Restauración de IP de origen

Con un proxy de red basado en la nube entre los usuarios y sus recursos, la dirección IP que ven los recursos no coincide con la dirección IP de origen real. En lugar de la dirección IP de origen de los usuarios finales, los puntos de conexión de recursos ven el proxy en la nube como la dirección IP de origen. Los clientes con estas soluciones de proxy en la nube no pueden usar esta información de IP de origen.

La restauración de direcciones IP de origen en Acceso global seguro permite la compatibilidad con versiones anteriores para que los clientes de Microsoft Entra sigan usando la dirección IP de origen del usuario original. Los administradores pueden beneficiarse de las siguientes funcionalidades:

• Siga aplicando directivas de ubicación basadas en la IP de origen en el acceso condicional y la evaluación continua de acceso.
• Las detecciones de riesgo de Protección de id. de Microsoft Entra consiguen una vista coherente de la dirección IP de origen del usuario original para evaluar varias puntuaciones de riesgo.
• La dirección IP de origen del usuario original también está disponible en los registros de inicio de sesión de Microsoft Entra.

Requisitos previos

• Los administradores que interactúan con características de la Acceso global seguro deben tener las dos asignaciones de roles siguientes según las tareas que vayan a realizar.
  • El rol Administrador de Acceso global seguro para administrar las características de Acceso global seguro.
  • El Administrador de acceso condicional para crear e interactuar con las directivas de acceso condicional.
• El producto requiere licencias. Para obtener más información, consulte la sección de licencias de Qué es el Acceso global seguro. Si es necesario, puede comprar una licencia u obtener licencias de prueba.

Limitaciones conocidas

Cuando la restauración de IP de origen está habilitada, solo puede ver la dirección IP de origen. La dirección IP del servicio Acceso global seguro no está visible. Si quiere ver la dirección IP del servicio Acceso global seguro, deshabilite la restauración de IP de origen.

La restauración de IP de origen solo se admite para Tráfico de Microsoft, como SharePoint Online, Exchange Online, Teams y Microsoft Graph. Si tiene directivas de acceso condicional basadas en ubicación IP para recursos que no son de Microsoft protegidos por la evaluación continua de acceso (CAE), estas directivas no se evalúan en el recurso, ya que la dirección IP de origen no se conoce para el recurso.

Si usa la aplicación estricta de ubicación de la CAE, los usuarios se bloquearán aunque estén en un intervalo IP de confianza. Para resolver esta condición, lleve a cabo una de las siguientes recomendaciones:

• Si tiene directivas de acceso condicional basadas en ubicación IP destinadas a recursos que no son de Microsoft, no habilite la aplicación estricta de la ubicación.
• Asegúrese de que el tráfico sea compatible con la restauración de IP de origen o no envíe el tráfico pertinente a través de Acceso global seguro.

Habilitar la señalización de Acceso global seguro para acceso condicional

Para habilitar la configuración necesaria para permitir la restauración de IP de origen, un administrador debe realizar los pasos siguientes:

1. Inicia sesión en el Centro de administración Microsoft Entra como Administrador de acceso global seguro.
2. Vaya a Acceso global seguro>Configuración global>Administración de sesiones>Acceso adaptable.
3. Seleccione el botón de alternancia Habilitar la señalización de Acceso global seguro en el acceso condicional.

Esta funcionalidad permite a los servicios como Microsoft Graph, Microsoft Entra ID, SharePoint Online y Exchange Online ver la dirección IP de origen real.

Precaución

Si su organización tiene directivas de acceso condicional activas basadas en las comprobaciones de ubicación IP y deshabilita la señalización de Acceso global seguro en el acceso condicional, es posible que impida involuntariamente que los usuarios finales de destino accedan a los recursos. Si debe deshabilitar esta característica, elimine primero cualquier directiva de acceso condicional correspondiente.

Comportamiento del registro de inicio de sesión

Para ver la restauración de IP de origen en acción, un administrador puede realizar los pasos siguientes:

1. Inicie sesión en el Centro de administración Microsoft Entra como al menos un Lector de seguridad.
2. Vaya a Identidad>Usuarios>Todos los usuarios>, seleccione uno de sus usuarios de prueba >Registros de inicio de sesión.
3. Con la restauración de IP de origen habilitada, verá las direcciones IP que incluyen su dirección IP real.
   • Si la restauración de IP de origen está deshabilitada, no podrá ver su dirección IP real.

Los datos de registro de inicio de sesión podrían tardar algún tiempo en aparecer. Este retraso es normal, ya que hay algún tipo de procesamiento que debe realizarse.

Contenido relacionado

• Configuración de restricciones para inquilinos V2 (versión preliminar)
• Habilitación la verificación de red compatible con acceso condicional
• Aplicación estricta de las directivas de ubicación mediante la evaluación continua de acceso