Restauration de l’adresse IP source
Lorsqu’un proxy réseau basé sur le cloud se trouve entre les utilisateurs et leurs ressources, l’adresse IP vue par les ressources ne correspond pas à l’adresse IP source réelle. Au lieu de voir l’adresse IP source des utilisateurs finaux, les points de terminaison des ressources voient l’adresse IP du proxy cloud comme adresse IP source. Les clients dotés de ces solutions de proxy cloud ne peuvent pas utiliser ces informations relatives à l’adresse IP source.
La restauration de l’adresse IP source dans l’Accès global sécurisé permet aux clients Microsoft Entra de continuer à utiliser la compatibilité descendante pour l’adresse IP source de l’utilisateur d’origine. Les administrateurs peuvent tirer parti des fonctionnalités suivantes :
- Continuer à appliquer des stratégies d’emplacement basées sur l’adresse IP source pour l’accès conditionnel et l’évaluation continue de l’accès.
- Les détections de risques Protection des ID Microsoft Entra bénéficient d’une vue cohérente de l’adresse IP source de l’utilisateur d’origine pour évaluer différents scores de risque.
- L’adresse IP source de l’utilisateur d’origine est également disponible dans les journaux de connexion Microsoft Entra.
Prérequis
- Les administrateurs interagissant avec les caractéristiques d’Accès global sécurisé doivent avoir les deux attributions de rôles suivantes, en fonction des tâches qu’ils effectuent.
- Le rôle d’administrateur d’accès global sécurisé pour gérer les caractéristiques d’accès global sécurisé.
- Le rôle Administrateur de l’accès conditionnel pour créer des stratégies d’accès conditionnel et interagir avec elles.
- Le produit nécessite une licence. Pour plus de détails, consultez la section sur les licences dans Qu’est-ce que l’Accès global sécurisé ? Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’évaluation gratuite.
Limites connues
Lorsque la restauration de l’adresse IP source est activée, vous ne pouvez voir que l’adresse IP source. L’adresse IP du service Accès global sécurisé n’est pas visible. Si vous souhaitez voir l’adresse IP du service Accès global sécurisé, désactivez la restauration de l’adresse IP source.
La restauration de l’adresse IP source est actuellement prise en charge uniquement pour le trafic Microsoft, comme SharePoint Online, Exchange Online, Teams et Microsoft Graph. Si vous avez des stratégies d’accès conditionnel basées sur l’emplacement IP pour des ressources non-Microsoft protégées par l’évaluation continue de l’accès (CAE), ces stratégies ne sont pas évaluées au niveau de la ressource, car l’adresse IP source n’est pas connue de la ressource.
Si vous utilisez l’application stricte de l’emplacement de l’évaluation continue de l’accès, les utilisateurs sont bloqués même s’ils se trouvent dans une plage d’adresses IP approuvée. Pour résoudre ce problème, suivez l’une des recommandations suivantes :
- Si vous avez des stratégies d’accès conditionnel basées sur l’emplacement IP ciblant des ressources non-Microsoft, n’activez pas l’application stricte de l’emplacement.
- Vérifiez que le trafic est pris en charge par la restauration de l’adresse IP source ou n’envoyez pas le trafic approprié via l’accès global sécurisé.
Activer la signalisation d’accès global sécurisé pour l’accès conditionnel
Pour activer le paramètre requis afin d’autoriser la restauration de l’adresse IP source, vous devez effectuer les étapes suivantes en tant qu’administrateur.
- Connectez-vous au Centre d’administration Microsoft Entra en tant que Administrateur d’accès global sécurisé.
- Accédez à Accès global sécurisé>Paramètres>Gestion des sessions>Accès adaptatif.
- Utilisez le bouton bascule pour Activer la signalisation d’Accès global sécurisé dans l’accès conditionnel.
Cette fonctionnalité permet à des services comme Microsoft Graph, Microsoft Entra ID, SharePoint Online et Exchange Online de voir l’adresse IP source réelle.
Attention
Si votre organisation dispose de stratégies d’accès conditionnel actives basées sur les vérifications d’emplacement IP et que vous désactivez la signalisation d’Accès global sécurisé dans l’accès conditionnel, vous pouvez involontairement empêcher les utilisateurs finaux ciblés d’accéder aux ressources. Si vous devez désactiver cette fonctionnalité, supprimez d’abord les stratégies d’accès conditionnel correspondantes.
Comportement des journaux de connexion
Pour voir la restauration de l’adresse IP source en action, vous devez effectuer les étapes suivantes en tant qu’administrateur.
- Connectez-vous au Centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
- Accédez à Identité>Utilisateurs>Tous les utilisateurs> sélectionnez l’un de vos utilisateurs de test >Journaux de connexion.
- Lorsque la restauration de l’adresse IP source est activée, les adresses IP incluent leur adresse IP réelle.
- Si la restauration de l’adresse IP source est désactivée, vous ne voyez pas les adresses IP réelles.
L’affichage des données des journaux de connexion peut prendre un certain temps. Ce délai est normal, car un traitement doit avoir lieu.