
- Om du skapar nya namngivna platser för organisationens IPv6-intervall måste du uppdatera relevanta principer för villkorsstyrd åtkomst med dessa nya platser.
Molnproxy och VPN
När en molnproxy är på plats kan en princip som kräver en Microsoft Entra-hybridanslutning eller klagomålsenhet vara enklare att hantera. Det kan vara nästan omöjligt att hålla en lista över IP-adresser som används av din molnbaserade proxy eller VPN-lösning uppdaterad.
Microsoft Entra-multifaktorautentisering per användare
Om du är en kund som använder multifaktorautentisering per användare, har du lagt till IPv4-adresser som representerar lokala betrodda nätverk med betrodda IP-adresser i stället för namngivna platser? Om du har det kan du se en fråga om multifaktorautentisering för en begäran som initierades via lokala IPv6-aktiverade utgående punkter.
Användning av multifaktorautentisering per användare rekommenderas inte, såvida inte dina Microsoft Entra-ID-licenser inte innehåller villkorsstyrd åtkomst och du inte vill använda standardinställningar för säkerhet.
Begränsningar för utgående trafik
Om din organisation begränsar utgående nätverkstrafik till specifika IP-intervall måste du uppdatera dessa adresser så att de inkluderar IPv6-slutpunkter. Administratörer kan hitta dessa IP-intervall i följande artiklar:
- URL-adresser och IP-adressintervall för Office 365
- Microsoft Entra Connect: Felsöka anslutningsproblem med Microsoft Entra
För DE IP-intervall som har angetts för Microsoft Entra-ID kontrollerar du att du tillåter utgående åtkomst i proxyn eller brandväggen.
Enhetskonfiguration
Som standard stöds både IPv6- och IPv4-trafik på Windows och de flesta andra operativsystemplattformar (OS). Ändringar i IPv6-standardkonfigurationen kan leda till oavsiktliga konsekvenser. Mer information finns i Vägledning för att konfigurera IPv6 i Windows för avancerade användare.
Tjänstslutpunkter
Implementeringen av IPv6-stöd i Microsoft Entra-ID påverkar inte tjänstslutpunkterna för Azure Virtual Network. Tjänstslutpunkter stöder fortfarande inte IPv6-trafik. Mer information finns i Begränsningar för tjänstslutpunkter för virtuellt nätverk.
Testa Microsoft Entra-autentisering via IPv6
Du kan testa Microsoft Entra-autentisering via IPv6 innan vi aktiverar den över hela världen med hjälp av följande procedurer. De här procedurerna hjälper dig att verifiera IPv6-intervallkonfigurationer. Den rekommenderade metoden är att använda en NRPT-regel (Name Resolution Policy Table) som skickas till dina Microsoft Entra-anslutna Windows-enheter. I Windows Server kan du med NRPT implementera en global eller lokal princip som åsidosätter DNS-matchningssökvägar. Med den här funktionen kan du omdirigera DNS för olika fullständigt kvalificerade domännamn (FQDN) till särskilda DNS-servrar som är konfigurerade för att ha IPv6 DNS-poster för Microsoft Entra-inloggning. Det är enkelt att aktivera och inaktivera NRPT-regler med hjälp av ett PowerShell-skript. Du kan använda Microsoft Intune för att push-överföra den här funktionen till klienter.
Kommentar
Microsoft tillhandahåller endast dessa instruktioner för testning. Du måste ta bort följande konfigurationer senast i maj 2023 för att säkerställa att dina klienter använder DNS-produktionsservrar. DNS-servrarna i följande procedurer kan inaktiveras efter maj 2023.
Vi rekommenderar att du använder cmdleten Resolve-DnsName för att verifiera NRPT-regler. Om du använder kommandot nslookup kan resultatet skilja sig åt med tanke på de skillnader som finns mellan dessa verktyg.
Kontrollera att du har öppen nätverksanslutning på TCP- och UDP-port 53 mellan dina klientenheter och de DNS-servrar som används för NRPT-regeln.
Konfigurera en NRPT-klientregel manuellt – offentligt moln
Öppna en PowerShell-konsol som administratör (högerklicka på PowerShell-ikonen och välj Kör som administratör).
Lägg till en NRPT-regel genom att köra följande kommandon:
$DnsServers = ( "ns1-37.azure-dns.com.", "ns2-37.azure-dns.net.", "ns3-37.azure-dns.org.", "ns4-37.azure-dns.info." ) $DnsServerIPs = $DnsServers | Foreach-Object { (Resolve-DnsName $_).IPAddress | Select-Object -Unique } $params = @{ Namespace = "login.microsoftonline.com" NameServers = $DnsServerIPs DisplayName = "AZURE-AD-NRPT" } Add-DnsClientNrptRule @params
Kontrollera att klienten hämtar IPv6-svar för
login.microsoftonline.com
genom att köra cmdleten Resolve-DnsName . Kommandoutdata bör likna följande text:PS C:\users\username> Resolve-DnsName login.microsoftonline.com Name Type TTL Section IPAddress ---- ---- --- ------- --------- login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::8 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::5 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d0::5 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::4 login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::9 login.microsoftonline.com AAAA 300 Answer 2603:1037:1:c8::a login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d8::2 login.microsoftonline.com AAAA 300 Answer 2603:1036:3000:d0::7 login.microsoftonline.com A 300 Answer 20.190.151.7 login.microsoftonline.com A 300 Answer 20.190.151.67 login.microsoftonline.com A 300 Answer 20.190.151.69 login.microsoftonline.com A 300 Answer 20.190.151.68 login.microsoftonline.com A 300 Answer 20.190.151.132 login.microsoftonline.com A 300 Answer 20.190.151.70 login.microsoftonline.com A 300 Answer 20.190.151.9 login.microsoftonline.com A 300 Answer 20.190.151.133
Om du vill ta bort NRPT-regeln kör du det här PowerShell-skriptet:
Get-DnsClientNrptRule | Where-Object { $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com" } | Remove-DnsClientNrptRule -Force
Konfigurera en NRPT-klientregel manuellt – US Gov-molnet
På samma sätt som skriptet för det offentliga molnet skapar följande skript en NRPT-regel för US Gov-inloggningsslutpunkten login.microsfotonline.us
.
Öppna en PowerShell-konsol som administratör genom att högerklicka på PowerShell-ikonen och välja Kör som administratör.
Lägg till en NRPT-regel genom att köra följande kommandon:
$DnsServers = ( "ns1-35.azure-dns.com.", "ns2-35.azure-dns.net.", "ns3-35.azure-dns.org.", "ns4-35.azure-dns.info." ) $DnsServerIPs = $DnsServers | Foreach-Object { (Resolve-DnsName $_).IPAddress | Select-Object -Unique } $params = @{ Namespace = "login.microsoftonline.us" NameServers = $DnsServerIPs DisplayName = "AZURE-AD-NRPT-USGOV" } Add-DnsClientNrptRule @params
Distribuera NRPT-regel med Intune
Om du vill distribuera NRPT-regeln till flera datorer med hjälp av Intune skapar du en Win32-app och tilldelar den till en eller flera enheter.
Steg 1: Skapa skripten
Skapa en mapp och spara sedan följande installations- och återställningsskript (InstallScript.ps1 och RollbackScript.ps1) i den så att du kan skapa .intunewin-filen för användning i distributionen.
InstallScript.ps1
# Add Azure AD NRPT rule.
$DnsServers = (
"ns1-37.azure-dns.com.",
"ns2-37.azure-dns.net.",
"ns3-37.azure-dns.org.",
"ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
(Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules)
}
else {
Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..."
$params = @{
Namespace = "login.microsoftonline.com"
NameServers = $DnsServerIPs
DisplayName = "AZURE-AD-NRPT"
}
Add-DnsClientNrptRule @params
}
RollbackScript.ps1
# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..."
$existingRules | Format-Table
$existingRules | Remove-DnsClientNrptRule -Force
}
else {
Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}
DetectionScript.ps1
Spara följande skript (DetectionScript.ps1) på en annan plats. Sedan kan du referera till identifieringsskriptet i programmet när du skapar det i Intune.
# Add Azure AD NRPT rule.
$DnsServers = (
"ns1-37.azure-dns.com.",
"ns2-37.azure-dns.net.",
"ns3-37.azure-dns.org.",
"ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
(Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
$_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) {
Write-Output 'Compliant'
}
Steg 2: Paketera skripten som en .intunewin-fil
Se Förbereda Win32-appinnehåll för uppladdning för att skapa en .intunewin-fil från mappen och skripten som du sparade tidigare.
Steg 3: Skapa Win32-programmet
Följande instruktioner visar hur du skapar det nödvändiga Win32-programmet. Mer information finns i Lägga till, tilldela och övervaka en Win32-app i Microsoft Intune.
Logga in på Intune-portalen.
Välj Appar>Alla appar och välj sedan + Lägg till för att skapa en ny Win32-app.
I listrutan Apptyp väljer du Windows-app (Win32) och sedan Välj.
På sidan Appinformation klickar du på Välj appaketfil för att välja den .intunewin-fil som du skapade tidigare. Välj OK för att gå vidare.
Gå tillbaka till sidan Appinformation och ange sedan ett beskrivande namn, beskrivning och utgivare för programmet. Andra fält är valfria. Klicka på Nästa när du vill fortsätta.
På sidan Program anger du följande information och väljer Nästa.
- Installera kommandosträng :
powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
- Avinstallera kommandosträng :
powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
- Installationsbeteende:
System
- Installera kommandosträng :
På sidan Krav väljer du både Operativsystemarkitekturer och anger Lägsta operativsystem till Windows 10 1607. Klicka på Nästa när du vill fortsätta.
På sidan Identifiering väljer du Använd ett anpassat identifieringsskript i listrutan Regelformat . Välj bläddra-knappen bredvid rutan Skriptfil för att välja identifieringsskriptet. Lämna de återstående fälten som standardvärden. Klicka på Nästa när du vill fortsätta.
Välj Nästa på sidan Beroenden för att fortsätta utan ändringar.
Välj Nästa på sidan Ersättning (förhandsversion) för att fortsätta utan några ändringar.
På sidan Tilldelningar skapar du tilldelningar baserat på dina krav och väljer sedan Nästa för att fortsätta.
Granska informationen en sista gång på sidan Granska + skapa . När du har slutfört valideringen väljer du Skapa för att skapa programmet.
Hitta IPv6-adresser i inloggningsloggar
Med hjälp av en eller flera av följande metoder jämför du listan med IPv6-adresser med de adresser du förväntar dig. Överväg att lägga till dessa IPv6-adresser på dina namngivna platser och markera vissa som betrodda när det är lämpligt. Du behöver minst rollen Rapportläsare tilldelad för att kunna läsa inloggningsloggen.
Azure Portal
- Logga in på Azure Portal som rapportläsare, säkerhetsläsare, global läsare, säkerhetsadministratör eller annan roll med behörighet.
- Bläddra till Inloggningsloggar för Microsoft Entra-ID>.
- Välj + Lägg till filter>IP-adress och välj Tillämpa.
- I rutan Filtrera efter IP-adress infogar du ett kolon (:).
- Du kan också ladda ned den här listan med loggposter till JSON- eller CSV-format för vidare bearbetning.
Log Analytics
Om din organisation använder Log Analytics kan du fråga efter IPv6-adresser i loggarna med hjälp av följande fråga.
union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount
PowerShell
Organisationer kan använda följande PowerShell-skript för att köra frågor mot Inloggningsloggarna för Microsoft Entra i Microsoft Graph PowerShell. Skriptet ger dig en lista över IPv6-adresser tillsammans med programmet och hur många gånger det visas.
$tId = "TENANT ID" # Add the Azure Active Directory tenant ID.
$agoDays = 2 # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd') # Get filter start date.
$pathForExport = "./" # The path to the local filesystem for export of the CSV file.
Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId
# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
# Summarize IPv6 & app display name count.
$signInsInteractive |
Group-Object IPaddress, AppDisplayName |
Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
@{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
Count |
Sort-Object -Property Count –Descending |
Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
Group-Object IPaddress, AppDisplayName |
Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
@{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
Count |
Sort-Object -Property Count –Descending |
Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation
Nästa steg
Vi håller den här artikeln uppdaterad. Här är en kort länk som du kan använda för att komma tillbaka för uppdaterad och ny information: https://aka.ms/azureadipv6.
- Använda platsvillkoret i en princip för villkorsstyrd åtkomst
- Villkorsstyrd åtkomst: Blockera åtkomst efter plats
- Hitta hjälp och få support för Microsoft Entra-ID
Kontakta oss för att få hjälp
Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.