Восстановление исходного IP-адреса

С помощью облачного сетевого прокси-сервера между пользователями и их ресурсами IP-адрес, который отображается в ресурсах, не соответствует фактическому исходному IP-адресу. Вместо исходного IP-адреса конечных пользователей конечные точки ресурсов видят облачный прокси-сервер в качестве исходного IP-адреса. Клиенты с этими облачными прокси-решениями не могут использовать эти исходные IP-адреса.

Восстановление исходного IP-адреса в global Secure Access (предварительная версия) позволяет клиентам Microsoft Entra продолжить использование исходного IP-адреса источника пользователя. Администратор istrators могут воспользоваться следующими возможностями:

• Продолжайте применять политики расположения на основе исходного IP-адреса как в условном доступе, так и в оценке непрерывного доступа.
• Обнаружения рисков защиты идентификации получают согласованное представление исходного IP-адреса источника пользователя для оценки различных показателей риска.
• Исходный IP-адрес источника пользователя также доступен в журналах входа Microsoft Entra.

Необходимые компоненты

• Администратор istrator, взаимодействующие с Функции предварительной версии global Secure Access должны иметь оба следующих назначения ролей в зависимости от выполняемых задач.
  • Роль глобального безопасного доступа Администратор istrator для управления функциями предварительной версии Global Secure Access.
  • Условный доступ Администратор istrator или security Администратор istrator для создания и взаимодействия с политиками условного доступа и именованных расположений.
• Для предварительной версии требуется лицензия Microsoft Entra ID P1. При необходимости вы можете приобрести лицензии или получить пробные лицензии.

Известные ограничения

При включении восстановления исходного IP-адреса можно увидеть только исходный IP-адрес. IP-адрес службы глобального безопасного доступа не отображается. Если вы хотите просмотреть IP-адрес службы глобального безопасного доступа, отключите восстановление исходного IP-адреса.

Восстановление исходного IP-адреса в настоящее время поддерживается только для трафика Microsoft 365, например SharePoint Online, Exchange Online, Teams и Microsoft Graph. Если у вас есть политики условного доступа на основе IP-адресов для ресурсов, отличных от Microsoft 365, защищенных при оценке непрерывного доступа (CAE), эти политики не оцениваются по ресурсу, так как исходный IP-адрес не известен ресурсу.

Если вы используете строгое применение расположения CAE, пользователи блокируются, несмотря на то, что находятся в доверенном диапазоне IP-адресов. Чтобы устранить это условие, выполните одну из следующих рекомендаций:

• Если у вас есть политики условного доступа на основе IP-адресов, предназначенные для ресурсов, отличных от Microsoft 365, не включите строгое применение расположения.
• Убедитесь, что трафик поддерживается восстановлением исходного IP-адреса или не отправляет соответствующий трафик через глобальный безопасный доступ.

Включение сигнала глобального безопасного доступа для условного доступа

Чтобы включить необходимый параметр для разрешения восстановления исходного IP-адреса, администратор должен выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве глобального Администратор istrator глобального безопасного доступа.
2. Перейдите к global Secure Access>Global settings>Session Management>Adaptive Access .
3. Выберите переключатель, чтобы включить сигнал глобального безопасного доступа в условном доступе.

Эта функция позволяет службам, таким как Microsoft Graph, идентификатор Microsoft Entra, SharePoint Online и Exchange Online, просматривать фактический исходный IP-адрес.

Внимание

Если у вашей организации есть активные политики условного доступа на основе ip-расположений проверка, и вы отключите сигнал глобального безопасного доступа в условном доступе, вы можете непреднамеренно блокировать доступ конечных пользователей к ресурсам. Если эту функцию необходимо отключить, сначала удалите все соответствующие политики условного доступа.

Поведение журнала входа

Чтобы просмотреть восстановление исходного IP-адреса в действии, администраторы могут выполнить следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения безопасности.
2. Перейдите на страницу "Пользователи>удостоверений>",> чтобы выбрать один из журналов входа тестовых пользователей.>
3. При включенном восстановлении исходного IP-адреса отображаются IP-адреса, которые включают фактический IP-адрес.
   • Если восстановление исходного IP-адреса отключено, его фактический IP-адрес не отображается.

Данные журнала входа могут занять некоторое время, чтобы показать эту задержку нормально, так как требуется некоторая обработка.

Условия использования

Использование Частный доступ Microsoft Entra и Интернет-доступ Microsoft Entra предварительных версий и функций регулируется условиями предварительной версии веб-службы соглашений, в соответствии с которыми вы получили услуги. Предварительные версии могут быть подвержены снижению или другим обязательствам по обеспечению безопасности, соответствия требованиям и конфиденциальности, как описано далее в условиях универсального лицензионного соглашения для веб-служб и надстройки защиты данных Майкрософт (DPA) и других уведомлениях, предоставляемых предварительной версией.

Связанный контент

• Настройка ограничений клиента версии 2 (предварительная версия)
• Включение совместимых сетевых проверка с условным доступом
• Строго принудительно применять политики расположения с помощью оценки непрерывного доступа