Wiederherstellung der Quell-IP-Adresse
Bei einem cloudbasierten Netzwerkproxy zwischen Benutzer*innen und ihren Ressourcen stimmt die IP-Adresse, die den Ressourcen angezeigt wird, nicht mit der tatsächlichen Quell-IP-Adresse überein. Anstelle der Quell-IP-Adresse des Endbenutzers oder der Endbenutzerin sehen die Ressourcenendpunkte den Cloudproxy als Quell-IP-Adresse. Kunden mit diesen Cloudproxylösungen können diese Quell-IP-Informationen nicht verwenden.
Die Wiederherstellung der Quell-IP-Adresse in „globaler sicherer Zugriff“ ermöglicht Abwärtskompatibilität, sodass Microsoft Entra-Kunden weiterhin die ursprüngliche Quell-IP-Adresse verwenden können. Administrator*innen können von den folgenden Funktionen profitieren:
- Erzwingen Sie weiterhin auf der Quell-IP basierende Standortrichtlinien für bedingten Zugriff und fortlaufende Zugriffsevaluierung.
- Microsoft Entra ID Protection-Risikoerkennungen erhalten eine konsistente Ansicht der ursprünglichen Quell-IP-Adresse der Benutzer*innen für die Auswertung verschiedener Risikobewertungen.
- Die ursprüngliche Quell-IP-Adresse der Benutzer*innen wird auch in Microsoft Entra-Anmeldeprotokollen verfügbar gemacht.
Voraussetzungen
- Administratoren, die Features der Vorschauversion von globaler sicherer Zugriff verwenden, müssen abhängig von den ausgeführten Aufgaben über die beiden folgenden Rollenzuweisungen verfügen:
- Die Rolle „Administrator für globalen sicheren Zugriff“ zum Verwalten der Features des globalen sicheren Zugriffs.
- Die Rolle Administrator für bedingten Zugriff zum Erstellen und Verwenden von Richtlinien für bedingten Zugriff.
- Für das Produkt ist eine Lizenzierung erforderlich. Ausführliche Informationen finden Sie im Abschnitt „Lizenzierung“ unter Was ist der globale sichere Zugriff. Bei Bedarf können Sie Lizenzen erwerben oder Testlizenzen erhalten.
Bekannte Einschränkungen
Wenn die Wiederherstellung der Quell-IP-Adresse aktiviert ist, können Sie nur die Quell-IP-Adresse sehen. Die IP-Adresse des Diensts für den globalen sicheren Zugriff ist nicht sichtbar. Wenn Sie die IP-Adresse des Dienst für den globalen sicheren Zugriff anzeigen möchten, deaktivieren Sie die Wiederherstellung der Quell-IP-Adresse.
Die Quell-IP-Wiederherstellung wird derzeit nur für Microsoft-Datenverkehr unterstützt, z. B. SharePoint Online, Exchange Online, Teams und Microsoft Graph. Wenn Sie über IP-standortbasierte Richtlinien für bedingten Zugriff für Nicht-Microsoft-Ressourcen verfügen, die durch die fortlaufende Zugriffsevaluierung (Continuous Access Evaluation, CAE) geschützt sind, werden diese Richtlinien nicht an der Ressource ausgewertet, da die Quell-IP-Adresse der Ressource nicht bekannt ist.
Wenn Sie die strikte Erzwingung von CaE verwenden, werden Benutzer blockiert, obwohl sie sich in einem vertrauenswürdigen IP-Bereich befinden. Führen Sie eine der folgenden Empfehlungen aus, um diese Bedingung zu beheben:
- Wenn Sie IP-standortbasierte Richtlinien für bedingten Zugriff haben, die nicht auf Microsoft-Ressourcen abzielen, aktivieren Sie keine strikte Erzwingung des Standorts.
- Stellen Sie sicher, dass der Datenverkehr von der Quell-IP-Wiederherstellung unterstützt wird, oder senden Sie den relevanten Datenverkehr nicht über den globalen sicheren Zugriff.
Aktivieren der Signalisierung des globalen sicheren Zugriffs für bedingten Zugriff
Um die erforderliche Einstellung zum Zulassen der Quell-IP-Wiederherstellung zu aktivieren, müssen Administrator*innen die folgenden Schritte ausführen:
- Melden Sie sich beim Microsoft Entra Admin Center als Administrator für globalen sicheren Zugriff an.
- Wechseln Sie zu Globaler sicherer Zugriff>Einstellungen>Sitzungsverwaltung>Adaptiver Zugriff.
- Stellen Sie die Umschaltfläche auf Global Secure Access-Signalisierung im bedingten Zugriff aktivieren.
Mit dieser Funktion können Dienste wie Microsoft Graph, Microsoft Entra ID, SharePoint Online und Exchange Online die tatsächliche Quell-IP-Adresse anzeigen.
Achtung
Wenn Ihre Organisation über aktive Richtlinien für bedingten Zugriff verfügt, die auf IP-Standortüberprüfungen basieren, und Sie die Global Secure Access-Signalisierung im bedingten Zugriff deaktivieren, verhindern Sie möglicherweise unbeabsichtigt den Zugriff der Zielendbenutzer*innen auf die Ressourcen. Wenn Sie dieses Feature deaktivieren müssen, löschen Sie zuerst alle entsprechenden Richtlinien für bedingten Zugriff.
Verhalten des Anmeldeprotokolls
Um die Wiederherstellung der Quell-IP-Adresse in Aktion zu sehen, können Administrator*innen die folgenden Schritte ausführen:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Sicherheitsleseberechtigter an.
- Navigieren Sie zu Identität>Benutzer>Alle Benutzer> eine*n Testbenutzer*in auswählen >Anmeldeprotokolle.
- Wenn die Quell-IP-Wiederherstellung aktiviert ist, werden IP-Adressen angezeigt, die ihre tatsächliche IP-Adresse enthalten.
- Wenn die Quell-IP-Wiederherstellung deaktiviert ist, wird die zugehörige tatsächliche IP-Adresse nicht angezeigt.
Es kann einige Zeit dauern, bis Anmeldeprotokolldaten angezeigt werden. Diese Verzögerung ist normal, da eine gewisse Verarbeitung erfolgen muss.