Bron-IP-herstel

Met een cloudnetwerkproxy tussen gebruikers en hun resources komt het IP-adres dat de resources zien niet overeen met het werkelijke bron-IP-adres. In plaats van het bron-IP-adres van de eindgebruikers zien de resource-eindpunten de cloudproxy als het bron-IP-adres. Klanten met deze cloudproxyoplossingen kunnen deze bron-IP-gegevens niet gebruiken.

Met bron-IP-herstel in Global Secure Access (preview) kunnen klanten van Microsoft Entra achterwaartse compatibiliteit het oorspronkelijke IP-adres van de gebruikersbron blijven gebruiken. Beheer istrators kunnen profiteren van de volgende mogelijkheden:

• Blijf bron-IP-locatiebeleid afdwingen voor zowel voorwaardelijke toegang als continue toegangsevaluatie.
• Identiteitsbeveiligingsrisicodetecties krijgen een consistente weergave van het oorspronkelijke IP-adres van de gebruikersbron voor het beoordelen van verschillende risicoscores .
• Het oorspronkelijke IP-adres van de gebruikersbron wordt ook beschikbaar gesteld in de aanmeldingslogboeken van Microsoft Entra.

Vereisten

• Beheer istrators die interactie hebben met De preview-functies van Global Secure Access moeten beide van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
  • De rol global Secure Access Beheer istrator om de preview-functies van Global Secure Access te beheren.
  • De Beheer istrator voor voorwaardelijke toegang om beleid voor voorwaardelijke toegang te maken en te gebruiken.
• Voor de preview is een Licentie voor Microsoft Entra ID P1 vereist. Indien nodig kunt u licenties kopen of proeflicenties krijgen.

Bekende beperkingen

Wanneer bron-IP-herstel is ingeschakeld, kunt u alleen het bron-IP-adres zien. Het IP-adres van de Global Secure Access-service is niet zichtbaar. Als u het IP-adres van de Global Secure Access-service wilt zien, schakelt u bron-IP-herstel uit.

Bron-IP-herstel wordt momenteel alleen ondersteund voor Microsoft 365-verkeer, zoals SharePoint Online, Exchange Online, Teams en Microsoft Graph. Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt voor niet-Microsoft 365-resources die worden beveiligd door continue toegangsevaluatie (CAE), worden deze beleidsregels niet geëvalueerd bij de resource omdat het bron-IP-adres niet bekend is bij de resource.

Als u de strikte locatie afdwinging van CAE gebruikt, worden gebruikers geblokkeerd ondanks dat ze zich in een vertrouwd IP-bereik bevinden. Als u deze voorwaarde wilt oplossen, voert u een van de volgende aanbevelingen uit:

• Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt dat is gericht op niet-Microsoft 365-resources, moet u geen strikte locatie afdwingen inschakelen.
• Zorg ervoor dat het verkeer wordt ondersteund door bron-IP-herstel of verzend het relevante verkeer niet via globale beveiligde toegang.

Global Secure Access signaling inschakelen voor voorwaardelijke toegang

Als u de vereiste instelling wilt inschakelen om herstel van bron-IP toe te staan, moet een beheerder de volgende stappen uitvoeren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als een global Secure Access Beheer istrator.
2. Blader naar global Secure Access>Global Settings>Session Management>Adaptive Access.
3. Selecteer de wisselknop om global Secure Access-signalering in te schakelen in voorwaardelijke toegang.

Met deze functionaliteit kunnen services zoals Microsoft Graph, Microsoft Entra ID, SharePoint Online en Exchange Online het werkelijke bron-IP-adres zien.

Let op

Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van IP-locatiecontroles en u global Secure Access signaling uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat de beoogde eindgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.

Aanmeldingslogboekgedrag

Beheerders kunnen de volgende stappen uitvoeren om het bron-IP-herstel in actie te zien.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
2. Blader naar Identiteitsgebruikers>>Alle gebruikers> selecteren een van uw aanmeldingslogboeken voor testgebruikers.>
3. Als bron-IP-herstel is ingeschakeld, ziet u IP-adressen die het werkelijke IP-adres bevatten.
   • Als bron-IP-herstel is uitgeschakeld, kunt u het werkelijke IP-adres niet zien.

Het kan enige tijd duren voordat de aanmeldingsgegevens worden weergegeven. Deze vertraging is normaal omdat er enige verwerking moet plaatsvinden.

Gebruiksvoorwaarden

Uw gebruik van de Microsoft Entra-privétoegang en Microsoft Entra-internettoegang preview-ervaringen en -functies is onderhevig aan de voorwaarden van de online online servicevoorwaarden van de overeenkomst(en) waaronder u de services hebt verkregen. Previews kunnen onderhevig zijn aan verminderde of andere verplichtingen op het gebied van beveiliging, naleving en privacy, zoals verder wordt uitgelegd in de universele licentievoorwaarden voor onlineservices en de Microsoft-gegevensbeschermingstoevoeging ('DPA') en eventuele andere kennisgevingen die bij de preview worden geleverd.

Gerelateerde inhoud

• Tenantbeperkingen instellen V2 (preview)
• Compatibele netwerkcontrole met voorwaardelijke toegang inschakelen
• Locatiebeleid strikt afdwingen met continue toegangsevaluatie