Bron-IP-herstel

Met een cloudnetwerkproxy tussen gebruikers en hun resources komt het IP-adres dat de resources zien niet overeen met het werkelijke bron-IP-adres. In plaats van het bron-IP-adres van de eindgebruikers zien de resource-eindpunten de cloudproxy als het bron-IP-adres. Klanten met deze cloudproxyoplossingen kunnen deze bron-IP-gegevens niet gebruiken.

Bron-IP-herstel in Global Secure Access maakt achterwaartse compatibiliteit mogelijk voor Microsoft Entra-klanten om het oorspronkelijke ip-adres van de gebruikersbron te blijven gebruiken. Beheerders kunnen profiteren van de volgende mogelijkheden:

• Blijf bron-IP-locatiebeleid afdwingen voor zowel voorwaardelijke toegang als continue toegangsevaluatie.
• Identiteitsbeveiligingsrisicodetecties krijgen een consistente weergave van het oorspronkelijke IP-adres van de gebruikersbron voor het beoordelen van verschillende risicoscores .
• Het oorspronkelijke IP-adres van de gebruikersbron wordt ook beschikbaar gesteld in de aanmeldingslogboeken van Microsoft Entra.

Vereisten

• Beheerders die werken met globale beveiligde toegangsfuncties moeten beide van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
  • De rol Globale Secure Access-beheerder voor het beheren van de globale beveiligingstoegangsfuncties.
  • De beheerder voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en ermee te communiceren.
• Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

Wanneer bron-IP-herstel is ingeschakeld, kunt u alleen het bron-IP-adres zien. Het IP-adres van de Global Secure Access-service is niet zichtbaar. Als u het IP-adres van de Global Secure Access-service wilt zien, schakelt u bron-IP-herstel uit.

Bron-IP-herstel wordt momenteel alleen ondersteund voor Microsoft-verkeer, zoals SharePoint Online, Exchange Online, Teams en Microsoft Graph. Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt voor niet-Microsoft-resources die worden beveiligd door continue toegangsevaluatie (CAE), worden deze beleidsregels niet geëvalueerd bij de resource omdat het bron-IP-adres niet bekend is bij de resource.

Als u de strikte locatie afdwinging van CAE gebruikt, worden gebruikers geblokkeerd ondanks dat ze zich in een vertrouwd IP-bereik bevinden. Als u deze voorwaarde wilt oplossen, voert u een van de volgende aanbevelingen uit:

• Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt dat is gericht op niet-Microsoft-resources, moet u geen strikte locatie afdwingen inschakelen.
• Zorg ervoor dat het verkeer wordt ondersteund door bron-IP-herstel of verzend het relevante verkeer niet via globale beveiligde toegang.

Global Secure Access signaling inschakelen voor voorwaardelijke toegang

Als u de vereiste instelling wilt inschakelen om herstel van bron-IP toe te staan, moet een beheerder de volgende stappen uitvoeren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
2. Blader naar global Secure Access>Global Settings>Session Management>Adaptive Access.
3. Selecteer de wisselknop om Wereldwijde Beveiligde Toegang-signalering in te schakelen in voorwaardelijke toegang.

Met deze functionaliteit kunnen services zoals Microsoft Graph, Microsoft Entra ID, SharePoint Online en Exchange Online het werkelijke bron-IP-adres zien.

Let op

Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van IP-locatiecontroles en u global Secure Access signaling uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat de beoogde eindgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.

Aanmeldingslogboekgedrag

Beheerders kunnen de volgende stappen uitvoeren om het bron-IP-herstel in actie te zien.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
2. Blader naar Identiteitsgebruikers>>Alle gebruikers> selecteren een van uw aanmeldingslogboeken voor testgebruikers.>
3. Als bron-IP-herstel is ingeschakeld, ziet u IP-adressen die het werkelijke IP-adres bevatten.
   • Als bron-IP-herstel is uitgeschakeld, kunt u het werkelijke IP-adres niet zien.

Het kan enige tijd duren voordat de aanmeldingsgegevens worden weergegeven. Deze vertraging is normaal omdat er enige verwerking moet plaatsvinden.

Gerelateerde inhoud

• Tenantbeperkingen instellen v2 (preview)
• Compatibele netwerkcontrole met voorwaardelijke toegang inschakelen
• Locatiebeleid strikt afdwingen met continue toegangsevaluatie