Restauração de IP de origem

Com um proxy de rede baseado em nuvem entre os usuários e seus recursos, o endereço IP que os recursos veem não corresponde ao endereço IP de origem real. No lugar do IP de origem dos usuários finais, os pontos de extremidade de recurso veem o proxy de nuvem como o endereço IP de origem. Os clientes com essas soluções de proxy de nuvem não podem usar essas informações de IP de origem.

A restauração do IP de origem no Acesso Global Seguro (visualização) permite a compatibilidade com versões anteriores para que os clientes do Microsoft Entra continuem usando o IP de origem do usuário original. Os administradores podem se beneficiar dos seguintes recursos:

• Continue a impor políticas de localização baseadas em IP de origem em de Acesso Condicional e avaliação de acesso contínuo.
• As detecções de risco do Identity Protection obtêm uma exibição consistente do endereço IP de origem do usuário original para avaliar várias pontuações de risco.
• O IP de origem do usuário original também é disponibilizado nos logs de entrada do Microsoft Entra.

Pré-requisitos

• Os administradores que interagem com os recursos da versão prévia do Acesso Global Seguro devem ter uma ou mais das seguintes atribuições de função, dependendo das tarefas que estão executando.
  • A função Administrador do Acesso Seguro Global para gerenciar a versão prévia do recurso do Acesso Seguro Global.
  • Administrador de acesso condicional ou Administrador de Segurança para criar e interagir com políticas de acesso condicional e localizações nomeadas.
• A versão prévia requer uma licença P1 do Microsoft Entra ID. Se necessário, você pode adquirir licenças ou obter licenças de avaliação.

Limitações conhecidas

Quando a restauração do IP de origem está habilitada, você só pode ver o IP de origem. O endereço IP do serviço Acesso Global Seguro não está visível. Se você quiser ver o endereço IP do serviço Acesso Global Seguro, desabilite a restauração do IP de origem.

Atualmente, há suporte para restauração de IP de origem apenas para tráfego do Microsoft 365, como SharePoint Online, Exchange Online, Teams e Microsoft Graph. Se você tiver políticas de Acesso Condicional baseadas em localização IP para recursos não Microsoft 365 protegidos pela CAE (avaliação de acesso contínuo), essas políticas não serão avaliadas no recurso, pois o endereço IP de origem não é conhecido pelo recurso.

Se você estiver usando a imposição de localização estrita do CAE, os usuários serão bloqueados apesar de estarem em um intervalo de IP confiável. Para resolver essa condição, siga uma das seguintes recomendações:

• Se você tiver políticas de Acesso Condicional baseadas em localização IP direcionadas a recursos que não são do Microsoft 365, não habilite a imposição de localização estrita.
• Verifique se o tráfego é compatível com a Restauração de IP de Origem ou não envie o tráfego relevante por meio do Acesso Seguro Global.

Habilitar a sinalização de Acesso Global Seguro para Acesso Condicional

Para habilitar as configurações necessárias para permitir a verificação de rede em conformidade e a restauração de IP de origem, um administrador precisa executar as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como um Administrador do Acesso Global Seguro.
2. Navegue até Acesso Global Seguro (versão prévia)>Configurações globais>Gerenciamento de sessão>Acesso adaptável.
3. Selecione a alternância para habilitar a sinalização de Acesso Global Seguro no Acesso Condicional.

Essa funcionalidade permite que serviços como Microsoft Graph, Microsoft Entra ID, SharePoint Online e Exchange Online vejam o endereço IP de origem real.

Cuidado

Se sua organização tiver políticas de Acesso Condicional ativas com base em verificações de localização de IP e você desabilitar a sinalização de Acesso Global Seguro no Acesso Condicional, você poderá impedir involuntariamente que os usuários finais direcionados possam acessar os recursos. Se você precisar desabilitar esse recurso, primeiro exclua as políticas de Acesso Condicional correspondentes.

Comportamento do log de entrada

Para ver a restauração do IP de origem, um administrador precisará executar as seguintes etapas:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Leitor de Segurança.
2. Navegue até Identidade>Usuários>Todos os usuários> e selecione um dos >Logs de entrada de seus usuários de teste.
3. Com a restauração de IP de origem habilitada, você poderá ver endereços IP que incluem seu endereço IP real.
   • Se a restauração do IP de origem estiver desabilitada, você não verá o endereço IP deles.

Os dados de log de entrada podem levar algum tempo para parecer que esse atraso é normal, pois há algum processamento que deve ocorrer.

Termos de Uso

Seu uso do Acesso Privado do Microsoft Entra e Acesso à Internet do Microsoft Entra experiências e recursos de preview é regido pelos termos e condições de serviço online de preview dos contratos sob os quais você obteve os serviços. As prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado nos Termos de Licença Universais para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft (“DPA”) e quaisquer outros avisos fornecidos com a preview.

Conteúdo relacionado

• Configurar as restrições de locatário V2 (versão prévia)
• Habilitar a verificação de rede em conformidade com o Acesso Condicional
• Impor estritamente políticas de localização usando a avaliação de acesso contínuo