Restauration de l’adresse IP source

Lorsqu’un proxy réseau basé sur le cloud se trouve entre les utilisateurs et leurs ressources, l’adresse IP vue par les ressources ne correspond pas à l’adresse IP source réelle. Au lieu de voir l’adresse IP source des utilisateurs finaux, les points de terminaison des ressources voient l’adresse IP du proxy cloud comme adresse IP source. Les clients dotés de ces solutions de proxy cloud ne peuvent pas utiliser ces informations relatives à l’adresse IP source.

La restauration de l’adresse IP source dans Accès global sécurisé (préversion) permet aux clients Microsoft Entra de continuer à utiliser l’adresse IP source de l’utilisateur d’origine à des fins de compatibilité descendante. Les administrateurs peuvent tirer parti des fonctionnalités suivantes :

• Continuer à appliquer des stratégies d’emplacement basées sur l’adresse IP source pour l’accès conditionnel et l’évaluation continue de l’accès.
• Les détections de risques Identity Protection bénéficient d’une vue cohérente de l’adresse IP source de l’utilisateur d’origine pour évaluer différents scores de risque.
• L’adresse IP source de l’utilisateur d’origine est également disponible dans les journaux de connexion Microsoft Entra.

Prérequis

• Les administrateurs interagissant avec les fonctionnalités d’Accès global sécurisé (préversion) doivent avoir les deux attributions de rôles suivantes en fonction des tâches qu’ils effectuent.
  • Le rôle Administrateur Global Secure Access pour gérer les fonctionnalités d’évaluation de Global Secure Access.
  • Rôle Administrateur de l’accès conditionnel ou Administrateur de la sécurité pour créer des stratégies d’accès conditionnel et des emplacements nommés et interagir avec eux.
• La préversion nécessite une licence Microsoft Entra ID P1. Si nécessaire, vous pouvez acheter des licences ou obtenir des licences d’essai.

Limitations connues

Quand la restauration de l’adresse IP source est activée, vous ne pouvez voir que l’adresse IP source. L’adresse IP du service Accès global sécurisé n’est pas visible. Si vous souhaitez voir l’adresse IP du service Accès global sécurisé, désactivez la restauration de l’adresse IP source.

La restauration de l’adresse IP source est actuellement prise en charge uniquement pour le trafic Microsoft 365, comme SharePoint Online, Exchange Online, Teams et Microsoft Graph. Si vous avez des stratégies d’accès conditionnel basées sur l’emplacement IP pour des ressources non-Microsoft 365 protégées par l’évaluation continue de l’accès, ces stratégies ne sont pas évaluées au niveau de la ressource, car l’adresse IP source n’est pas connue de la ressource.

Si vous utilisez l’application stricte de l’emplacement de l’évaluation continue de l’accès, les utilisateurs sont bloqués même s’ils se trouvent dans une plage d’adresses IP approuvée. Pour résoudre ce problème, suivez l’une des recommandations suivantes :

• Si vous avez des stratégies d’accès conditionnel basées sur l’emplacement IP ciblant des ressources non-Microsoft 365, n’activez pas l’application stricte de l’emplacement.
• Vérifiez que le trafic est pris en charge par la restauration de l’adresse IP source ou n’envoyez pas le trafic approprié via l’accès global sécurisé.

Activer la signalisation d’Accès global sécurisé pour l’accès conditionnel

Pour activer le paramètre requis afin d’autoriser la restauration de l’adresse IP source, vous devez effectuer les étapes suivantes en tant qu’administrateur.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’Administrateur Accès global sécurisé.
2. Accédez à Accès global sécurisé>Paramètres globaux>Gestion des sessions>Accès adaptatif.
3. Utilisez le bouton bascule Activer la signalisation d’Accès global sécurisé dans l’accès conditionnel.

Cette fonctionnalité permet à des services tels que Microsoft Graph, Microsoft Entra ID, SharePoint Online et Exchange Online de voir l’adresse IP source réelle.

Attention

Si votre organisation dispose de stratégies d’accès conditionnel actives basées sur les vérifications d’emplacement IP et que vous désactivez la signalisation d’Accès global sécurisé dans l’accès conditionnel, vous pouvez involontairement empêcher les utilisateurs finaux ciblés d’accéder aux ressources. Si vous devez désactiver cette fonctionnalité, supprimez d’abord les stratégies d’accès conditionnel correspondantes.

Comportement des journaux de connexion

Pour voir la restauration de l’adresse IP source en action, vous devez effectuer les étapes suivantes en tant qu’administrateur.

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant que Lecteur de sécurité.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs> sélectionnez l’un de vos utilisateurs de test >Journaux de connexion.
3. Une fois la restauration de l’adresse IP source activée, les adresses IP réelles sont affichées.
   • Si la restauration de l’adresse IP source est désactivée, vous ne voyez pas les adresses IP réelles.

L’affichage des données des journaux de connexion peut prendre un certain temps. Ce délai est normal, car un traitement doit avoir lieu.

Conditions d'utilisation

Votre utilisation des expériences et fonctionnalités des préversions d'Accès privé Microsoft Entra et d'Accès internet Microsoft Entra est régie par les conditions générales du service en ligne en préversion des contrats en vertu desquels vous avez obtenu les services. Les préversions peuvent être soumises à des engagements de sécurité, de conformité et de confidentialité réduits ou différents, comme expliqué plus en détail dans les Termes du contrat de licence universel pour les services en ligne et l'Addendum sur la protection des données des produits et services Microsoft (« DPA ») et dans tout autre avis fourni avec la préversion.

Contenu connexe

• Configurer les restrictions liées au locataire (v2) (préversion)
• Activer la vérification de la conformité réseau avec l’accès conditionnel
• Appliquer strictement les stratégies d’emplacement à l’aide de l’évaluation continue de l’accès