IPv6-stöd i Microsoft Entra ID

Obs!

Var den här artikeln användbar? Dina indata är viktiga för oss. Använd knappen Feedback på den här sidan för att berätta hur bra den här artikeln fungerade för dig eller hur vi kan förbättra den.

Vi är glada över att få IPv6-support till Microsoft Entra ID, för att stödja kunder med ökad rörlighet och bidra till att minska utgifterna för snabbt uttömda, dyra IPv4-adresser. Mer information om hur den här ändringen kan påverka Microsoft 365 finns i IPv6-support i Microsoft 365-tjänster.

Om organisationens nätverk inte stöder IPv6 idag kan du ignorera den här informationen tills de gör det.

Vad förändras?

Våra url:er för tjänstslutpunkter kommer nu att matchas för att returnera både IPv4- och IPv6-adresser. Om en klientplattform eller ett nätverk stöder IPv6 kommer anslutningen främst att försökas med IPv6, förutsatt att nätverkshoppen som finns däremellan (till exempel brandväggar eller webbproxyservrar) också stöder IPv6. För miljöer som inte stöder IPv6 fortsätter klientprogrammen att ansluta till Microsoft Entra ID via IPv4.

Följande funktioner stöder även IPv6-adresser:

• Namngivna platser
• Principer för villkorsstyrd åtkomst
• Identitetsskydd
• Inloggningsloggar

När kommer IPv6 att stödjas i Microsoft Entra ID?

Vi börjar introducera IPv6-stöd för Microsoft Entra ID i april 2023.

Vi vet att IPv6-stöd är en betydande förändring för vissa organisationer. Vi publicerar den här informationen nu så att kunderna kan planera för att säkerställa beredskapen.

Vad måste min organisation göra?

Om du har offentliga IPv6-adresser som representerar nätverket vidtar du de åtgärder som beskrivs i följande avsnitt så snart som möjligt.

Om kunderna inte uppdaterar sina namngivna platser med dessa IPv6-adresser blockeras deras användare.

Åtgärder att vidta

• Testa Microsoft Entra autentisering via IPv6
• Hitta IPv6-adresser i inloggningsloggar
• Skapa eller uppdatera namngivna platser för att inkludera identifierade IPv6-adresser

Namngivna platser

Namngivna platser delas mellan många funktioner, till exempel villkorlig åtkomst, identitetsskydd och B2C. Kunder bör samarbeta med sina nätverksadministratörer och Internetleverantörer för att identifiera sina offentliga IPv6-adresser. Kunder bör sedan använda den här listan för att skapa eller uppdatera namngivna platser för att inkludera deras identifierade IPv6-adresser.

Villkorsstyrd åtkomst

När du konfigurerar principer för villkorsstyrd åtkomst kan organisationer välja att inkludera eller exkludera platser som ett villkor. Dessa namngivna platser kan innehålla offentliga IPv4- eller IPv6-adresser, land eller region eller okända områden som inte mappas till specifika länder eller regioner.

• Om du lägger till IPv6-intervall på en befintlig namngiven plats, som används i befintliga principer för villkorsstyrd åtkomst, krävs inga ändringar.
• Om du skapar nya namngivna platser för organisationens IPv6-intervall måste du uppdatera relevanta principer för villkorsstyrd åtkomst med dessa nya platser.

Molnproxyservrar och VPN-nätverk

När en molnproxy är på plats kan en princip som kräver en Microsoft Entra hybridanslutning eller klagomålsenhet vara enklare att hantera. Det kan vara nästan omöjligt att hålla en lista över IP-adresser som används av din molnbaserade proxy eller VPN-lösning uppdaterad.

Microsoft Entra multifaktorautentisering per användare

Om du är en kund som använder multifaktorautentisering per användare, har du lagt till IPv4-adresser som representerar lokala betrodda nätverk med betrodda IP-adresser i stället för namngivna platser? Om du har gjort det kan du se en fråga om multifaktorautentisering för en begäran som initierades via lokala IPv6-aktiverade utgående punkter.

Användning av multifaktorautentisering per användare rekommenderas inte, såvida inte dina Microsoft Entra ID licenser inte innehåller villkorsstyrd åtkomst och du inte vill använda standardinställningar för säkerhet.

Begränsningar för utgående trafik

Om din organisation begränsar utgående nätverkstrafik till specifika IP-intervall måste du uppdatera dessa adresser så att de inkluderar IPv6-slutpunkter. Administratörer kan hitta dessa IP-intervall i följande artiklar:

• URL-adresser och IP-adressintervall för Office 365
• Microsoft Entra Connect: Felsöka anslutningsproblem med Microsoft Entra

Kontrollera att du tillåter utgående åtkomst i proxyn eller brandväggen för de IP-intervall som anges för Microsoft Entra ID.

Enhetskonfiguration

Som standard stöds både IPv6- och IPv4-trafik på Windows och de flesta andra operativsystemplattformar (OS). Ändringar i IPv6-standardkonfigurationen kan leda till oavsiktliga konsekvenser. Mer information finns i Vägledning för att konfigurera IPv6 i Windows för avancerade användare.

Tjänstslutpunkter

Implementeringen av IPv6-stöd i Microsoft Entra ID påverkar inte Tjänstslutpunkter för Azure Virtual Network. Tjänstslutpunkter stöder fortfarande inte IPv6-trafik. Mer information finns i Begränsningar för Virtual Network tjänstslutpunkter.

Testa Microsoft Entra autentisering via IPv6

Du kan testa Microsoft Entra autentisering över IPv6 innan vi aktiverar den över hela världen med hjälp av följande procedurer. De här procedurerna hjälper dig att verifiera IPv6-intervallkonfigurationer. Den rekommenderade metoden är att använda en NRPT-regel (Name Resolution Policy Table) som skickas till dina Microsoft Entra anslutna Windows-enheter. Med NRPT i Windows Server kan du implementera en global eller lokal princip som åsidosätter DNS-matchningssökvägar. Med den här funktionen kan du omdirigera DNS för olika fullständigt kvalificerade domännamn (FQDN) till särskilda DNS-servrar som är konfigurerade för att ha IPv6 DNS-poster för Microsoft Entra inloggning. Det är enkelt att aktivera och inaktivera NRPT-regler med hjälp av ett PowerShell-skript. Du kan använda Microsoft Intune för att push-överföra den här funktionen till klienter.

Obs!

• Microsoft tillhandahåller endast dessa instruktioner för testning. Du måste ta bort följande konfigurationer senast i maj 2023 för att säkerställa att dina klienter använder DNS-produktionsservrar. DNS-servrarna i följande procedurer kan inaktiveras efter maj 2023.

• Vi rekommenderar att du använder cmdleten Resolve-DnsName för att verifiera NRPT-regler. Om du använder kommandot nslookup kan resultatet skilja sig åt beroende på skillnaderna mellan dessa verktyg.

• Kontrollera att du har öppen nätverksanslutning på TCP- och UDP-port 53 mellan klientenheterna och DNS-servrarna som används för NRPT-regeln.

Konfigurera en NRPT-klientregel manuellt – offentligt moln

1. Öppna en PowerShell-konsol som administratör (högerklicka på PowerShell-ikonen och välj Kör som administratör).

2. Lägg till en NRPT-regel genom att köra följande kommandon:

   $DnsServers = (
       "ns1-37.azure-dns.com.",
       "ns2-37.azure-dns.net.",
       "ns3-37.azure-dns.org.",
       "ns4-37.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.com"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT"
   }
   Add-DnsClientNrptRule @params
   

3. Kontrollera att klienten hämtar IPv6-svar för login.microsoftonline.com genom att köra cmdleten Resolve-DnsName . Kommandoutdata bör likna följande text:

   PS C:\users\username> Resolve-DnsName login.microsoftonline.com
   Name                          Type   TTL   Section    IPAddress 
   ----                          ----   ---   -------    --------- 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::8 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::5 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::4 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::9 
   login.microsoftonline.com     AAAA   300   Answer     2603:1037:1:c8::a 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d8::2 
   login.microsoftonline.com     AAAA   300   Answer     2603:1036:3000:d0::7 
   login.microsoftonline.com     A      300   Answer     20.190.151.7 
   login.microsoftonline.com     A      300   Answer     20.190.151.67 
   login.microsoftonline.com     A      300   Answer     20.190.151.69 
   login.microsoftonline.com     A      300   Answer     20.190.151.68 
   login.microsoftonline.com     A      300   Answer     20.190.151.132 
   login.microsoftonline.com     A      300   Answer     20.190.151.70 
   login.microsoftonline.com     A      300   Answer     20.190.151.9 
   login.microsoftonline.com     A      300   Answer     20.190.151.133 
   

4. Om du vill ta bort NRPT-regeln kör du det här PowerShell-skriptet:

   Get-DnsClientNrptRule | Where-Object {
       $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
   } | Remove-DnsClientNrptRule -Force
   

Konfigurera en NRPT-klientregel manuellt – US Gov-molnet

På samma sätt som skriptet för det offentliga molnet skapar följande skript en NRPT-regel för US Gov-inloggningsslutpunkten login.microsfotonline.us.

1. Öppna en PowerShell-konsol som administratör genom att högerklicka på PowerShell-ikonen och välja Kör som administratör.

2. Lägg till en NRPT-regel genom att köra följande kommandon:

   $DnsServers = (
       "ns1-35.azure-dns.com.",
       "ns2-35.azure-dns.net.",
       "ns3-35.azure-dns.org.",
       "ns4-35.azure-dns.info."
   )
   $DnsServerIPs = $DnsServers | Foreach-Object {
       (Resolve-DnsName $_).IPAddress | Select-Object -Unique
   }
   $params = @{
       Namespace = "login.microsoftonline.us"
       NameServers = $DnsServerIPs
       DisplayName = "AZURE-AD-NRPT-USGOV"
   }
   Add-DnsClientNrptRule @params
   

Distribuera NRPT-regel med Intune

Om du vill distribuera NRPT-regeln till flera datorer med hjälp av Intune skapar du en Win32-app och tilldelar den till en eller flera enheter.

Steg 1: Skapa skripten

Skapa en mapp och spara sedan följande installations- och återställningsskript (InstallScript.ps1 och RollbackScript.ps1) i den så att du kan skapa .intunewin-filen för användning i distributionen.

InstallScript.ps1

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}

# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output ("Azure AD NRPT rule exists: {0}" -F $existingRules) 
} 
else { 
    Write-Output "Adding Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $params = @{
        Namespace = "login.microsoftonline.com"
        NameServers = $DnsServerIPs
        DisplayName = "AZURE-AD-NRPT"
    }
    Add-DnsClientNrptRule @params
}  

RollbackScript.ps1

# Remove the Azure AD NRPT rule.
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output "Removing Azure AD NRPT DNS rule for login.microsoftonline.com ..." 
    $existingRules | Format-Table 
    $existingRules | Remove-DnsClientNrptRule -Force 
} 
else { 
    Write-Output "Azure AD NRPT rule does not exist. Device was successfully remediated."
}

DetectionScript.ps1

Spara följande skript (DetectionScript.ps1) på en annan plats. Sedan kan du referera till identifieringsskriptet i programmet när du skapar det i Intune.

# Add Azure AD NRPT rule.
$DnsServers = (
    "ns1-37.azure-dns.com.",
    "ns2-37.azure-dns.net.",
    "ns3-37.azure-dns.org.",
    "ns4-37.azure-dns.info."
)
$DnsServerIPs = $DnsServers | Foreach-Object {
    (Resolve-DnsName $_).IPAddress | Select-Object -Unique
}
# List the rules.
$existingRules = Get-DnsClientNrptRule | Where-Object {
    $_.DisplayName -match "AZURE-AD-NRPT" -or $_.Namespace -match "login.microsoftonline.com"
}
if ($existingRules) { 
    Write-Output 'Compliant' 
}  

Steg 2: Paketera skripten som en .intunewin-fil

Se Förbereda Win32-appinnehåll för uppladdning för att skapa en .intunewin-fil från mappen och skripten som du sparade tidigare.

Steg 3: Skapa Win32-programmet

Följande instruktioner visar hur du skapar det nödvändiga Win32-programmet. Mer information finns i Lägga till, tilldela och övervaka en Win32-app i Microsoft Intune.

1. Logga in på Intune-portalen.

2. Välj Appar>Alla appar och välj sedan + Lägg till för att skapa en ny Win32-app.

3. I listrutan Apptyp väljer du Windows-app (Win32) och sedan Välj.

4. På sidan Appinformation klickar du på Välj appaketfil för att välja den .intunewin-fil som du skapade tidigare. Välj OK för att fortsätta.

5. Gå tillbaka till sidan Appinformation och ange sedan ett beskrivande namn, beskrivning och utgivare för programmet. Andra fält är valfria. Gå vidare genom att klicka på Nästa.

6. På sidan Program anger du följande information och väljer Nästa.

   • Installera kommandosträng :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "InstallScript.ps1"
   • Avinstallera kommandosträng :
     powershell.exe -executionpolicy bypass -NoLogo -NoProfile -NonInteractive -WindowStyle Hidden -file "RollbackScript.ps1"
   • Installationsbeteende:
     System

7. På sidan Krav väljer du både Operativsystemarkitekturer och anger Lägsta operativsystem till Windows 10 1607. Gå vidare genom att klicka på Nästa.

8. På sidan Identifiering väljer du Använd ett anpassat identifieringsskript i listrutan Regelformat . Välj bläddra-knappen bredvid rutan Skriptfil för att välja identifieringsskriptet. Lämna de återstående fälten som standardvärden. Gå vidare genom att klicka på Nästa.

9. Välj Nästa på sidan Beroenden för att fortsätta utan några ändringar.

10. Välj Nästa på sidan Ersättning (förhandsversion) för att fortsätta utan några ändringar.

11. På sidan Tilldelningar skapar du tilldelningar baserat på dina krav och väljer sedan Nästa för att fortsätta.

12. Granska informationen en sista gång på sidan Granska + skapa . När du har slutfört valideringen väljer du Skapa för att skapa programmet.

Hitta IPv6-adresser i inloggningsloggar

Använd en eller flera av följande metoder för att jämföra listan över IPv6-adresser med de adresser som du förväntar dig. Överväg att lägga till dessa IPv6-adresser på dina namngivna platser och markera vissa som betrodda där det är lämpligt. Du behöver minst rollen Rapportläsare tilldelad för att kunna läsa inloggningsloggen.

Azure Portal

1. Logga in på Azure Portal som rapportläsare, säkerhetsläsare, global läsare, säkerhetsadministratör eller annan roll med behörighet.
2. Bläddra till Microsoft Entra ID>Inloggningar.
3. Välj + Lägg till filter>IP-adress och välj Tillämpa.
4. I rutan Filtrera efter IP-adress infogar du ett kolon (:).
5. Du kan också ladda ned den här listan med loggposter till JSON- eller CSV-format för vidare bearbetning.

Log Analytics

Om din organisation använder Log Analytics kan du fråga efter IPv6-adresser i loggarna med hjälp av följande fråga.

union SigninLogs, AADNonInteractiveUserSignInLogs
| where IPAddress has ":"
| summarize RequestCount = count() by IPAddress, AppDisplayName, NetworkLocationDetails
| sort by RequestCount

PowerShell

Organisationer kan använda följande PowerShell-skript för att fråga Microsoft Entra inloggningsloggar i Microsoft Graph PowerShell. Skriptet ger dig en lista över IPv6-adresser tillsammans med programmet och antalet gånger det visas.

$tId = "TENANT ID"  # Add the Azure Active Directory tenant ID.
$agoDays = 2  # Will filter the log for $agoDays from the current date and time.
$startDate = (Get-Date).AddDays(-($agoDays)).ToString('yyyy-MM-dd')  # Get filter start date.
$pathForExport = "./"  # The path to the local filesystem for export of the CSV file. 

Connect-MgGraph -Scopes "AuditLog.Read.All" -TenantId $tId 

# Get both interactive and non-interactive IPv6 sign-ins.
$signInsInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All
$signInsNonInteractive = Get-MgAuditLogSignIn -Filter "contains(IPAddress, ':')" -All 

# Summarize IPv6 & app display name count.
$signInsInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_Interactive_IPv6_$tId.csv") -NoTypeInformation
$signInsNonInteractive |
    Group-Object IPaddress, AppDisplayName |
    Select-Object @{Name = 'IPaddress'; Expression = {$_.Group[0].IPaddress}},
        @{Name = 'AppDisplayName'; Expression = {$_.Group[0].AppDisplayName}},
        Count |
    Sort-Object -Property Count –Descending |
    Export-Csv -Path ($pathForExport + "Summary_NonInteractive_IPv6_$tId.csv") -NoTypeInformation

Nästa steg

Vi håller den här artikeln uppdaterad. Här är en kort länk som du kan använda för att komma tillbaka för uppdaterad och ny information: https://aka.ms/azureadipv6.

• Använda platsvillkoret i en princip för villkorsstyrd åtkomst
• Villkorlig åtkomst: Blockera åtkomst efter plats
• Hitta hjälp och få support för Microsoft Entra ID

Kontakta oss för att få hjälp

Om du har frågor eller behöver hjälp skapar du en supportförfrågan eller frågar Azure community support. Du kan också skicka produktfeedback till Azure-feedbackcommunityn.