Bron-IP-herstel
Met een cloudnetwerkproxy tussen gebruikers en hun resources komt het IP-adres dat de resources zien niet overeen met het werkelijke bron-IP-adres. In plaats van het bron-IP-adres van de eindgebruikers zien de resource-eindpunten de cloudproxy als het bron-IP-adres. Klanten met deze cloudproxyoplossingen kunnen deze bron-IP-gegevens niet gebruiken.
Bron-IP-herstel in Global Secure Access maakt achterwaartse compatibiliteit mogelijk voor Microsoft Entra-klanten om het oorspronkelijke ip-adres van de gebruikersbron te blijven gebruiken. Beheerders kunnen profiteren van de volgende mogelijkheden:
- Blijf bron-IP-locatiebeleid afdwingen voor zowel voorwaardelijke toegang als continue toegangsevaluatie.
- Identiteitsbeveiligingsrisicodetecties krijgen een consistente weergave van het oorspronkelijke IP-adres van de gebruikersbron voor het beoordelen van verschillende risicoscores .
- Het oorspronkelijke IP-adres van de gebruikersbron wordt ook beschikbaar gesteld in de aanmeldingslogboeken van Microsoft Entra.
Vereisten
- Beheerders die werken met globale beveiligde toegangsfuncties moeten beide van de volgende roltoewijzingen hebben, afhankelijk van de taken die ze uitvoeren.
- Voor het product is licentie vereist. Zie de licentiesectie van Wat is wereldwijde beveiligde toegang. Indien nodig kunt u licenties kopen of proeflicenties krijgen.
Bekende beperkingen
Wanneer bron-IP-herstel is ingeschakeld, kunt u alleen het bron-IP-adres zien. Het IP-adres van de Global Secure Access-service is niet zichtbaar. Als u het IP-adres van de Global Secure Access-service wilt zien, schakelt u bron-IP-herstel uit.
Bron-IP-herstel wordt momenteel alleen ondersteund voor Microsoft-verkeer, zoals SharePoint Online, Exchange Online, Teams en Microsoft Graph. Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt voor niet-Microsoft-resources die worden beveiligd door continue toegangsevaluatie (CAE), worden deze beleidsregels niet geƫvalueerd bij de resource omdat het bron-IP-adres niet bekend is bij de resource.
Als u de strikte locatie afdwinging van CAE gebruikt, worden gebruikers geblokkeerd ondanks dat ze zich in een vertrouwd IP-bereik bevinden. Als u deze voorwaarde wilt oplossen, voert u een van de volgende aanbevelingen uit:
- Als u beleid voor voorwaardelijke toegang op basis van IP-locaties hebt dat is gericht op niet-Microsoft-resources, moet u geen strikte locatie afdwingen inschakelen.
- Zorg ervoor dat het verkeer wordt ondersteund door bron-IP-herstel of verzend het relevante verkeer niet via globale beveiligde toegang.
Global Secure Access signaling inschakelen voor voorwaardelijke toegang
Als u de vereiste instelling wilt inschakelen om herstel van bron-IP toe te staan, moet een beheerder de volgende stappen uitvoeren.
- Meld u aan bij het Microsoft Entra-beheercentrum als globale beheerder voor beveiligde toegang.
- Blader naar global Secure Access>Global Settings>Session Management>Adaptive Access.
- Selecteer de wisselknop om Wereldwijde Beveiligde Toegang-signalering in te schakelen in voorwaardelijke toegang.
Met deze functionaliteit kunnen services zoals Microsoft Graph, Microsoft Entra ID, SharePoint Online en Exchange Online het werkelijke bron-IP-adres zien.
Let op
Als uw organisatie actieve beleidsregels voor voorwaardelijke toegang heeft op basis van IP-locatiecontroles en u global Secure Access signaling uitschakelt in voorwaardelijke toegang, kunt u onbedoeld voorkomen dat de beoogde eindgebruikers toegang hebben tot de resources. Als u deze functie moet uitschakelen, moet u eerst alle bijbehorende beleidsregels voor voorwaardelijke toegang verwijderen.
Aanmeldingslogboekgedrag
Beheerders kunnen de volgende stappen uitvoeren om het bron-IP-herstel in actie te zien.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingslezer.
- Blader naar Identiteitsgebruikers>>Alle gebruikers> selecteren een van uw aanmeldingslogboeken voor testgebruikers.>
- Als bron-IP-herstel is ingeschakeld, ziet u IP-adressen die het werkelijke IP-adres bevatten.
- Als bron-IP-herstel is uitgeschakeld, kunt u het werkelijke IP-adres niet zien.
Het kan enige tijd duren voordat de aanmeldingsgegevens worden weergegeven. Deze vertraging is normaal omdat er enige verwerking moet plaatsvinden.