源 IP 还原
使用用户与资源之间的基于云的网络代理,资源看到的 IP 地址与实际源 IP 地址并不匹配。 资源终结点会将云代理视为源 IP 地址,替代最终用户源 IP。 使用这些云代理解决方案的客户不能使用这些源 IP 信息。
全局安全访问中的源 IP 还原允许向后兼容,以便 Microsoft Entra 客户可以继续使用原始用户源 IP。 管理员可从以下功能受益:
- 继续在条件访问和持续访问评估中强制实施基于源 IP 的位置策略。
- Microsoft Entra ID 保护风险检测可获取原始用户源 IP 地址的一致视图,用于评估各种风险分数。
- Microsoft Entra 登录日志中也提供了原始用户源 IP。
先决条件
- 与全局安全访问功能交互的管理员必须具有以下两个角色分配,具体取决于他们正在执行的任务。
- 全球安全访问管理员角色,管理全球安全访问功能。
- 条件访问管理员,创建条件访问策略并与之交互。
- 产品需要经过许可。 有关详细信息,请参阅什么是全球安全访问的许可部分。 如果需要,可以购买许可证或获取试用许可证。
已知限制
启用源 IP 还原后,你只能看到源 IP。 全局安全访问服务的 IP 地址不可见。 如果要查看全局安全访问服务的 IP 地址,请禁用源 IP 还原。
当前仅支持 Microsoft 流量(如 SharePoint Online、Exchange Online、Teams 和 Microsoft Graph)的源 IP 还原。 如果对受连续访问评估 (CAE) 保护的非 Microsoft 资源有任何基于 IP 位置的条件访问策略,这些策略不会在资源中进行评估,因为该资源不知道源 IP 地址。
如果使用 CAE 的严格位置强制实施,则处于受信任的 IP 范围的用户也会被阻止。 若要解决此问题,请遵循下列建议之一:
- 如果你有面向非 Microsoft 资源的基于 IP 位置的条件访问策略,请不要启用严格位置强制实施。
- 确保源 IP 还原支持该流量,或者避免通过全局安全访问发送相关流量。
为条件访问启用全局安全访问信号
若要启用允许源 IP 还原的必需设置,管理员必须执行以下步骤。
- 以全局安全访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“全局安全访问”>“设置”>“会话管理”>“自适应访问”。
- 选择按钮,切换到“在条件访问中启用全局安全访问信号”。
此功能允许 Microsoft Graph、Microsoft Entra ID、SharePoint Online 和 Exchange Online 等服务查看实际源 IP 地址。
注意
如果组织启用了基于 IP 位置检查的条件访问策略,而你禁用了条件访问的全局安全访问信号,你可能会在无意中阻止目标最终用户访问资源。 如果必须禁用此功能,请先删除所有对应的条件访问策略。
登录日志行为
若要查看正在运行的源 IP 还原,管理员需要执行以下步骤。
- 至少以安全信息读取者身份登录到 Microsoft Entra 管理中心。
- 浏览至“标识”>“用户”>“全部用户”> 选择其中一个测试用户>登录日志。
- 在已启用源 IP 还原的情况下,你将看到包含实际 IP 地址的 IP 地址。
- 如果禁用了源 IP 还原,则看不到实际 IP 地址。
登录日志数据可能需要一些时间才能显示,这种延迟是正常的,因为要进行一些必要的处理。
