Restauração do IP de origem

  • Artigo

Com um proxy de rede baseado em nuvem entre os usuários e seus recursos, o endereço IP que os recursos veem não corresponde ao endereço IP de origem real. Em vez do IP de origem dos utilizadores finais, os pontos finais de recursos veem o proxy na nuvem como o endereço IP de origem. Os clientes com essas soluções de proxy de nuvem não podem usar essas informações de IP de origem.

A restauração do IP de origem no Global Secure Access (visualização) permite compatibilidade com versões anteriores para que os clientes do Microsoft Entra continuem usando o IP de origem do usuário original. Os administradores podem se beneficiar dos seguintes recursos:

  • Continue a aplicar políticas de localização baseadas em IP de origem em Acesso Condicional e avaliação de acesso contínuo.
  • As deteções de risco da Proteção de Identidade obtêm uma visão consistente do endereço IP de origem do usuário original para avaliar várias pontuações de risco.
  • O IP de origem do usuário original também é disponibilizado nos logs de entrada do Microsoft Entra.

Pré-requisitos

  • Os administradores que interagem com os recursos de visualização do Global Secure Access devem ter ambas as atribuições de função a seguir, dependendo das tarefas que estão executando.
    • A função de Administrador de Acesso Seguro Global para gerenciar os recursos de visualização do Acesso Seguro Global.
    • Administrador de Acesso Condicional ou Administrador de Segurança para criar e interagir com políticas de Acesso Condicional e localizações nomeadas.
  • A pré-visualização requer uma licença Microsoft Entra ID P1. Se necessário, você pode comprar licenças ou obter licenças de avaliação.

Limitações conhecidas

Quando a restauração do IP de origem está habilitada, você só pode ver o IP de origem. O endereço IP do serviço Global Secure Access não está visível. Se você quiser ver o endereço IP do serviço Global Secure Access, desative a restauração do IP de origem.

Atualmente, a restauração do IP de origem é suportada apenas para o tráfego do Microsoft 365, como SharePoint Online, Exchange Online, Teams e Microsoft Graph. Se você tiver políticas de Acesso Condicional baseadas em local IP para recursos que não sejam do Microsoft 365 protegidos por CAE (avaliação contínua de acesso), essas políticas não serão avaliadas no recurso, pois o endereço IP de origem não é conhecido pelo recurso.

Se você estiver usando a aplicação rigorosa de localização do CAE, os usuários serão bloqueados apesar de estarem em um intervalo de IP confiável. Para resolver essa condição, siga uma das seguintes recomendações:

  • Se você tiver políticas de Acesso Condicional baseadas em localização IP direcionadas a recursos que não sejam do Microsoft 365, não habilite a imposição estrita de local.
  • Certifique-se de que o tráfego é suportado pela Restauração de IP de Origem ou não envie o tráfego relevante por meio do Acesso Seguro Global.

Habilitar a sinalização de Acesso Seguro Global para Acesso Condicional

Para habilitar a configuração necessária para permitir a restauração do IP de origem, um administrador deve executar as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra como um Administrador de Acesso Seguro Global.
  2. Navegue até Global Secure Access>Configurações globais>Gerenciamento de>sessão Acesso adaptável.
  3. Selecione a alternância para Ativar sinalização de Acesso Seguro Global em Acesso Condicional.

Essa funcionalidade permite que serviços como Microsoft Graph, Microsoft Entra ID, SharePoint Online e Exchange Online vejam o endereço IP de origem real.

Captura de ecrã a mostrar a alternância para ativar a sinalização no Acesso Condicional.

Atenção

Se a sua organização tiver políticas de Acesso Condicional ativas com base em verificações de localização IP e desativar a sinalização de Acesso Seguro Global no Acesso Condicional, poderá bloquear involuntariamente o acesso aos recursos por parte dos utilizadores finais visados. Se você precisar desabilitar esse recurso, primeiro exclua todas as políticas de Acesso Condicional correspondentes.

Comportamento de log de entrada

Para ver a restauração do IP de origem em ação, os administradores podem executar as etapas a seguir.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Segurança.
  2. Navegue até Identidade>de usuários>Todos os usuários> selecionam um dos seus usuários >de teste Logs de entrada.
  3. Com a restauração de IP de origem habilitada, você verá endereços IP que incluem seu endereço IP real.
    • Se a restauração do IP de origem estiver desativada, você não poderá ver o endereço IP real.

Os dados de log de entrada podem levar algum tempo para parecer, esse atraso é normal, pois há algum processamento que deve ocorrer.

Captura de ecrã dos registos de início de sessão a mostrar eventos com o restauro do IP de origem ativado, depois desativado e, em seguida, ligado novamente.

Termos de Utilização

A sua utilização das experiências e funcionalidades de pré-visualização do Microsoft Entra Private Access e do Microsoft Entra Internet Access é regida pelos termos e condições do serviço online de pré-visualização do(s) contrato(s) ao abrigo do(s) qual(is) obteve os serviços. As Visualizações Prévias podem estar sujeitas a compromissos de segurança, conformidade e privacidade reduzidos ou diferentes, conforme explicado mais detalhadamente nos Termos de Licença Universal para Serviços Online e no Adendo de Proteção de Dados de Produtos e Serviços da Microsoft ("DPA") e em quaisquer outros avisos fornecidos com a Visualização.

Conteúdos relacionados