Supporto IPv6 in Microsoft Entra ID

Nota

Questo articolo è stato utile? Diamo importanza al contributo degli utenti. Usare il pulsante Feedback in questa pagina per comunicare se questo articolo è stato utile o come possiamo migliorarlo.

Siamo entusiasti di offrire supporto IPv6 a Microsoft Entra ID, per supportare i clienti con maggiore mobilità e contribuire a ridurre la spesa per indirizzi IPv4 costosi e ad esaurimento rapido. Per altre informazioni su come questa modifica potrebbe influire su Microsoft 365, vedere Supporto IPv6 nei servizi Microsoft 365.

Se le reti dell'organizzazione oggi non supportano IPv6, è possibile ignorare queste informazioni in modo sicuro fino a quando non lo fanno.

Cosa sta cambiando?

Gli URL degli endpoint di servizio verranno ora risolti per restituire gli indirizzi IPv4 e IPv6. Se una piattaforma client o una rete supporta IPv6, la connessione verrà per lo più tentata usando IPv6, presupponendo che anche gli hop di rete compresi tra (ad esempio firewall o proxy Web) supportano IPv6. Per gli ambienti che non supportano IPv6, le applicazioni client continueranno a connettersi a Microsoft Entra ID tramite IPv4.

Le funzionalità seguenti supporteranno anche gli indirizzi IPv6:

• Percorsi denominati
• Criteri di accesso condizionale
• Identity Protection
• Log di accesso

Quando sarà supportato IPv6 in Microsoft Entra ID?

Inizieremo a introdurre il supporto IPv6 per Microsoft Entra ID nell'aprile 2023.

Sappiamo che il supporto IPv6 è un cambiamento significativo per alcune organizzazioni. Queste informazioni vengono pubblicate ora in modo che i clienti possano fare piani per garantire la conformità.

Cosa deve fare l'organizzazione?

Se sono presenti indirizzi IPv6 pubblici che rappresentano la rete, eseguire le azioni descritte nelle sezioni seguenti il prima possibile.

Se i clienti non aggiornano le posizioni denominate con questi indirizzi IPv6, gli utenti verranno bloccati.

Azioni da eseguire

• Testare l'autenticazione Microsoft Entra tramite IPv6
• Trovare indirizzi IPv6 nei log di accesso
• Creare o aggiornare percorsi denominati, per includere indirizzi IPv6 identificati

Percorsi denominati

Le posizioni denominate vengono condivise tra molte funzionalità, ad esempio l'accesso condizionale, Identity Protection e B2C. I clienti devono collaborare con gli amministratori di rete e i provider di servizi Internet (ISP) per identificare gli indirizzi IPv6 pubblici. I clienti devono quindi usare questo elenco per creare o aggiornare posizioni denominate, in modo da includere gli indirizzi IPv6 identificati.

Accesso condizionale

Quando si configurano i criteri di accesso condizionale, le organizzazioni possono scegliere di includere o escludere i percorsi come condizione. Queste posizioni denominate possono includere indirizzi IPv4 o IPv6 pubblici, paese o area geografica o aree sconosciute non mappate a paesi o aree specifiche.

• Se si aggiungono intervalli IPv6 a un percorso denominato esistente, usato nei criteri di accesso condizionale esistenti, non sono necessarie modifiche.
• Se si creano nuove posizioni denominate per gli intervalli IPv6 dell'organizzazione, è necessario aggiornare i criteri di accesso condizionale pertinenti con questi nuovi percorsi.

Proxy cloud e VPN

Quando è presente un proxy cloud, un criterio che richiede un Microsoft Entra dispositivo ibrido aggiunto o di reclamo può essere più facile da gestire. Mantenere aggiornato un elenco di indirizzi IP usati dal proxy ospitato nel cloud o dalla soluzione VPN può essere quasi impossibile.

Microsoft Entra autenticazione a più fattori per utente

Se si è un cliente che usa l'autenticazione a più fattori per utente, sono stati aggiunti indirizzi IPv4 che rappresentano reti attendibili locali usando indirizzi IP attendibili anziché posizioni denominate? In caso affermativo, potrebbe essere visualizzato un prompt di autenticazione a più fattori per una richiesta avviata tramite punti di uscita abilitati per IPv6 locali.

L'uso dell'autenticazione a più fattori per utente non è consigliato, a meno che le licenze Microsoft Entra ID non includano l'accesso condizionale e non si vogliano usare le impostazioni predefinite di sicurezza.

Restrizioni del traffico in uscita

Se l'organizzazione limita il traffico di rete in uscita a intervalli IP specifici, sarà necessario aggiornare questi indirizzi per includere gli endpoint IPv6. Gli amministratori possono trovare questi intervalli IP negli articoli seguenti:

• URL e intervalli di indirizzi IP per Office 365
• Microsoft Entra Connect: Risolvere i problemi di connettività Microsoft Entra

Per gli intervalli IP specificati per Microsoft Entra ID, assicurarsi di consentire l'accesso in uscita nel proxy o nel firewall.

Configurazione delle periferiche

Per impostazione predefinita, il traffico IPv6 e IPv4 è supportato in Windows e nella maggior parte delle altre piattaforme del sistema operativo. Le modifiche alla configurazione IPv6 standard possono comportare conseguenze impreviste. Per altre informazioni, vedere Indicazioni per la configurazione di IPv6 in Windows per utenti avanzati.

Endpoint di servizio

L'implementazione del supporto IPv6 in Microsoft Entra ID non influirà sugli endpoint di servizio di Azure Rete virtuale. Gli endpoint di servizio non supportano ancora il traffico IPv6. Per altre informazioni, vedere Limitazioni degli endpoint di servizio Rete virtuale.

Testare l'autenticazione Microsoft Entra tramite IPv6

È possibile testare l'autenticazione Microsoft Entra tramite IPv6 prima di abilitarla in tutto il mondo usando le procedure seguenti. Queste procedure consentono di convalidare le configurazioni dell'intervallo IPv6. L'approccio consigliato consiste nell'usare una regola NRPT (Name Resolution Policy Table) di cui è stato eseguito il push nei dispositivi Windows aggiunti Microsoft Entra. In Windows Server, NRPT consente di implementare criteri globali o locali che sostituiscono i percorsi di risoluzione DNS. Con questa funzionalità, è possibile reindirizzare DNS per vari nomi di dominio completi (FQDN) a server DNS speciali configurati per avere voci DNS IPv6 per Microsoft Entra accesso. È semplice abilitare e disabilitare le regole NRPT usando uno script di PowerShell. È possibile usare Microsoft Intune per eseguire il push di questa funzionalità nei client.

Nota

• Microsoft fornisce queste istruzioni solo a scopo di test. È necessario rimuovere le configurazioni seguenti entro maggio 2023 per assicurarsi che i client utilizzino server DNS di produzione. I server DNS nelle procedure seguenti possono essere rimossi dopo maggio 2023.

• È consigliabile usare il cmdlet Resolve-DnsName per convalidare le regole NRPT. Se si usa il comando nslookup , il risultato potrebbe essere diverso in base alle differenze esistenti tra questi strumenti.

• Assicurarsi di avere una connettività di rete aperta sulla porta TCP e UDP 53 tra i dispositivi client e i server DNS usati per la regola NRPT.

Configurare manualmente una regola NRPT client - cloud pubblico

1. Aprire una console di PowerShell come amministratore (fare clic con il pulsante destro del mouse sull'icona di PowerShell e scegliere Esegui come amministratore).

2. Aggiungere una regola NRPT eseguendo i comandi seguenti:

   $DnsServers = (
       "ns1-37.azure-dns.com.",
       "ns2-37.azure-dns.net.",
       "ns3-37.azure-dns.org.",
       "ns4-37.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.com"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT"
   }
   Add-DnsClientNrptRule @params
   

3. Verificare che il client ottenga risposte IPv6 per login.microsoftonline.com eseguendo il cmdlet Resolve-DnsName . L'output del comando dovrebbe essere simile al testo seguente:

   PS C:\users\username> Resolve-DnsName login.microsoftonline.com
   Name                          Type   TTL   Section    IPAddress 
   ----                          ----   ---   -------    --------- 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
   login.microsoftonline.com     A      300   Answer     20.190.151.7 
   login.microsoftonline.com     A      300   Answer     20.190.151.67 
   login.microsoftonline.com     A      300   Answer     20.190.151.69 
   login.microsoftonline.com     A      300   Answer     20.190.151.68 
   login.microsoftonline.com     A      300   Answer     20.190.151.132 
   login.microsoftonline.com     A      300   Answer     20.190.151.70 
   login.microsoftonline.com     A      300   Answer     20.190.151.9 
   login.microsoftonline.com     A      300   Answer     20.190.151.133 
   

4. Se si vuole rimuovere la regola NRPT, eseguire questo script di PowerShell:

   Get-DnsClientNrptRule | Where-Object {
       $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
   } | Remove-DnsClientNrptRule -Force
   

Configurare manualmente una regola NRPT client - US Gov cloud

Analogamente allo script per il cloud pubblico, lo script seguente crea una regola NRPT per l'endpoint login.microsfotonline.usdi accesso di US Gov.

1. Aprire una console di PowerShell come amministratore facendo clic con il pulsante destro del mouse sull'icona di PowerShell e scegliendo Esegui come amministratore.

2. Aggiungere una regola NRPT eseguendo i comandi seguenti:

   $DnsServers = (
       "ns1-35.azure-dns.com.",
       "ns2-35.azure-dns.net.",
       "ns3-35.azure-dns.org.",
       "ns4-35.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.us"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT-USGOV"
   }
   Add-DnsClientNrptRule @params
   

Distribuire la regola NRPT con Intune

Per distribuire la regola NRPT in più computer usando Intune, creare un'app Win32 e assegnarla a uno o più dispositivi.

Passaggio 1: Creare gli script

Creare una cartella e quindi salvare gli script di installazione e rollback seguenti (InstallScript.ps1 e RollbackScript.ps1) in modo da poter creare il file con estensione intunewin da usare nella distribuzione.

InstallScript.ps1

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}  

RollbackScript.ps1

# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}

DetectionScript.ps1

Salvare lo script seguente (DetectionScript.ps1) in un'altra posizione. È quindi possibile fare riferimento allo script di rilevamento nell'applicazione quando viene creato in Intune.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}  

Passaggio 2: Creare un pacchetto degli script come file con estensione intunewin

Vedi Preparare il contenuto dell'app Win32 per il caricamento per creare un file con estensione intunewin dalla cartella e dagli script salvati in precedenza.

Passaggio 3: Creare l'applicazione Win32

Le istruzioni seguenti illustrano come creare l'applicazione Win32 necessaria. Per altre informazioni, vedere Aggiungere, assegnare e monitorare un'app Win32 in Microsoft Intune.

1. Accedere al portale di Intune.

2. Selezionare App>tutte le app e quindi + Aggiungi per creare una nuova app Win32.

3. Nell'elenco a discesa Tipo di app selezionare App di Windows (Win32) e quindi scegliere Seleziona.

4. Nella pagina Informazioni sull'app fare clic su Seleziona file del pacchetto dell'app per selezionare il file con estensione intunewin creato in precedenza. Selezionare OK per continuare.

5. Tornare alla pagina Informazioni sull'app e quindi immettere un nome descrittivo, una descrizione e un server di pubblicazione per l'applicazione. Altri campi sono facoltativi. Selezionare Avanti per continuare.

6. Nella pagina Programma immettere le informazioni seguenti e selezionare Avanti.

   • Installare la stringa di comando :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
   • Disinstallare la stringa di comando:
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
   • Comportamento di installazione:
     System

7. Nella pagina Requisito selezionare entrambe le architetture del sistema operativo e impostare Sistema operativo minimo su Windows 10 1607. Selezionare Avanti per continuare.

8. Nella pagina Rilevamento selezionare Usa uno script di rilevamento personalizzato dall'elenco a discesa Formato regole . Selezionare il pulsante Sfoglia accanto alla casella File script per scegliere lo script di rilevamento. Lasciare i campi rimanenti come valori predefiniti. Selezionare Avanti per continuare.

9. Selezionare Avanti nella pagina Dipendenze per continuare senza alcuna modifica.

10. Selezionare Avanti nella pagina Sostituzione (anteprima) per continuare senza modifiche.

11. Nella pagina Assegnazioni creare assegnazioni in base ai requisiti e quindi selezionare Avanti per continuare.

12. Esaminare le informazioni un'ultima volta nella pagina Rivedi e crea . Al termine della convalida, selezionare Crea per creare l'applicazione.

Trovare indirizzi IPv6 nei log di accesso

Usando uno o più dei metodi seguenti, confrontare l'elenco di indirizzi IPv6 con gli indirizzi previsti. Provare ad aggiungere questi indirizzi IPv6 alle posizioni denominate e contrassegnarne alcuni come attendibili dove appropriato. È necessario almeno il ruolo Lettore report assegnato per leggere il log di accesso.

Portale di Azure

1. Accedere al portale di Azure come lettore di report, lettore di sicurezza, lettore globale, amministratore della sicurezza o altro ruolo con autorizzazione.
2. Passare a Microsoft Entra ID>Log di accesso.
3. Selezionare + Aggiungi indirizzo IP filtri> e selezionare Applica.
4. Nella casella Filtra in base all'indirizzo IP inserire due punti (:).
5. Facoltativamente, scaricare questo elenco di voci di log in formato JSON o CSV per un'ulteriore elaborazione.

Log Analytics

Se l'organizzazione usa Log Analytics, è possibile eseguire query per gli indirizzi IPv6 nei log usando la query seguente.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Le organizzazioni possono usare lo script di PowerShell seguente per eseguire query sui log di accesso Microsoft Entra in Microsoft Graph PowerShell. Lo script fornisce un elenco di indirizzi IPv6 insieme all'applicazione e al numero di volte in cui viene visualizzato.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Passaggi successivi

Questo articolo verrà aggiornato. Ecco un breve collegamento che è possibile usare per tornare per ottenere informazioni aggiornate e nuove: https://aka.ms/azureadipv6.

• Usare la condizione di posizione in un criterio di accesso condizionale
• Accesso condizionale: bloccare l'accesso in base alla posizione
• Trovare assistenza e ottenere supporto per Microsoft Entra ID

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.