Wiederherstellung der Quell-IP-Adresse

Bei einem cloudbasierten Netzwerkproxy zwischen Benutzer*innen und ihren Ressourcen stimmt die IP-Adresse, die den Ressourcen angezeigt wird, nicht mit der tatsächlichen Quell-IP-Adresse überein. Anstelle der Quell-IP-Adresse des Endbenutzers oder der Endbenutzerin sehen die Ressourcenendpunkte den Cloudproxy als Quell-IP-Adresse. Kunden mit diesen Cloudproxylösungen können diese Quell-IP-Informationen nicht verwenden.

Die Wiederherstellung der Quell-IP-Adresse im globalen sicheren Zugriff (Vorschau) ermöglicht Abwärtskompatibilität, sodass Microsoft Entra-Kunden weiterhin die ursprüngliche Quell-IP-Adresse verwenden können. Administrator*innen können von den folgenden Funktionen profitieren:

• Erzwingen Sie weiterhin auf der Quell-IP basierende Standortrichtlinien für bedingten Zugriff und fortlaufende Zugriffsevaluierung.
• Identity Protection-Risikoerkennungen erhalten eine konsistente Ansicht der ursprünglichen Quell-IP-Adresse der Benutzer*innen für die Auswertung verschiedener Risikobewertungen.
• Die ursprüngliche Quell-IP-Adresse der Benutzer*innen wird auch in Microsoft Entra-Anmeldeprotokollen verfügbar gemacht.

Voraussetzungen

• Administrator*innen, die Features der Vorschauversion des globalen sicheren Zugriffs verwenden, müssen abhängig von den ausgeführten Aufgaben über die beiden folgenden Rollenzuweisungen verfügen:
  • Die Rolle Global Secure Access-Administrator zum Verwalten der Global Secure Access-Vorschaufunktionen.
  • Die Rolle Administrator für bedingten Zugriff oder Sicherheitsadministrator ist erforderlich, um Richtlinien für bedingten Zugriff und benannte Speicherorte zu erstellen und damit zu interagieren.
• Für die Vorschau ist eine Microsoft Entra ID P1-Lizenz erforderlich. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.

Bekannte Einschränkungen

Wenn die Wiederherstellung der Quell-IP-Adresse aktiviert ist, können Sie nur die Quell-IP-Adresse sehen. Die IP-Adresse des Diensts für den globalen sicheren Zugriff ist nicht sichtbar. Wenn Sie die IP-Adresse des Dienst für den globalen sicheren Zugriff anzeigen möchten, deaktivieren Sie die Wiederherstellung der Quell-IP-Adresse.

Die Quell-IP-Wiederherstellung wird derzeit nur für Microsoft 365-Datenverkehr unterstützt, z. B. SharePoint Online, Exchange Online, Teams und Microsoft Graph. Wenn Sie über ip-standortbasierte Richtlinien für bedingten Zugriff für Nicht-Microsoft 365-Ressourcen verfügen, die durch kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) geschützt sind, werden diese Richtlinien nicht an der Ressource ausgewertet, da die Quell-IP-Adresse der Ressource nicht bekannt ist.

Wenn Sie die strikte Erzwingungvon CaE verwenden, werden Benutzer blockiert, obwohl sie sich in einem vertrauenswürdigen IP-Bereich befinden. Führen Sie eine der folgenden Empfehlungen aus, um diese Bedingung zu beheben:

• Wenn Sie ip-standortbasierte Richtlinien für bedingten Zugriff haben, die nicht auf Microsoft 365-Ressourcen ausgerichtet sind, aktivieren Sie keine strikte Erzwingung des Standorts.
• Stellen Sie sicher, dass der Datenverkehr von der Quell-IP-Wiederherstellung unterstützt wird, oder senden Sie den relevanten Datenverkehr nicht über den globalen sicheren Zugriff.

Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff

Um die erforderliche Einstellung zum Zulassen der Quell-IP-Wiederherstellung zu aktivieren, müssen Administrator*innen die folgenden Schritte ausführen:

1. Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
2. Navigieren Sie zu Globaler sicherer Zugriff (Vorschau)>Globale Einstellungen>Sitzungsverwaltung>Adaptiver Zugriff.
3. Stellen Sie die Umschaltfläche auf Global Secure Access-Signalisierung im bedingten Zugriff aktivieren.

Mit dieser Funktion können Dienste wie Microsoft Graph, Microsoft Entra ID, SharePoint Online und Exchange Online die tatsächliche Quell-IP-Adresse anzeigen.

Achtung

Wenn Ihre Organisation über aktive Richtlinien für bedingten Zugriff verfügt, die auf IP-Standortüberprüfungen basieren, und Sie die Global Secure Access-Signalisierung im bedingten Zugriff deaktivieren, verhindern Sie möglicherweise unbeabsichtigt den Zugriff der Zielendbenutzer*innen auf die Ressourcen. Wenn Sie dieses Feature deaktivieren müssen, löschen Sie zuerst alle entsprechenden Richtlinien für bedingten Zugriff.

Verhalten des Anmeldeprotokolls

Um die Wiederherstellung der Quell-IP-Adresse in Aktion zu sehen, können Administrator*innen die folgenden Schritte ausführen:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
2. Navigieren Sie zu Identität>Benutzer>Alle Benutzer> eine*n Testbenutzer*in auswählen >Anmeldeprotokolle.
3. Wenn die Quell-IP-Wiederherstellung aktiviert ist, werden IP-Adressen angezeigt, die ihre tatsächliche IP-Adresse enthalten.
   • Wenn die Quell-IP-Wiederherstellung deaktiviert ist, wird die zugehörige tatsächliche IP-Adresse nicht angezeigt.

Es kann einige Zeit dauern, bis Anmeldeprotokolldaten angezeigt werden. Diese Verzögerung ist normal, da eine gewisse Verarbeitung erfolgen muss.

Nutzungsbedingungen

Ihre Verwendung der Vorschauumgebungen und Features von Microsoft Entra-Privatzugriff und Microsoft Entra-Internetzugriff unterliegt den Bestimmungen für Onlinedienste (Vorschau), unter denen Sie die Dienste erworben haben. Vorschauversionen unterliegen möglicherweise eingeschränkten oder abweichenden Sicherheits-, Compliance- und Datenschutzverpflichtungen, wie in Allgemeine Lizenzbedingungen für Onlinedienste und im Nachtrag zum Datenschutz in Verbindung mit Produkten und Diensten von Microsoft sowie allen anderen mit der Vorschau bereitgestellten Hinweisen näher erläutert.

Zugehöriger Inhalt

• Einrichten von Mandanteneinschränkungen V2 (Vorschau)
• Aktivieren der konformen Netzwerküberprüfung mit bedingtem Zugriff
• Striktes Erzwingen von Standortrichtlinien mithilfe von fortlaufender Zugriffsauswertung