Käll-IP-återställning

Med en molnbaserad nätverksproxy mellan användare och deras resurser matchar inte IP-adressen som resurserna ser den faktiska käll-IP-adressen. I stället för slutanvändarnas käll-IP ser resursslutpunkterna molnproxyn som källans IP-adress. Kunder med dessa molnproxylösningar kan inte använda den här käll-IP-informationen.

Käll-IP-återställning i Global Säker åtkomst (förhandsversion) tillåter bakåtkompatibilitet för Microsoft Entra-kunder för att fortsätta använda den ursprungliga användarens käll-IP. Administratörer kan dra nytta av följande funktioner:

• Fortsätt att framtvinga IP-baserade källplatsprinciper för både villkorlig åtkomst och utvärdering av kontinuerlig åtkomst.
• Identity Protection-riskidentifieringar får en konsekvent vy över den ursprungliga användarens käll-IP-adress för att utvärdera olika riskpoäng.
• Käll-IP-adressen för den ursprungliga användaren görs också tillgänglig i Inloggningsloggarna för Microsoft Entra.

Förutsättningar

• Administratörer som interagerar med förhandsgranskningsfunktioner för global säker åtkomst måste ha båda följande rolltilldelningar beroende på vilka uppgifter de utför.
  • Rollen Global administratör för säker åtkomst för att hantera förhandsgranskningsfunktionerna för global säker åtkomst.
  • Administratören för villkorlig åtkomst för att skapa och interagera med principer för villkorsstyrd åtkomst.
• Förhandsgranskningen kräver en Microsoft Entra ID P1-licens. Om det behövs kan du köpa licenser eller få utvärderingslicenser.

Kända begränsningar

När käll-IP-återställning är aktiverat kan du bara se käll-IP-adressen. IP-adressen för tjänsten Global säker åtkomst visas inte. Om du vill se IP-adressen för tjänsten Global säker åtkomst inaktiverar du återställning av käll-IP.

Käll-IP-återställning stöds för närvarande endast för Microsoft 365-trafik, till exempel SharePoint Online, Exchange Online, Teams och Microsoft Graph. Om du har ip-platsbaserade principer för villkorlig åtkomst för icke-Microsoft 365-resurser som skyddas av utvärdering av kontinuerlig åtkomst (CAE) utvärderas inte dessa principer på resursen eftersom källans IP-adress inte är känd för resursen.

Om du använder CAE:s strikta platstillämpning blockeras användarna trots att de är i ett betrott IP-intervall. Lös det här villkoret genom att göra något av följande rekommendationer:

• Om du har IP-platsbaserade principer för villkorsstyrd åtkomst som riktar sig till icke-Microsoft 365-resurser ska du inte aktivera strikt platstillämpning.
• Kontrollera att trafiken stöds av käll-IP-återställning eller skicka inte relevant trafik via global säker åtkomst.

Aktivera global signal för säker åtkomst för villkorlig åtkomst

Om du vill aktivera den obligatoriska inställningen för att tillåta återställning av käll-IP måste en administratör utföra följande steg.

1. Logga in på administrationscentret för Microsoft Entra som global administratör för säker åtkomst.
2. Bläddra till Globala inställningar för global>åtkomst>Sessionshantering>Anpassad åtkomst.
3. Välj reglaget för att aktivera global signal för säker åtkomst i villkorsstyrd åtkomst.

Med den här funktionen kan tjänster som Microsoft Graph, Microsoft Entra ID, SharePoint Online och Exchange Online se den faktiska käll-IP-adressen.

Varning

Om din organisation har aktiva principer för villkorlig åtkomst baserat på IP-platskontroller och du inaktiverar global signal om säker åtkomst i villkorsstyrd åtkomst kan du oavsiktligt blockera målanvändare från att komma åt resurserna. Om du måste inaktivera den här funktionen tar du först bort motsvarande principer för villkorsstyrd åtkomst.

Inloggningsloggbeteende

Administratörer kan vidta följande steg för att se hur käll-IP-återställningen fungerar.

1. Logga in på administrationscentret för Microsoft Entra som minst en säkerhetsläsare.
2. Bläddra till Identitetsanvändare>>Alla användare> väljer en av testanvändarna >Inloggningsloggar.
3. När käll-IP-återställning är aktiverat ser du IP-adresser som innehåller deras faktiska IP-adress.
   • Om käll-IP-återställning har inaktiverats kan du inte se deras faktiska IP-adress.

Inloggningsloggdata kan ta lite tid att visa att den här fördröjningen är normal eftersom det finns viss bearbetning som måste utföras.

Användningsvillkor

Din användning av Microsoft Entra privatåtkomst och Microsoft Entra internetåtkomst förhandsversionsupplevelser och funktioner styrs av förhandsversionen av onlinetjänstens villkor för de avtal där du fick tjänsterna. Förhandsversioner kan omfattas av begränsade eller olika säkerhets-, efterlevnads- och sekretessåtaganden, vilket beskrivs ytterligare i de universella licensvillkoren för onlinetjänster och Microsoft Products and Services Data Protection Addendum ("DPA") och eventuella andra meddelanden som tillhandahålls med förhandsversionen.

Relaterat innehåll

• Konfigurera klientbegränsningar V2 (förhandsversion)
• Aktivera kompatibel nätverkskontroll med villkorsstyrd åtkomst
• Strikt framtvinga platsprinciper med kontinuerlig åtkomstutvärdering